Доступ к ресурсам сервиса регулируется с помощью ролей. Ресурсом для Managed Kafka является кластер, над которым можно выполнять различные действия. Роль определяет, какие из этих действий разрешены.
Чтобы предоставить пользователю доступ к ресурсу, назначьте ему соответствующую роль. Роли можно назначить сервисному аккаунту и пользователям организации. Проверить, назначить и отредактировать роли можно в разделе Пользователи в личном кабинете.
Можно использовать роли двух типов:
Встроенные сервисные роли — роли с предопределенным набором прав, которые нельзя изменить.
Пользовательские роли — создаются в разделе IAM личного кабинета. Вы можете задать для них индивидуальный набор разрешений.
Роли можно назначить на следующие уровни:
Сервисы — такие роли определяют то, какие действия может совершать пользователь внутри сервиса и с его ресурсами.
Организацию или проект — такие роли определяют то, какие действия будут доступны пользователю в административных разделах личного кабинета: «Контроль затрат», «Администрирование», «Пользователи» и «Поддержка».
Подробнее — в разделе Роли.
Для работы с сервисом Managed Kafka пользователю должна быть назначена одна из встроенных сервисных ролей, которая включает в себя фиксированный набор разрешенных действий:
Встроенная роль | Описание | Разрешенные действия |
|---|---|---|
dbaas.kafka.admin | Полное управление кластерами: создание, редактирование, настройка и удаление. |
dbaas.kafka.instance.create
dbaas.kafka.instance.list
dbaas.kafka.instance.manage
dbaas.kafka.instance.delete
|
dbaas.kafka.dba | Управление кластерами: редактирование и настройка. |
dbaas.kafka.instance.list
dbaas.kafka.instance.manage
|
dbaas.kafka.readonlyuser | Просмотр кластеров и их параметров. |
dbaas.kafka.instance.list
|
Вы можете создать пользовательскую роль в разделе IAM личного кабинета. При создании вы самостоятельно выбираете, какие разрешенные действия включить в роль. Используйте такие роли, чтобы дать пользователю доступ к разным сервисам без назначения нескольких встроенных ролей.
Для выполнения многих операций одновременно требуются несколько разрешенных действий. Например, чтобы изменить параметры пользователя Managed Kafka, нужны и dbaas.kafka.instance.list, чтобы посмотреть список пользователей, и dbaas.kafka.instance.manage, чтобы его изменить.