Управление доступом в Query

Для управления правами доступа в Query используются роли.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Yandex Query, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль yq.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

Назначение ролейНазначение ролей

Чтобы назначить пользователю роль:

1. При необходимости добавьте нужного пользователя.
2. В консоли управления слева выберите облако.
3. Перейдите на вкладку Права доступа.
4. Нажмите кнопку Настроить доступ.
5. В открывшемся окне выберите раздел Пользовательские аккаунты.
6. Выберите пользователя из списка или воспользуйтесь поиском.
7. Нажмите кнопку Добавить роль и выберите роль в облаке.
8. Нажмите кнопку Сохранить.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Управлять доступом к объектам Query можно как с помощью сервисных, так и с помощью примитивных ролей. На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Query.

Сервисные ролиСервисные роли

yq.auditoryq.auditor

Роль yq.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках и запросах.

yq.vieweryq.viewer

Пользователь с ролью yq.viewer может просматривать запросы и результаты.

Включает разрешения, предоставляемые ролью yq.auditor.

yq.editoryq.editor

Пользователь с ролью yq.editor может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor включает в себя все разрешения роли yq.viewer.

yq.adminyq.admin

Роль yq.admin разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin включает в себя все разрешения роли yq.editor.

yq.invokeryq.invoker

Пользователь с ролью yq.invoker может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.

Примитивные ролиПримитивные роли

viewerviewer

Пользователь с ролью viewer может просматривать информацию о ресурсах, например, о запусках запроса.

editoreditor

Пользователь с ролью editor может управлять любыми ресурсами, например, создать или удалить запрос. Роль editor включает в себя все разрешения роли viewer.

adminadmin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям создавать запросы. Роль admin включает в себя все разрешения роли editor.