Управление доступом
YDB поддерживает аутентификацию по логину паролю. Подробнее читайте в разделе Аутентификация.
Встроенные группы
Кластер YDB имеет встроенные группы, предоставляющие заранее определенные наборы ролей:
Группа | Описание |
---|---|
ADMINS |
Неограниченные права на всю схему кластера. |
DATABASE-ADMINS |
Права на создание и удаление баз данных (CreateDatabase , DropDatabase ). |
ACCESS-ADMINS |
Права на управление правами других пользователей (GrantAccessRights ). |
DDL-ADMINS |
Права на изменение схемы баз данных (CreateDirectory , CreateTable , WriteAttributes , AlterSchema , RemoveSchema ). |
DATA-WRITERS |
Права на изменение данных (UpdateRow , EraseRow ). |
DATA-READERS |
Права на чтение данных (SelectRow ). |
METADATA-READERS |
Права на чтение метаинформации, без доступа к данным (DescribeSchema и ReadAttributes ). |
USERS |
Права на подключение к базам данных (ConnectDatabase ). |
Все пользователи по умолчанию входят в группу USERS
. Пользователь root
по умолчанию входит в группу ADMINS
.
Ниже показано, как группы наследуют разрешения друг друга. Например, в DATA-WRITERS
входят все разрешения DATA-READERS
:
Управление группами
Для создания, изменения или удаления группы воспользуйтесь операторами YQL:
Примечание
Имена встроенных групп в команде ALTER GROUP
необходимо указывать в верхнем регистре. Кроме того, при указании встроенных групп, содержащих в своем имени символ "-", необходимо использовать обратные кавычки (бэктики), например:
ALTER GROUP `DATA-WRITERS` ADD USER myuser1;
Управление пользователями
Для создания, изменения или удаления пользователя воспользуйтесь операторами YQL:
Управление правами доступа операторами YQL
Для назначения или отзыва прав доступа на объекты схемы для пользователей или групп воспользуйтесь операторами YQL: