Новая система IAM. Разбираемся в деталях
В конце декабря в Клауде появилась возможность добавлять других пользователей в свои аккаунты. Во вкладке «Пользователи» в левом меню.
На вид все просто. Но под капотом была организована работа отдельной системы Identity and Access Management, или IAM, если по-простому. А если по-русски — системы контроля доступом. И к реализации этой системы существовало как минимум два подхода — RBAC и ABAC.
На примерах ↓
У вас есть бухгалтер и сисадмин. Бухгалтеру нужно вовремя пополнять баланс и скачивать акты. А сисадмину — управлять виртуалками и не заморачиваться с оплатой. На уровне фронта, в интерфейсе, вы видите две роли — собственно, «Бухгалтер» и «Сисадмин». И у каждой есть набор правил, заданных разработчиком системы. Это RBAC.
Ситуация вторая. Все те же бухгалтер и сисадмин со все теми же задачами. В интерфейсе никаких ролей — только список разделов и уровни доступа к каждому из них: «Нет доступа», «Только просмотр» и «Управление». Вы сами выбираете, что и кому дать, и сами назначаете каждой роли правила. Это ABAC — и именно его мы и выбрали.
Из приятных особенностей:
→ Пользователей может быть хоть сколько. Мы не ограничивали этот параметр. И для каждого из них можно настроить свои правила.
→ Каждый новый пользователь получает собственную ссылку для первого входа. Ссылка одноразовая, пароль отобразится при входе в панель. Все секьюрно.
→ Эти правила можно применять сразу для всех проектов или для какого-то конкретного. Например, когда вы создаете разные проекты под разные команды.
И, в завершение, в очередной раз отметим, что все это благодаря вашим идеям. Запрос на IAM был одним из самых популярных, смотрите сами — 97 голосов, 62 голоса и тут на два голоса меньше. Спасибо!