Управление доступом в Query
Для управления правами доступа в Query используются роли.
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса Yandex Query, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль yq.admin
или одна из следующих ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
- При необходимости добавьте нужного пользователя.
- В консоли управления
слева выберите облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Настроить доступ.
- В открывшемся окне выберите раздел Пользовательские аккаунты.
- Выберите пользователя из списка или воспользуйтесь поиском.
- Нажмите кнопку
Добавить роль и выберите роль в облаке. - Нажмите кнопку Сохранить.
Какие роли действуют в сервисе
Управлять доступом к объектам Query можно как с помощью сервисных, так и с помощью примитивных ролей. На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Query.
Сервисные роли
yq.auditor
Роль yq.auditor
позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках и запросах.
yq.viewer
Пользователь с ролью yq.viewer
может просматривать запросы и результаты.
Включает разрешения, предоставляемые ролью yq.auditor
.
yq.editor
Пользователь с ролью yq.editor
может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor
включает в себя все разрешения роли yq.viewer
.
yq.admin
Роль yq.admin
разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin
включает в себя все разрешения роли yq.editor
.
yq.invoker
Пользователь с ролью yq.invoker
может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.
Примитивные роли
viewer
Пользователь с ролью viewer
может просматривать информацию о ресурсах, например, о запусках запроса.
editor
Пользователь с ролью editor
может управлять любыми ресурсами, например, создать или удалить запрос. Роль editor
включает в себя все разрешения роли viewer
.
admin
Пользователь с ролью admin
может управлять правами доступа к ресурсам, например, разрешить другим пользователям создавать запросы. Роль admin
включает в себя все разрешения роли editor
.