Начальная настройка безопасности кластера
Начальная настройка безопасности выполняется автоматически при первом запуске кластера YDB.
При выполнении начальной настройки безопасности YDB добавляет в систему суперпользователя, а также реализует набор ролей безопасности для удобного управления пользователями.
Примечание
Информацию об изменении и пропуске начальной настройки безопасности см. в следующих частях:
Роли
| Роль | Описание |
|---|---|
ADMINS |
Неограниченные права на всю схему кластера. |
DATABASE-ADMINS |
Права на управление базами, схемой и доступами на схеме, без доступа к данным. |
ACCESS-ADMINS |
Права на управление доступами на схеме, без доступа к данным. |
DDL-ADMINS |
Права на управление схемой, без доступа к данным. |
DATA-WRITERS |
Права на доступ к схемным объектам, и на чтение и изменение данных. |
DATA-READERS |
Права на доступ к схемным объектам, и на чтение данных. |
METADATA-READERS |
Права на доступ к схемным объектам, без доступа к данным. |
USERS |
Права на доступ к базам, общая группа всех пользователей. |
Группы
Роли реализуются с помощью иерархии пользовательских групп и необходимых наборов прав для этих групп. Возможности групп задаются с помощью прав, выданных на корне схемы кластера.
Группы включаются друг в друга и таким образом по цепочке наследуют соответствующие разрешения:
Например, пользователям группы DATA-WRITERS разрешено:
- смотреть схему —
METADATA-READERS; - читать данные —
DATA-READERS; - и менять их —
DATA-WRITERS.
Пользователям группы DDL-ADMINS разрешено:
- смотреть схему —
METADATA-READERS; - и менять ёё —
DDL-ADMINS.
Пользователи группы ADMINS со схемой и данными могут делать всё.
Суперпользователь
Суперпользователь входит в группы ADMINS и USERS и обладает полными правами на схему кластера.
По умолчанию суперпользователь называется root и имеет пустой пароль.
Группа всех пользователей
Группа USERS также определяется как общая группа всех локальных пользователей. При последующем создании локальных пользователей они будут автоматически становиться членами группы USERS.
Об управлении группами и пользователями читайте в разделе Авторизация.
Кастомизация начальной настройки безопасности
Вы можете изменить начальную конфигурацию безопасности, добавив собственных пользователей, группы и права доступа.
Для изменения пользователей, групп и прав доступа при начальной настройке безопасности, укажите их в параметрах default_users, default_groups и default_access в секции настроек безопасности в конфигурации кластера (секция security_config).
Отмена начальной настройки безопасности
Для отмены начальной настройки безопасности, параметр security_config.disable_builtin_security должен быть выставлен в true.