VK Cloud logo

Қолжетімділікті басқару

Шақырылған жоба қатысушыларының немесе ссылка құқықтарын шектеу үшін Cloud Trino жүйесінде сәйкестендіру және қолжетімділікті басқарудың бірыңғай сервисі — IAM қолданылады. Қолжетімділіктерді VK Cloud жеке кабинетінен орталықтандырылған түрде басқаруға болады.

Cloud Trino сервисінде жоба қатысушысына қолжетімді әрекеттер тізімін мыналар анықтайды:

Рөлдер мен рұқсаттарды беру кезінде ең аз артықшылықтар қағидатын ұстаныңыз: пайдаланушы өз міндеттерін орындау үшін қажет құқықтарға ғана ие болуы тиіс.

Рөлдік модель мысалы

Cloud Trino сервисі үшін мамандандырылған рөлдер жоқ. Қолжетімділікті шектеу үшін қосымша рұқсаттары бар Пайдаланушылар әкімшісі (IAM) немесе Бақылаушы базалық рөлі пайдаланылуы мүмкін. Әдепкі бойынша бұл базалық рөлдер үшін Cloud Trino-ға қолжетімділік шектеулі:

  • Пайдаланушылар әкімшісі (IAM): қолжетімділік жоқ.
  • Бақылаушы: Cloud Trino сервисінің бұрын жасалған даналары туралы ақпараттың бір бөлігін ғана қарау.

Сіз өзіңізге қолайлы рөлдік модель құрып, кез келген рұқсаттарды бере аласыз.

Толық қолжетімділік

Барлық әрекеттерге, соның ішінде Cloud Trino сервисінің даналарын жасауға және жоюға рұқсат етіледі. Құзыреті кең және жауапкершілік деңгейі жоғары жоба қатысушысы осы қолжетімділік деңгейін пайдалана алады. Сервистің жаңа даналарын жасау инфрақұрылым шығындарын арттыруы мүмкін, ал жою — қайтарымсыз операция, ол Cloud Trino сервисінің данаңызды пайдаланатын қолданбаның жұмысын бұзуы ықтимал.

Инфрақұрылымды әкімшілендіру

Cloud Trino сервисінің даналарын жасау мен жоюдан басқа, дерлік барлық рұқсаттарға ие. Сервистің бұрыннан жасалған даналарын басқару үшін инфрақұрылым операторы немесе DevOps-инженері рөлін атқаратын жоба қатысушысы пайдалана алады. Сондай-ақ қызметтердің құнына әсер етуді көздейді, бірақ тек бар сервистік даналарды масштабтау есебінен.

Сервисті пайдалану

Сервис даналарын басқаруға қолжетімділігі жоқ, аудитке арналған деректерден басқа, олар туралы ақпаратты ғана қарай алады. Сондай-ақ жеке кабинеттегі консоль арқылы SQL-сұрауларды орындауға қолжетімділігі бар; деректермен жұмыс істейтін жоба қатысушылары, мысалы, әзірлеушілер немесе аналитиктер пайдалана алады.

Қауіпсіздік аудиті

Cloud Trino сервисі данасының параметрлерін өзгерте алмайды және жеке кабинеттегі консольге қолжетімділігі жоқ. Тек аудит үшін қолданылады: логтар мен оқиғалар тарихын зерттеу, сондай-ақ пайдаланушылар тізімін қарау. Әдетте, қауіпсіздік қызметінің қызметкерлеріне қолайлы.