Управление доступом в WebSQL
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль websql.admin
или одна из следующих ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Кроме того, роли можно назначать на опубликованные сохраненные запросы и запросы из истории.
Какие роли действуют в сервисе
Для управления правами доступа к запросам вы можете использовать роли сервиса Yandex WebSQL (сервисные роли) и роли Yandex Cloud (примитивные роли).
Сервисные роли
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе WebSQL.
websql.executedQueries.viewer
Роль websql.executedQueries.viewer
позволяет просматривать информацию об опубликованном запросе из истории и назначенных правах доступа к нему.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.viewer
Роль websql.savedQueries.viewer
позволяет просматривать информацию об опубликованном сохраненном запросе и назначенных правах доступа к нему.
Роль назначается на опубликованный сохраненный запрос.
websql.executedQueries.editor
Роль websql.executedQueries.editor
позволяет просматривать информацию об опубликованном запросе из истории и удалять его.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном запросе из истории и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории.
Включает разрешения, предоставляемые ролью websql.executedQueries.viewer
.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.editor
Роль websql.savedQueries.editor
позволяет изменять и удалять опубликованный сохраненный запрос.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу.
Включает разрешения, предоставляемые ролью websql.savedQueries.viewer
.
Роль назначается на опубликованный сохраненный запрос.
websql.executedQueries.admin
Роль websql.executedQueries.admin
позволяет управлять опубликованным запросом из истории и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории и изменять такие права доступа;
- просматривать информацию об опубликованном запросе из истории и удалять его.
Включает разрешения, предоставляемые ролью websql.executedQueries.editor
.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.admin
Роль websql.savedQueries.admin
позволяет управлять опубликованным сохраненным запросом и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу и изменять такие права доступа;
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его.
Включает разрешения, предоставляемые ролью websql.savedQueries.editor
.
Роль назначается на опубликованный сохраненный запрос.
websql.viewer
Роль websql.viewer
позволяет просматривать информацию обо всех опубликованных запросах в сервисе WebSQL и назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролями websql.savedQueries.viewer
и websql.executedQueries.viewer
.
websql.user
Роль websql.user
позволяет просматривать информацию об опубликованных запросах в сервисе WebSQL, а также создавать, изменять и удалять приватные запросы.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- приватно сохранять запросы, а также изменять и удалять приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним;
- сохранять исполненные запросы в приватную историю и удалять такие запросы из истории.
Включает разрешения, предоставляемые ролью websql.viewer
.
websql.editor
Роль websql.editor
позволяет управлять опубликованными и приватными запросами в сервисе WebSQL.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним, а также изменять и удалять опубликованные сохраненные запросы;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним, а также удалять опубликованные запросы из истории;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.user
, websql.savedQueries.editor
и websql.executedQueries.editor
.
websql.admin
Роль websql.admin
позволяет управлять приватными запросами и публиковать их, а также управлять опубликованными запросами и доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованным сохраненным запросам и изменять такие права доступа;
- просматривать информацию об опубликованных сохраненных запросах, а также изменять и удалять их;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию о назначенных правах доступа к опубликованным запросам из истории и изменять такие права доступа;
- просматривать информацию об опубликованных запросах из истории и удалять их;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.editor
, websql.savedQueries.admin
и websql.executedQueries.admin
.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.