Встроенная настройка безопасности
Встроенная настройка безопасности выполняется автоматически при первом запуске кластера YDB, если секция настроек безопасности в конфигурации кластера (секция security_config) не содержит явных настроек default_users, default_groups, default_access.
Применение встроенной конфигурации безопасности выключается по флагу domains_config.disable_builtin_security.
Встроенная настройка безопасности добавляет в систему суперпользователя, а также реализует набор ролей безопасности для удобного управления пользователями.
Роли
| Роль | Описание |
|---|---|
ADMINS |
Неограниченные права на всю схему кластера. |
DATABASE-ADMINS |
Права на управление базами, схемой и доступами на схеме, без доступа к данным. |
ACCESS-ADMINS |
Права на управление доступами на схеме, без доступа к данным. |
DDL-ADMINS |
Права на управление схемой, без доступа к данным. |
DATA-WRITERS |
Права на доступ к схемным объектам, и на чтение и изменение данных. |
DATA-READERS |
Права на доступ к схемным объектам, и на чтение данных. |
METADATA-READERS |
Права на доступ к схемным объектам, без доступа к данным. |
USERS |
Права на доступ к базам, общая группа всех пользователей. |
Группы
Роли реализуются с помощью иерархии пользовательских групп и необходимых наборов прав для этих групп. Возможности групп задаются с помощью прав, выданных на корне схемы кластера.
Группы включаются друг в друга и таким образом по цепочке наследуют соответствующие разрешения:
Например, пользователям группы DATA-WRITERS разрешено:
- смотреть схему —
METADATA-READERS; - читать данные —
DATA-READERS; - и менять их —
DATA-WRITERS.
Пользователям группы DDL-ADMINS разрешено:
- смотреть схему —
METADATA-READERS; - и менять ёё —
DDL-ADMINS.
Пользователи группы ADMINS со схемой и данными могут делать всё.
Суперпользователь
Суперпользователь входит в группы ADMINS и USERS и обладает полными правами на схему кластера.
По умолчанию суперпользователь называется root и имеет пустой пароль.
Группа всех пользователей
Группа USERS также определяется как общая группа всех локальных пользователей. При последующем создании локальных пользователей они будут автоматически становиться членами группы USERS.
Об управлении группами и пользователями читайте в разделе Авторизация.