Управление доступом в Managed Service for YDB
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса YDB (базы данных и их пользователи), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. Роль может быть назначена на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Кроме того можно выдать роль на доступ к конкретной базе данных. Это позволит пользователю без каких-либо ролей в каталоге, где размещена база, получить доступ к самой базе данных в соответствии с выданной ролью.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль ydb.admin
или одна из следующих ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
- При необходимости добавьте нужного пользователя.
- В консоли управления
слева выберите облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Настроить доступ.
- В открывшемся окне выберите раздел Пользовательские аккаунты.
- Выберите пользователя из списка или воспользуйтесь поиском.
- Нажмите кнопку
Добавить роль и выберите роль в облаке. - Нажмите кнопку Сохранить.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Вы также можете назначать роли на отдельные ресурсы сервиса:
Через консоль управления
Через Yandex Cloud CLI вы можете назначить роли на следующие ресурсы:
- СУБД YDB
- Резервная копия СУБД YDB
Через API Yandex Cloud вы можете назначить роли на следующие ресурсы:
- СУБД YDB
- Резервная копия СУБД YDB
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Managed Service for YDB.
Сервисные роли
ydb.auditor
Роль ydb.auditor
позволяет устанавливать соединения c базами данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.
Пользователи с этой ролью могут:
- устанавливать соединения c базами данных;
- просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
ydb.viewer
Роль ydb.viewer
позволяет устанавливать соединения c БД и выполнять запросы на чтение данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.
Пользователи с этой ролью могут:
- устанавливать соединения c базами данных и выполнять запросы на чтение данных;
- просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.auditor
.
ydb.editor
Роль ydb.editor
позволяет управлять базами данных, схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.
Пользователи с этой ролью могут:
- просматривать список баз данных и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных;
- устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.viewer
.
ydb.admin
Роль ydb.admin
позволяет управлять базами данных и доступом к ним, управлять схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.
Пользователи с этой ролью могут:
- просматривать список баз данных и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных;
- просматривать информацию о назначенных правах доступа к базам данных и изменять такие права доступа;
- устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
- просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.editor
.
ydb.kafkaApi.client
Роль ydb.kafkaApi.client
позволяет работать с ydb
по протоколу Kafka API
Примитивные роли
auditor
Роль auditor
предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor
— наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.