Skip to content

Commit

Permalink
Release 18.06.2021
Browse files Browse the repository at this point in the history 
* Fixes and improvements.
* Translations updated.
  • Loading branch information
DataUI VCS Robot committed Jun 18, 2021
1 parent 4714f41 commit 10e6330
Show file tree
Hide file tree
Showing 8 changed files with 295 additions and 97 deletions.
2 changes: 1 addition & 1 deletion .yfm
View file
Original file line number Diff line number Diff line change
@@ -1,7 +1,7 @@
allowHTML: true
connector:
type: github
gitHub:
github:
endpoint: https://api.github.com
owner: yandex-cloud
repo: docs
33 changes: 27 additions & 6 deletions en/datalens/security/index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -19,8 +19,8 @@ Users can also request permission on their own via the request form. For more in

Let you define user permissions in a {{ datalens-short-name }} instance:

- `{{ roles-datalens-instances-user }}`: A {{ datalens-short-name }} user with the permissions to create, read, and update objects based on [object permissions](#permissions).
- `{{ roles-datalens-instances-admin }}`: A {{ datalens-short-name }} instance administrator. The role is automatically assigned to the instance creator. The administrator has the `{{ roles-datalens-instances-user }}` rights and can also change the service plan and pay for the paid content in {{ marketplace-name }}.
- `{{ roles-datalens-instances-user }}` A {{ datalens-short-name }} user with the permissions to create, read, and update objects based on [object permissions](#permissions).
- `{{ roles-datalens-instances-admin }}` — The {{ datalens-short-name }} instance administrator. The role is automatically assigned to the instance creator. The administrator has the `{{ roles-datalens-instances-user }}` rights and can also change the service plan and pay for the paid content in {{ marketplace-name }}.

User roles are assigned in the {{ yandex-cloud }} console.

Expand Down Expand Up @@ -76,21 +76,41 @@ For more information about assigning roles in {{ yandex-cloud }}, see [Roles](..

You can assign the following permissions to objects and folders in {{ datalens-short-name }}:

- [{{ permission-execute }}](#permission-execute)
- [{{ permission-read }}](#permission-read)
- [{{ permission-write }}](#permission-write)
- [{{ permission-admin }}](#permission-admin)

### {{ permission-execute }} {#permission-execute}

A user with the `{{ permission-execute }}` permission can make requests to available connections and datasets.
It doesn't let the user view connections or datasets.
A user with the `{{ permission-execute }}` permission for a connection can make requests to it, but can't create datasets. Regardless of dataset permissions, the user can't access a list of tables in a dataset or view the SQL subquery that the dataset is based on.

A user with the `{{ permission-execute }}` permission for a dataset can make requests to it and create charts, but can't view the dataset.

{% note warning %}

You can only grant the `{{ permission-execute }}` permission for a connection and dataset.
You can only grant the `{{ permission-execute }}` permission for connections and datasets.

{% endnote %}

Granting users the `{{ permission-execute }}` permission lets you:

- Reduce the number of requests to the source, thereby reducing the load on the connection source.

- Better control what data can be shown from a dataset. You can hide some source fields so that users can't view all fields.

- Restrict the creation of subqueries to the source database. A user with the `{{ permission-execute }}` permission can't write subqueries.

### {{ permission-read }} {#permission-read}

A user with the `{{ permission-read }}` permission can view dashboards, widgets, datasets, and directories.

{% note warning %}

The `{{ permission-read }}` permission doesn't allow copying datasets, because they contain [RLS](row-level-security.md) settings. A user can only copy datasets if granted the `{{ permission-write }}` or `{{ permission-admin }}` permission.

{% endnote %}

### {{ permission-write }} {#permission-write}

A user with the `{{ permission-write }}` permission can edit dashboards, widgets, connections, datasets, and directories.
Expand Down Expand Up @@ -147,4 +167,5 @@ To get logs, you can contact [technical support]({{ link-console-support }}).
- [{#T}](../operations/permission/grant.md)
- [{#T}](../operations/permission/revoke.md)
- [{#T}](../operations/permission/request.md)
- [{#T}](../operations/dataset/manage-row-level-security.md)
- [{#T}](../operations/dataset/manage-row-level-security.md)

4 changes: 2 additions & 2 deletions ru/dns/concepts/compute-integration.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -4,10 +4,10 @@

Чтобы при создании ВМ добавить ее в зону, выберите нужную зону и задайте доменное имя в блоке **Сетевые настройки**. Вы можете подключить интерфейсы ВМ к разным подсетям и получить доменные имена в разных зонах. Если вы не укажете зону, ВМ получит доменное имя в стандартной зоне подсети, к которой будет подключена ВМ. Инструкции по созданию ВМ см. в разделе [{#T}](../../compute/operations/vm-create/create-linux-vm.md).

Сейчас невозможно сразу добавить запись с публичным IP-адресом в доменную зону во время создания ВМ. Добавить запись можно [вручную](../operations/resource-record-create.md) после создания ВМ.
Для ВМ с публичным IP-адресом добавить запись можно [вручную](../operations/resource-record-create.md) после создания ВМ.

## Работа {{ dns-name }} с группами ВМ

При назначения FQDN ВМ из групп, имя, указанное в [шаблоне ВМ](../../compute/concepts/instance-groups/instance-template.md), будет использоваться для всех ВМ из группы — будет создан набор записей с одинаковыми именами, но разными IP-адресами в значениях.

Вы можете использовать [переменные](../../compute/concepts/instance-groups/variables-in-the-template.md) из шаблонов ВМ при создании записей. Например, если указать имя записи `web_server_{instance.index}` можно создать записи с уникальными именами ВМ из группы, а с помощью имени `web_server_{instance.zone_id}` — записи, объединяющие все ВМ в одной зоне доступности.
Вы можете использовать [переменные](../../compute/concepts/instance-groups/variables-in-the-template.md) из шаблонов ВМ при создании записей. Например, если указать имя записи `web_server_{instance.index}`, можно создать записи с уникальными именами ВМ из группы, а с помощью имени `web_server_{instance.zone_id}` — записи, объединяющие все ВМ в одной зоне доступности.
65 changes: 46 additions & 19 deletions ru/dns/concepts/dns-zone.md
View file
Original file line number Diff line number Diff line change
@@ -1,45 +1,72 @@
# Зоны DNS

Зона DNS — это логическое пространство, объединяющее доменные имена ваших ресурсов. С помощью зон вы можете управлять иерархией ваших облачных ресурсов и маршрутизировать DNS-запросы. Например, вы можете объединить ваши тестовые ВМ в рамках зоны `testing.`, а основные ВМ — в зоне `production.`. Зоны содержат [ресурсные записи](resource-record.md).
Зона DNS — это логическое пространство, которое объединяет доменные имена ваших ресурсов и содержит нужные [ресурсные записи](resource-record.md). Зоны бывают [публичные](#public-zones) и [внутренние](#private-zones). Вне зависимости от типа, они образуют иерархию: у зоны может быть одна или несколько подзон.

Вы можете управлять иерархией облачных ресурсов и маршрутизировать DNS-запросы. Например, создать подзоны для основной и тестовой сред, а внутри них подзоны для приложений, кластеров БД, кеширующих серверов и т. д.

Для управления доступом к зонам, подзонам и ресурсным записям используется ресурсная модель {{ yandex-cloud }}.
Если публичная зона зарегистрирована в {{ yandex-cloud }}:

* для создания подзоны требуются права на управление родительской зоной;
* для управления подзоной и записями в ней права на родительскую зону не требуются.

Это предотвращает создание подзон для зарегистрированных в {{ yandex-cloud }} зон, к которым у пользователей нет доступа.
Можно создавать зоны и подзоны в разных каталогах. Для этого назначьте пользователю или [сервисному аккаунту](../../iam/concepts/users/service-accounts.md) роль `editor` на каталог, в котором находится родительская зона. Подробнее см. в разделе [{#T}](../security/index.md).

Например, родительская зона `example.com.` находится в каталоге `my-folder`. Тогда, при наличии прав на управление этой зоной, подзоны `test.example.com.` и `production.example.com.` могут быть созданы в каталогах `my-test-folder` и `my-production-folder` соответственно.

Зоны бывают двух типов: публичные и внутренние.

## Публичные зоны {#public-zones}

Доменные имена в публичных зонах доступны из интернета. Если у вас есть зарегистрированный домен, вы можете делегировать его. Для этого укажите у вашего регистратора адреса серверов имен {{ yandex-cloud }} из `NS`-записи:
Доменные имена в публичных зонах доступны из интернета. Если у вас есть зарегистрированный домен, вы можете делегировать его. Для этого укажите адреса серверов имен {{ yandex-cloud }} в `NS`-записях вашего регистратора:

* `ns1.yandexcloud.net.`
* `ns2.yandexcloud.net.`

Публичные зоны верхнего уровня (TLD-зоны) создавать нельзя.
Публичные зоны верхнего уровня (TLD-зоны) создавать нельзя.

Из соображений безопасности, вложенные публичные зоны могут размещаться только в одном каталоге. Учитывайте это при организации структуры ваших доменных имен. Для организации более сложных сценариев обратитесь в [техническую поддержку](../../support/overview.md).

Из соображений безопасности, вложенные публичные зоны могут сосуществовать только в одном каталоге. Планируйте это при организации структуры ваших доменных имен. Для организации более сложных сценариев обратитесь в поддержку.
Сервис не требует подтверждения владения доменом. Вы можете занять доменную зону, даже если она не зарегистрирована на вас. Однако, если владелец подтвердит свои права на доменную зону, вы потеряете к ней доступ. Если вы — владелец домена, а зона уже кем-то занята, обратитесь в [техническую поддержку](../../support/overview.md).

Сейчас нет проверки владения доменом. Вы можете занять доменную зону, но если она не зарегистрирована на вас, вы можете потерять к ней доступ. Если вы заметите, что ваше доменное имя занято, обратитесь в техническую поддержку, чтобы подтвердить владение доменом.

## Внутренние зоны {#private-zones}

Доменные имена из внутренних зон доступны для использования только в сетях [{{ vpc-name }}](../../vpc), указанных при создании зоны. Во внутренних зонах вы можете использовать все пространство имен в подсетях выбранной сети, в том числе `internal.` и `.`.
Доменные имена из внутренних зон доступны для использования только в сетях [{{ vpc-name }}](../../vpc) (VPC), указанных при создании зоны. Во внутренних зонах вы можете использовать все пространство имен в подсетях выбранной сети, в том числе `internal.` и `.`.

{% note warning %}

Созданная внутренняя зона перекрывает публичные зоны. Если вы создадите внутреннюю зону `yandex.ru`, то в этой сети {{ vpc-short-name }} станут недоступны все поддомены `yandex.ru.`, доступные из интернета.

{% endnote %}

В сетях {{ vpc-short-name }} автоматически создаются несколько внутренних зон:
В сетях {{ vpc-short-name }} могут автоматически создаваться внутренние зоны. Список таких зон определяется диапазоном адресов используемых подсетей, например:

{% cut "Внутренние зоны {{ yandex-cloud }}" %}

* `.`
* `internal.`
* `10.in-addr.arpa.`

В этих зонах содержатся записи со внутренними FQDN виртуальных машин и именами баз данных MDB, пользовательскими именами ВМ и обратными записями. Автоматически созданные зоны нельзя редактировать.

Для повышения отказоустойчивости часть трафика может передаваться в сторонние рекурсивные резолверы. Если вам необходимо избежать этого — обратитесь в техническую поддержку.

## Создание подзон в разных каталогах {#subzones-in-different-folders}

Вы можете создавать подзоны в разных каталогах. Например, зона `example.com.` будет создана в каталоге `my-folder`. При этом подзоны `test.example.com.` и `production.example.com.` могут быть созданы в каталогах `my-test-folder` и `my-production-folder` соответственно.

Чтобы создавать подзоны в разных каталогах, назначьте пользователю или [сервисному аккаунту](../../iam/concepts/users/service-accounts.md) роль `editor` на каталог, где находится зона, частями которой будут создаваемые подзоны.

* `168.192.in-addr.arpa.`
* `16.172.in-addr.arpa.`
* `17.172.in-addr.arpa.`
* `18.172.in-addr.arpa.`
* `19.172.in-addr.arpa.`
* `20.172.in-addr.arpa.`
* `21.172.in-addr.arpa.`
* `22.172.in-addr.arpa.`
* `23.172.in-addr.arpa.`
* `24.172.in-addr.arpa.`
* `25.172.in-addr.arpa.`
* `26.172.in-addr.arpa.`
* `27.172.in-addr.arpa.`
* `28.172.in-addr.arpa.`
* `29.172.in-addr.arpa.`
* `30.172.in-addr.arpa.`
* `31.172.in-addr.arpa.`

{% endcut %}

В этих зонах содержатся записи с внутренними FQDN виртуальных машин и именами баз данных MDB, пользовательскими именами ВМ и обратными записями. Автоматически созданные записи нельзя редактировать, но вы можете управлять записями, добавленными вручную.

Для повышения отказоустойчивости часть трафика может передаваться в сторонние рекурсивные резолверы. Если вам необходимо избежать этого — обратитесь в [техническую поддержку](../../support/overview.md).
2 changes: 1 addition & 1 deletion ru/dns/concepts/index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -5,4 +5,4 @@
С помощью {{ dns-name }} вы можете:

* Создавать [доменные зоны](dns-zone.md) в иерархии DNS.
* Управлять [ресурсными записями](resource-record.md) в созданных зонах.
* Управлять [ресурсными записями](resource-record.md) в созданных зонах.
Loading

0 comments on commit 10e6330

Please sign in to comment.