В конце декабря в Клауде появилась возможность добавлять других пользователей в свои аккаунты. Во вкладке «Пользователи» в левом меню.

На вид все просто. Но под капотом была организована работа отдельной системы Identity and Access Management, или IAM, если по-простому. А если по-русски — системы контроля доступом. И к реализации этой системы существовало как минимум два подхода — RBAC и ABAC.

На примерах ↓

У вас есть бухгалтер и сисадмин. Бухгалтеру нужно вовремя пополнять баланс и скачивать акты. А сисадмину — управлять виртуалками и не заморачиваться с оплатой. На уровне фронта, в интерфейсе, вы видите две роли — собственно, «Бухгалтер» и «Сисадмин». И у каждой есть набор правил, заданных разработчиком системы. Это RBAC.

Ситуация вторая. Все те же бухгалтер и сисадмин со все теми же задачами. В интерфейсе никаких ролей — только список разделов и уровни доступа к каждому из них: «Нет доступа», «Только просмотр» и «Управление». Вы сами выбираете, что и кому дать, и сами назначаете каждой роли правила. Это ABAC — и именно его мы и выбрали.

Из приятных особенностей:

→ Пользователей может быть хоть сколько. Мы не ограничивали этот параметр. И для каждого из них можно настроить свои правила.

→ Каждый новый пользователь получает собственную ссылку для первого входа. Ссылка одноразовая, пароль отобразится при входе в панель. Все секьюрно.

→ Эти правила можно применять сразу для всех проектов или для какого-то конкретного. Например, когда вы создаете разные проекты под разные команды.

И, в завершение, в очередной раз отметим, что все это благодаря вашим идеям. Запрос на IAM был одним из самых популярных, смотрите сами — 97 голосов, 62 голоса и тут на два голоса меньше. Спасибо!

Начать управлять ролями →

Или изучить документацию →