Управление доступом в WebSQL
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль websql.admin или одна из следующих ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Кроме того, в интерфейсе WebSQL роли можно назначать на опубликованные сохраненные запросы и запросы из истории.
Какие роли действуют в сервисе
Для управления правами доступа к запросам вы можете использовать роли сервиса Yandex WebSQL (сервисные роли) и роли Yandex Cloud (примитивные роли).
Сервисные роли
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе WebSQL.
websql.executedQueries.auditor
Роль websql.executedQueries.auditor позволяет просматривать метаданные опубликованного запроса из истории и информацию о назначенных правах доступа к нему.
websql.savedQueries.auditor
Роль websql.savedQueries.auditor позволяет просматривать метаданные опубликованного сохраненного запроса и информацию о назначенных правах доступа к нему.
websql.executedQueries.viewer
Роль websql.executedQueries.viewer позволяет просматривать информацию об опубликованном запросе из истории и назначенных правах доступа к нему.
Включает разрешения, предоставляемые ролью websql.executedQueries.auditor.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.viewer
Роль websql.savedQueries.viewer позволяет просматривать информацию об опубликованном сохраненном запросе и назначенных правах доступа к нему.
Включает разрешения, предоставляемые ролью websql.savedQueries.auditor.
Роль назначается на опубликованный сохраненный запрос.
websql.executedQueries.editor
Роль websql.executedQueries.editor позволяет просматривать информацию об опубликованном запросе из истории и удалять его.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном запросе из истории и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории.
Включает разрешения, предоставляемые ролью websql.executedQueries.viewer.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.editor
Роль websql.savedQueries.editor позволяет изменять и удалять опубликованный сохраненный запрос.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу.
Включает разрешения, предоставляемые ролью websql.savedQueries.viewer.
Роль назначается на опубликованный сохраненный запрос.
websql.executedQueries.admin
Роль websql.executedQueries.admin позволяет управлять опубликованным запросом из истории и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории и изменять такие права доступа;
- просматривать информацию об опубликованном запросе из истории и удалять его.
Включает разрешения, предоставляемые ролью websql.executedQueries.editor.
Роль назначается на опубликованный запрос из истории.
websql.savedQueries.admin
Роль websql.savedQueries.admin позволяет управлять опубликованным сохраненным запросом и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу и изменять такие права доступа;
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его.
Включает разрешения, предоставляемые ролью websql.savedQueries.editor.
Роль назначается на опубликованный сохраненный запрос.
websql.auditor
Роль websql.auditor позволяет просматривать метаданные всех опубликованных запросов в сервисе WebSQL и информацию о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролями websql.savedQueries.auditor и websql.executedQueries.auditor.
websql.viewer
Роль websql.viewer позволяет просматривать информацию обо всех опубликованных запросах в сервисе WebSQL и назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролями websql.savedQueries.viewer и websql.executedQueries.viewer.
websql.user
Роль websql.user позволяет просматривать информацию об опубликованных запросах в сервисе WebSQL, а также создавать, изменять и удалять приватные запросы.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- приватно сохранять запросы, а также изменять и удалять приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним;
- сохранять исполненные запросы в приватную историю и удалять такие запросы из истории.
Включает разрешения, предоставляемые ролью websql.viewer.
websql.editor
Роль websql.editor позволяет управлять опубликованными и приватными запросами в сервисе WebSQL.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним, а также изменять и удалять опубликованные сохраненные запросы;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним, а также удалять опубликованные запросы из истории;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.user, websql.savedQueries.editor и websql.executedQueries.editor.
websql.admin
Роль websql.admin позволяет управлять приватными запросами и публиковать их, а также управлять опубликованными запросами и доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованным сохраненным запросам и изменять такие права доступа;
- просматривать информацию об опубликованных сохраненных запросах, а также изменять и удалять их;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию о назначенных правах доступа к опубликованным запросам из истории и изменять такие права доступа;
- просматривать информацию об опубликованных запросах из истории и удалять их;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.editor, websql.savedQueries.admin и websql.executedQueries.admin.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer. Или если требуется доступ к нескольким типам кластеров управляемых баз данных в одном каталоге, можно назначить роль mdb.auditor в этом каталоге, но имейте в виду, что пользователь получит избыточные разрешения.
| Действие | Необходимые роли |
|---|---|
| Просмотр запросов | |
| Просмотр информации о подключениях | connection-manager.viewer на организацию, облако, каталог или подключение |
| Просмотр информации о подключениях PostgreSQL | managed-postgresql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MySQL® | managed-mysql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях ClickHouse® | managed-clickhouse.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Valkey™ | managed-redis.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MongoDB | managed-mongodb.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.viewer на организацию, облако или каталог |
| Просмотр метаданных опубликованных запросов | websql.auditor на организацию, облако или каталог |
| Просмотр опубликованных запросов | websql.viewer на организацию, облако или каталог |
| Просмотр и выполнение запросов | |
| Использование подключения к БД | connection-manager.user на организацию, облако, каталог или подключение |
| Просмотр информации о подключениях PostgreSQL | managed-postgresql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MySQL® | managed-mysql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях ClickHouse® | managed-clickhouse.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Valkey™ | managed-redis.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MongoDB | managed-mongodb.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.viewer на организацию, облако или каталог |
| Выполнение запросов | websql.user на организацию, облако или каталог |
| Выполнение запросов Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.user на организацию, облако или каталог |
| Просмотр, выполнение и публикация запросов | |
| Использование подключения к БД | connection-manager.user на организацию, облако, каталог или подключение |
| Просмотр информации о подключениях PostgreSQL | managed-postgresql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MySQL® | managed-mysql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях ClickHouse® | managed-clickhouse.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Valkey™ | managed-redis.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MongoDB | managed-mongodb.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.viewer на организацию, облако или каталог |
| Выполнение, публикация и редактирование запросов | websql.editor на организацию, облако или каталог |
| Выполнение запросов Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.user на организацию, облако или каталог |
| Управление запросами | |
| Использование подключения к БД | connection-manager.user на организацию, облако, каталог или подключение |
| Просмотр информации о подключениях PostgreSQL | managed-postgresql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MySQL® | managed-mysql.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях ClickHouse® | managed-clickhouse.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Valkey™ | managed-redis.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях MongoDB | managed-mongodb.viewer на организацию, облако или каталог |
| Просмотр информации о подключениях Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.viewer на организацию, облако или каталог |
| Выполнение, публикация, редактирование запросов и управление правами доступа к ним | websql.admin на организацию, облако или каталог |
| Выполнение запросов Yandex Managed Service for Trino (сервис находится на стадии Preview) | managed-trino.user на организацию, облако или каталог |