Управление доступом

YDB поддерживает аутентификацию по логину паролю. Подробнее читайте в разделе Аутентификация.

Встроенные группы

Кластер YDB имеет встроенные группы, предоставляющие заранее определенные наборы ролей:

Группа Описание
ADMINS Неограниченные права на всю схему кластера.
DATABASE-ADMINS Права на создание и удаление баз данных (CreateDatabase, DropDatabase).
ACCESS-ADMINS Права на управление правами других пользователей (GrantAccessRights).
DDL-ADMINS Права на изменение схемы баз данных (CreateDirectory, CreateTable, WriteAttributes, AlterSchema, RemoveSchema).
DATA-WRITERS Права на изменение данных (UpdateRow, EraseRow).
DATA-READERS Права на чтение данных (SelectRow).
METADATA-READERS Права на чтение метаинформации, без доступа к данным (DescribeSchema и ReadAttributes).
USERS Права на подключение к базам данных (ConnectDatabase).

Все пользователи по умолчанию входят в группу USERS. Пользователь root по умолчанию входит в группу ADMINS.

Ниже показано, как группы наследуют разрешения друг друга. Например, в DATA-WRITERS входят все разрешения DATA-READERS:

ADMINS
ADMINS
DATABASE-ADMINS
DATABASE-ADMINS
ACCESS-ADMINS
ACCESS-ADMINS
DDL-ADMINS
DDL-ADMINS
DATA-WRITERS
DATA-WRITERS
DATA-READERS
DATA-READERS
METADATA-READERS
METADATA-READERS
USERS
USERS
Viewer does not support full SVG 1.1

Управление группами

Для создания, изменения или удаления группы воспользуйтесь операторами YQL:

Примечание

Имена встроенных групп в команде ALTER GROUP необходимо указывать в верхнем регистре. Кроме того, при указании встроенных групп, содержащих в своем имени символ "-", необходимо использовать обратные кавычки (бэктики), например:

ALTER GROUP `DATA-WRITERS` ADD USER myuser1;

Управление пользователями

Для создания, изменения или удаления пользователя воспользуйтесь операторами YQL:

Управление правами доступа операторами YQL

Для назначения или отзыва прав доступа на объекты схемы для пользователей или групп воспользуйтесь операторами YQL: