Қолжетімділікті басқару
Шақырылған жоба қатысушыларының немесе ссылка құқықтарын шектеу үшін Cloud Trino жүйесінде сәйкестендіру және қолжетімділікті басқарудың бірыңғай сервисі — IAM қолданылады. Қолжетімділіктерді VK Cloud жеке кабинетінен орталықтандырылған түрде басқаруға болады.
Cloud Trino сервисінде жоба қатысушысына қолжетімді әрекеттер тізімін мыналар анықтайды:
-
Тағайындалған базалық рөл — әдепкі бойынша қолжетімді рұқсаттар жиынтығын береді. Cloud Trino үшін мамандандырылған рөлдер жоқ.
Жоба иесі,СуперадминистраторжәнеЖоба әкімшісібазалық рөлдері Cloud Trino-ның барлық операцияларына толық қолжетімділік алады, жеке рұқсаттарды баптаудың қажеті жоқ. -
Жеке рұқсаттар — қосымша тағайындалады, егер базалық рөлге кіретіндері жеткіліксіз болса.
Рөлдер мен рұқсаттарды беру кезінде ең аз артықшылықтар қағидатын ұстаныңыз: пайдаланушы өз міндеттерін орындау үшін қажет құқықтарға ғана ие болуы тиіс.
Cloud Trino сервисі үшін мамандандырылған рөлдер жоқ. Қолжетімділікті шектеу үшін қосымша рұқсаттары бар Пайдаланушылар әкімшісі (IAM) немесе Бақылаушы базалық рөлі пайдаланылуы мүмкін. Әдепкі бойынша бұл базалық рөлдер үшін Cloud Trino-ға қолжетімділік шектеулі:
Пайдаланушылар әкімшісі (IAM): қолжетімділік жоқ.Бақылаушы: Cloud Trino сервисінің бұрын жасалған даналары туралы ақпараттың бір бөлігін ғана қарау.
Сіз өзіңізге қолайлы рөлдік модель құрып, кез келген рұқсаттарды бере аласыз.
Барлық әрекеттерге, соның ішінде Cloud Trino сервисінің даналарын жасауға және жоюға рұқсат етіледі. Құзыреті кең және жауапкершілік деңгейі жоғары жоба қатысушысы осы қолжетімділік деңгейін пайдалана алады. Сервистің жаңа даналарын жасау инфрақұрылым шығындарын арттыруы мүмкін, ал жою — қайтарымсыз операция, ол Cloud Trino сервисінің данаңызды пайдаланатын қолданбаның жұмысын бұзуы ықтимал.
Cloud Trino сервисінің даналарын жасау мен жоюдан басқа, дерлік барлық рұқсаттарға ие. Сервистің бұрыннан жасалған даналарын басқару үшін инфрақұрылым операторы немесе DevOps-инженері рөлін атқаратын жоба қатысушысы пайдалана алады. Сондай-ақ қызметтердің құнына әсер етуді көздейді, бірақ тек бар сервистік даналарды масштабтау есебінен.
Сервис даналарын басқаруға қолжетімділігі жоқ, аудитке арналған деректерден басқа, олар туралы ақпаратты ғана қарай алады. Сондай-ақ жеке кабинеттегі консоль арқылы SQL-сұрауларды орындауға қолжетімділігі бар; деректермен жұмыс істейтін жоба қатысушылары, мысалы, әзірлеушілер немесе аналитиктер пайдалана алады.
Cloud Trino сервисі данасының параметрлерін өзгерте алмайды және жеке кабинеттегі консольге қолжетімділігі жоқ. Тек аудит үшін қолданылады: логтар мен оқиғалар тарихын зерттеу, сондай-ақ пайдаланушылар тізімін қарау. Әдетте, қауіпсіздік қызметінің қызметкерлеріне қолайлы.