Облачная платформаEvolution

Управление доступом в Managed Kafka


Доступ к ресурсам сервиса регулируется с помощью ролей. Ресурсом для Managed Kafka является кластер, над которым можно выполнять различные действия. Роль определяет, какие из этих действий разрешены.

Чтобы предоставить пользователю доступ к ресурсу, назначьте ему соответствующую роль. Роли можно назначить сервисному аккаунту и пользователям организации. Проверить, назначить и отредактировать роли можно в разделе Пользователи в личном кабинете.

Можно использовать роли двух типов:

На каких уровнях можно назначить роль

Роли можно назначить на следующие уровни:

  • Сервисы — такие роли определяют то, какие действия может совершать пользователь внутри сервиса и с его ресурсами.

  • Организацию или проект — такие роли определяют то, какие действия будут доступны пользователю в административных разделах личного кабинета: «Контроль затрат», «Администрирование», «Пользователи» и «Поддержка».

Подробнее — в разделе Роли.

Встроенные роли

Для работы с сервисом Managed Kafka пользователю должна быть назначена одна из встроенных сервисных ролей, которая включает в себя фиксированный набор разрешенных действий:

Встроенная роль

Описание

Разрешенные действия

dbaas.kafka.admin

Полное управление кластерами: создание, редактирование, настройка и удаление.

dbaas.kafka.dba

Управление кластерами: редактирование и настройка.

dbaas.kafka.readonlyuser

Просмотр кластеров и их параметров.

Пользовательские роли

Вы можете создать пользовательскую роль в разделе IAM личного кабинета. При создании вы самостоятельно выбираете, какие разрешенные действия включить в роль. Используйте такие роли, чтобы дать пользователю доступ к разным сервисам без назначения нескольких встроенных ролей.

Для выполнения многих операций одновременно требуются несколько разрешенных действий. Например, чтобы изменить параметры пользователя Managed Kafka, нужны и dbaas.kafka.instance.list, чтобы посмотреть список пользователей, и dbaas.kafka.instance.manage, чтобы его изменить.