Управление доступом

Чтобы разграничить права для приглашенных участников проекта или сервисных учетных записей, в Cloud Trino используется единый сервис управления идентификацией и доступом — IAM. Управлять доступами можно централизованно из личного кабинета VK Cloud.

Список доступных участнику проекта действий в сервисе Cloud Trino определяет:

• Присвоенная базовая роль — задает набор разрешений, доступных по умолчанию. Специализированные роли для Cloud Trino отсутствуют.

  Базовые роли Владелец проекта, Суперадминистратор и Администратор проекта получают полный доступ ко всем операциям Cloud Trino, настраивать отдельные разрешения не нужно.

• Отдельные разрешения — назначаются дополнительно, если входящих в базовую роль недостаточно.

При выдаче ролей и разрешений придерживайтесь принципа минимальных привилегий: пользователь должен иметь только те права, без которых невозможно выполнить его задачи.

Для сервиса Cloud Trino нет специализированных ролей. Для разграничения доступа может использоваться базовая роль Администратор пользователей (IAM) или Наблюдатель с дополнительными разрешениями. По умолчанию доступ к Cloud Trino у этих базовых ролей ограничен:

• Администратор пользователей (IAM): нет доступа.
• Наблюдатель: только просмотр части информации о ранее созданных экземплярах сервиса Cloud Trino.

Вы можете выдать любые разрешения, создав подходящую для вас ролевую модель.

Разрешены все действия, в том числе создание и удаление экземпляров сервиса Cloud Trino. Участник проекта с широкими компетенциями и высокой долей ответственности может использовать этот уровень доступа. Создание новых экземпляров сервиса может увеличить затраты на инфраструктуру, а удаление — безвозвратная операция, способная нарушить работу приложения, которое использует ваш экземпляр сервиса Cloud Trino.

Имеет почти все разрешения, кроме создания и удаления экземпляров сервиса Cloud Trino. Может использоваться участником проекта, выполняющим роль оператора инфраструктуры или DevOps-инженера для управления уже созданными экземплярами сервиса. Также предполагает влияние на стоимость услуг, но только за счет масштабирования уже существующих экземпляров сервиса.

Не имеет доступа к управлению экземплярами сервиса, может только просматривать информацию о них, за исключением данных для аудита. Также имеет доступ к выполнению SQL-запросов через консоль в личном кабинете, может использоваться участниками проекта, которые работают с данными, например, разработчиками или аналитиками.

Не может изменять параметры экземпляра сервиса Cloud Trino и не имеет доступа к консоли в личном кабинете. Используется исключительно для аудита: изучение логов и истории событий, а также просмотр списка пользователей. Как правило, подходит для сотрудников службы безопасности.