Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управление доступом в Query

Статья создана
Обновлена 31 марта 2026 г.

Для управления правами доступа в Query используются роли.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Yandex Query, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным или локальным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль yq.admin или одна из следующих ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

Назначение ролей

Чтобы назначить пользователю роль:

  1. При необходимости добавьте нужного пользователя.
  2. В консоли управления слева выберите облако.
  3. Перейдите на вкладку Права доступа.
  4. Нажмите кнопку Настроить доступ.
  5. В открывшемся окне выберите раздел Пользовательские аккаунты.
  6. Выберите пользователя из списка или воспользуйтесь поиском.
  7. Нажмите кнопку Добавить роль и выберите роль в облаке.
  8. Нажмите кнопку Сохранить.

Какие роли действуют в сервисе

Управлять доступом к объектам Query можно как с помощью сервисных, так и с помощью примитивных ролей. На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Query.

Сервисные роли

yq.auditor

Роль yq.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках, запросах и запусках.

yq.viewer

Роль yq.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках, запросах и запусках, включая текст запросов и их результаты.

Включает разрешения, предоставляемые ролью yq.auditor.

yq.editor

Пользователь с ролью yq.editor может управлять соединениями и запросами, созданными им.

Пользователи с этой ролью могут:

  • просматривать информацию о запросах, созданных этими пользователями, и запусках таких запросов, в том числе просматривать текст запросов и их результаты;
  • создавать запросы, а также запускать и отменять выполнение запросов, созданных этими пользователями;
  • просматривать информацию о соединениях, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о привязках, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями yq.viewer и yq.invoker.

yq.admin

Роль yq.admin позволяет управлять любыми ресурсами Yandex Query, в том числе помеченными как приватные.

Пользователи с этой ролью могут:

  • просматривать информацию о запросах и запусках запросов, в том числе просматривать текст запросов и их результаты;
  • создавать запросы, а также запускать их и отменять запуски;
  • просматривать информацию о соединениях, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о привязках, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью yq.editor.

yq.invoker

Роль yq.invoker позволяет создавать и запускать запросы, использовать соединения и привязки, а также просматривать информацию о каталоге и запросах, включая их текст и результаты.

Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.

Примитивные роли

viewer

Пользователь с ролью viewer может просматривать информацию о ресурсах, например, о запусках запроса.

editor

Пользователь с ролью editor может управлять любыми ресурсами, например, создать или удалить запрос. Роль editor включает в себя все разрешения роли viewer.

admin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям создавать запросы. Роль admin включает в себя все разрешения роли editor.

Предыдущая
Выполнение запроса к потоковым данным
Следующая
Правила тарификации