Связаться с намиПодключиться

Управление доступом в Managed Service for YDB

Статья создана
Обновлена 21 ноября 2024 г.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса YDB (базы данных и их пользователи), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. Роль может быть назначена на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Кроме того можно выдать роль на доступ к конкретной базе данных. Это позволит пользователю без каких-либо ролей в каталоге, где размещена база, получить доступ к самой базе данных в соответствии с выданной ролью.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль ydb.admin или одна из следующих ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль:

  1. При необходимости добавьте нужного пользователя.
  2. В консоли управления слева выберите облако.
  3. Перейдите на вкладку Права доступа.
  4. Нажмите кнопку Настроить доступ.
  5. В открывшемся окне выберите раздел Пользовательские аккаунты.
  6. Выберите пользователя из списка или воспользуйтесь поиском.
  7. Нажмите кнопку Добавить роль и выберите роль в облаке.
  8. Нажмите кнопку Сохранить.

На какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Вы также можете назначать роли на отдельные ресурсы сервиса:

Через консоль управления вы можете назначить роли на СУБД YDB.

Через Yandex Cloud CLI вы можете назначить роли на следующие ресурсы:

Через Terraform вы можете назначить роли на СУБД YDB.

Через API Yandex Cloud вы можете назначить роли на следующие ресурсы:

Какие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Managed Service for YDB.

Сервисные роли

ydb.auditor

Роль ydb.auditor позволяет устанавливать соединения c базами данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

  • устанавливать соединения c базами данных;
  • просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

ydb.viewer

Роль ydb.viewer позволяет устанавливать соединения c БД и выполнять запросы на чтение данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

  • устанавливать соединения c базами данных и выполнять запросы на чтение данных;
  • просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.auditor.

ydb.editor

Роль ydb.editor позволяет управлять базами данных, схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

  • просматривать список баз данных и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных;
  • устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.viewer.

ydb.admin

Роль ydb.admin позволяет управлять базами данных и доступом к ним, управлять схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

  • просматривать список баз данных и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных;
  • просматривать информацию о назначенных правах доступа к базам данных и изменять такие права доступа;
  • устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
  • просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.editor.

ydb.kafkaApi.client

Роль ydb.kafkaApi.client позволяет работать с ydb по протоколу Kafka API с использованием plain-аутентификации через SSL-соединение.

Примитивные роли

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Предыдущая
Квоты и лимиты
Следующая
Обзор