25-1 SysView Auth Documentation (#15413 & #16654) (#20023)

lopatinevgeny · web-flow · commit 0cffab3b5055 · 2025-06-25T08:27:33.000+03:00
diff --git a/ydb/docs/en/core/concepts/glossary.md b/ydb/docs/en/core/concepts/glossary.md
@@ -280,6 +280,10 @@ An access subject can be a [user](#access-user) or a [group](#access-group).
 
 An **[access right](../security/authorization.md#right)** is an entity that represents permission for an [access subject](#access-subject) to perform a specific set of operations in a cluster or database on a specific [access object](#access-object).
 
+### Access right inheritance {#access-right-inheritance}
+
+**Access rights inheritance** is a mechanism by which [access rights](#access-right) granted on parent [access objects](#access-object) are inherited by child objects in the hierarchical structure of the database. This ensures that permissions granted at a higher level in the hierarchy are applied to all sub-levels beneath it, unless [explicitly overridden](../reference/ydb-cli/commands/scheme-permissions.md#clear-inheritance).
+
 ### Access control list {#access-control-list}
 
 An **access control list** or **ACL** is a list of all [rights](#access-right) granted to [access subjects](#access-subject) (users and groups) for a specific [access object](#access-object).
diff --git a/ydb/docs/en/core/dev/system-views.md b/ydb/docs/en/core/dev/system-views.md
@@ -10,6 +10,7 @@ DB system views contain:
 * [Top queries by certain characteristics](#top-queries).
 * [Query details](#query-metrics).
 * [History of overloaded partitions](#top-overload-partitions).
+* [Information about users, groups, and access rights](#auth).
 
 {% note info %}
 
@@ -29,8 +30,8 @@ Cumulative fields (`RowReads`, `RowUpdates`, and so on) store the accumulated va
 
 Table structure:
 
-| Field | Description |
-| --- | --- |
+| Column | Description |
+|--------|-------------|
 | `OwnerId` | ID of the SchemeShard serving the table.<br/>Type: `Uint64`.<br/>Key: `0`. |
 | `PathId` | ID of the SchemeShard path.<br/>Type: `Uint64`.<br/>Key: `1`. |
 | `PartIdx` | Partition sequence number.<br/>Type: `Uint64`.<br/>Key: `2`. |
@@ -99,10 +100,10 @@ Fields that provide information about the used CPU time (...`CPUTime`) are expre
 
 Query text limit is 4 KB.
 
-All tables have the same set of fields:
+All tables have the same structure:
 
-| Field | Description |
-| --- | --- |
+| Column | Description |
+|--------|-------------|
 | `IntervalEnd` | The end of a one-minute or one-hour interval.<br/>Type: `Timestamp`.<br/>Key: `0`. |
 | `Rank` | Rank of a top query.<br/>Type: `Uint32`.<br/>Key: `1`. |
 | `QueryText` | Query text.<br/>Type: `Utf8`. |
@@ -180,8 +181,8 @@ Restrictions:
 
 Table structure:
 
-| Field | Description |
-| ---|--- |
+| Column | Description |
+|--------|-------------|
 | `IntervalEnd` | The end of a one-minute interval.<br/>Type: `Timestamp`.<br/>Key: `0`. |
 | `Rank` | Query rank within an interval (by the SumCPUTime field).<br/>Type: `Uint32`.<br/>Key: `1`. |
 | `QueryText` | Query text.<br/>Type: `Utf8`. |
@@ -250,10 +251,10 @@ The following system views (tables) store the history of points in time when the
 
 These tables contain partitions with peak loads of more than 70% (`CPUCores` > 0.7). Partitions within a single interval are ranked by peak load value.
 
-Both tables have the same set of fields:
+All tables have the same structure:
 
-| Field | Description |
-| --- | --- |
+| Column | Description |
+|--------|-------------|
 | `IntervalEnd` | The end of a one-minute or one-hour interval.<br/>Type: `Timestamp`.<br/>Key: `0`. |
 | `Rank` | Partition rank within an interval (by CPUCores).<br/>Type: `Uint32`.<br/>Key: `1`. |
 | `TabletId` | ID of the tablet serving the partition.<br/>Type: `Uint64`. |
@@ -301,3 +302,109 @@ ORDER BY IntervalEnd desc, CPUCores desc
 ```
 
 * `"YYYY-MM-DDTHH:MM:SS.UUUUUUZ"`: Time in the UTC 0 zone (`YYYY` stands for year, `MM`, for month, `DD`, for date, `hh`, for hours, `mm`, for minutes, `ss`, for seconds, and `uuuuuu`, for microseconds). For example, `"2023-01-26T13:00:00.000000Z"`.
+
+## Users, groups, and access rights {#auth}
+
+The following system views contain information about users, access groups, user membership in groups, as well as information about access rights granted to groups or directly to users.
+
+### Auth users
+
+The `auth_users` view lists internal {{ ydb-short-name }} [users](../concepts/glossary.md#access-user). It does not include users authenticated through external systems such as LDAP.
+
+This view can be fully accessed by administrators, while regular users can only view their own details.
+
+Table structure:
+
+| Column | Description |
+|--------|-------------|
+| `Sid` | [SID](../concepts/glossary.md#sid) of the user.<br />Type: `Utf8`.<br />Key: `0`. |
+| `IsEnabled` | Indicates if login is allowed; used for explicit administrator block. Independent of `IsLockedOut`.<br />Type: `Bool`. |
+| `IsLockedOut` | Indicates that user has been automatically deactivated due to exceeding the threshold for unsuccessful authentication attempts. Independent of `IsEnabled`.<br />Type: `Bool`. |
+| `CreatedAt` | Timestamp of user creation.<br />Type: `Timestamp`. |
+| `LastSuccessfulAttemptAt` | Timestamp of the last successful authentication attempt.<br />Type: `Timestamp`. |
+| `LastFailedAttemptAt` | Timestamp of the last failed authentication attempt.<br />Type: `Timestamp`. |
+| `FailedAttemptCount` | Number of failed authentication attempts.<br />Type: `Uint32`. |
+| `PasswordHash` | JSON string containing password hash, salt, and hash algorithm.<br />Type: `Utf8`. |
+
+### Auth groups
+
+The `auth_groups` view lists [access groups](../concepts/glossary.md#access-group).
+
+This view can be accessed only by administrators.
+
+Table structure:
+
+| Column | Description |
+|--------|-------------|
+| `Sid` | [SID](../concepts/glossary.md#sid) of the group.<br />Type: `Utf8`.<br />Key: `0`. |
+
+### Auth group members
+
+The `auth_group_members` view lists membership details within [access groups](../concepts/glossary.md#access-group).
+
+This view can be accessed only by administrators.
+
+Table structure:
+
+| Column | Description |
+|--------|-------------|
+| `GroupSid` | SID of the group.<br />Type: `Utf8`.<br />Key: `0`. |
+| `MemberSid` | SID of the group member. This can be either the SID of a user or the SID of a group.<br />Type: `Utf8`.<br />Key: `1`. |
+
+### Auth permissions
+
+The auth permissions views list assigned [access rights](../concepts/glossary.md#access-right).
+
+There are two views:
+
+* `auth_permissions`: Directly assigned access rights.
+* `auth_effective_permissions`: Effective access rights, accounting for [inheritance](../concepts/glossary.md#access-right-inheritance).
+
+In this view, the user sees only those [access objects](../concepts/glossary.md#access-object) for which they have the `ydb.granular.describe_schema` permission.
+
+Table structure:
+
+| Column | Description |
+|--------|-------------|
+| `Path` | Path to the access object.<br />Type: `Utf8`.<br />Key: `0`. |
+| `Sid` | SID of the [access subject](../concepts/glossary.md#access-subject).<br />Type: `Utf8`.<br />Key: `1`. |
+| `Permission` | Name of the {{ ydb-short-name }} [access right](../yql/reference/syntax/grant.md#permissions-list).<br />Type: `Utf8`.<br />Key: `2`. |
+
+#### Example queries
+
+Retrieving explicitly granted permissions on the access object - table `my_table`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Path = "my_table"
+```
+
+Retrieving effective permissions on the access object - table `my_table`:
+
+```yql
+SELECT *
+FROM `.sys/auth_effective_permissions`
+WHERE Path = "my_table"
+```
+
+Retrieving the permissions granted to the user `user3`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Sid = "user3"
+```
+
+### Auth owners
+
+The `auth_owners` view lists details of [access objects](../concepts/glossary.md#access-object) [ownership](../concepts/glossary.md#access-owner).
+
+In this view, the user sees only those [access objects](../concepts/glossary.md#access-object) for which they have the `ydb.granular.describe_schema` permission.
+
+Table structure:
+
+| Column | Description |
+|--------|-------------|
+| `Path` | Path to the access object.<br />Type: `Utf8`.<br />Key: `0`. |
+| `Sid` | SID of the access object owner.<br />Type: `Utf8`. |
diff --git a/ydb/docs/ru/core/concepts/glossary.md b/ydb/docs/ru/core/concepts/glossary.md
@@ -305,6 +305,10 @@
 
 **[Право доступа](../security/authorization.md#right)** или **access right** — сущность, отражающая разрешение [субъекту доступа](#access-subject) выполнять конкретный набор операций в кластере или базе данных над конкретным [объектом доступа](#access-object).
 
+### Наследование прав доступа {#access-right-inheritance}
+
+**Наследование прав доступа** — механизм, при котором [права доступа](#access-right) выданные на родительские [объекты доступа](#access-object) наследуются дочерними объектами в иерархической структуре базы данных. Это гарантирует, что разрешения, предоставленные на более высоком уровне иерархии, применяются ко всем нижестоящим уровням, если они не [переопределены явно](../reference/ydb-cli/commands/scheme-permissions.md#clear-inheritance).
+
 ### Список прав {#access-control-list}
 
 **[Список прав](../security/authorization.md#right)**, **access control list** или **ACL** — список всех [прав](#access-right), предоставленных [субъектам доступа](#access-subject) (пользователям и группам) на конкретный [объект доступа](#access-object).
diff --git a/ydb/docs/ru/core/dev/system-views.md b/ydb/docs/ru/core/dev/system-views.md
@@ -10,6 +10,7 @@
 * [Топы запросов по определенным характеристикам](#top-queries).
 * [Подробная информация о запросах](#query-metrics).
 * [История перегруженных партиций](#top-overload-partitions).
+* [Информацию о пользователях, группах и правах](#auth).
 
 {% note info %}
 
@@ -29,8 +30,8 @@
 
 Структура представления:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `OwnerId` | Идентификатор SchemeShard, обслуживающего таблицу.<br/>Тип: `Uint64`.<br/>Ключ: `0`.
 `PathId` | Идентификатор пути в SchemeShard.<br/>Тип: `Uint64`.<br/>Ключ: `1`.
 `PartIdx` | Порядковый номер партиции.<br/>Тип: `Uint64`.<br/>Ключ: `2`.
@@ -99,10 +100,10 @@ GROUP BY Path
 
 Текст запроса ограничен 4 килобайтами.
 
-Все представления содержат одинаковый набор полей:
+Все представления имеют одинаковую структуру:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `IntervalEnd` | Момент закрытия минутного или часового интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг запроса в топе.<br/>Тип: `Uint32`.<br/>Ключ: `1`.
 `QueryText` | Текст запроса.<br/>Тип: `Utf8`.
@@ -181,7 +182,7 @@ WHERE Rank = 1
 
 Структура представления:
 
-Поле | Описание
+Колонка | Описание
 ---|---
 `IntervalEnd` | Момент закрытия минутного интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг запроса в пределах интервала (по полю SumCPUTime).<br/>Тип: `Uint32`.<br/>Ключ: `1`.
@@ -250,10 +251,10 @@ LIMIT 100
 
 В представления попадают партиции с пиковой нагрузкой более 70 % (`CPUCores` > 0,7). В пределах одного интервала партиции ранжированы по пиковому значению нагрузки.
 
-Оба представления содержат одинаковый набор полей:
+Все представления имеют одинаковую структуру:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `IntervalEnd` | Момент закрытия минутного или часового интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг партиции в пределах интервала (по CPUCores).<br/>Тип: `Uint32`.<br/>Ключ: `1`.
 `TabletId` | Идентификатор таблетки, обслуживающей партицию.<br/>Тип: `Uint64`.
@@ -301,3 +302,109 @@ ORDER BY IntervalEnd desc, CPUCores desc
 ```
 
 * `"YYYY-MM-DDTHH:MM:SS.UUUUUUZ"` — время в зоне UTC 0 (`YYYY` — год, `MM` — месяц, `DD` — число, `hh` — часы, `mm` — минуты, `ss` — секунды, `uuuuuu` — микросекунды). Например, `"2023-01-26T13:00:00.000000Z"`.
+
+## Пользователи, группы и права доступа {#auth}
+
+Следующие системные представления содержат информацию о пользователях, группах доступа, членстве пользователей в группах, а также информацию о предоставленных правах доступа группам или непосредственно пользователям.
+
+### Информация о пользователях
+
+Представление `auth_users` содержит список внутренних [пользователей](../concepts/glossary.md#access-user) {{ ydb-short-name }}. В него не входят пользователи, аутентифицированные через внешние системы, такие как LDAP.
+
+Полный доступ к этому представлению имеют администраторы. Обычные пользователи могут просматривать только свои собственные данные.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Sid` | [SID](../concepts/glossary.md#sid) пользователя.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `IsEnabled` | Указывает, разрешён ли вход данному пользователю; используется для явной блокировки администратором. Независим от `IsLockedOut`.<br />Тип: `Bool`. |
+| `IsLockedOut` | Указывает, что данный пользователь автоматически заблокирован из-за превышения количества неудачных аутентификаций. Независим от `IsEnabled`.<br />Тип: `Bool`. |
+| `CreatedAt` | Время создания пользователя.<br />Тип: `Timestamp`. |
+| `LastSuccessfulAttemptAt` | Время последней успешной аутентификации.<br />Тип: `Timestamp`. |
+| `LastFailedAttemptAt` | Время последней неудачной аутентификации.<br />Тип: `Timestamp`. |
+| `FailedAttemptCount` | Количество неудачных аутентификаций.<br />Тип: `Uint32`. |
+| `PasswordHash` | JSON-строка, содержащая хеш пароля, соль и алгоритм хеширования.<br />Тип: `Utf8`. |
+
+### Информация о группах
+
+Представление `auth_groups` содержит список [групп доступа](../concepts/glossary.md#access-group).
+
+Доступ к этому представлению имеют только администраторы.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Sid` | [SID](../concepts/glossary.md#sid) группы.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+
+### Информация о членстве в группах
+
+Представление `auth_group_members` содержит информацию о членстве в [группах доступа](../concepts/glossary.md#access-group).
+
+Доступ к этому представлению имеют только администраторы.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `GroupSid` | SID группы.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `MemberSid` | SID участника группы. Может быть указан как SID непосредственно пользователя, так и SID группы.<br />Тип: `Utf8`.<br />Ключ: `1`. |
+
+### Информация о правах доступа
+
+Представления содержат список выданных [прав доступа](../concepts/glossary.md#access-right).
+
+Включают два представления:
+
+* `auth_permissions`: Явно выданные права доступа.
+* `auth_effective_permissions`: Эффективные права доступа с учётом [наследования](../concepts/glossary.md#access-right-inheritance).
+
+Пользователю в данном представлении отображаются только те [объекты доступа](../concepts/glossary.md#access-object), на которые у него есть право `ydb.granular.describe_schema`.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Path` | Путь к объекту доступа.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `Sid` | SID [субъекта доступа](../concepts/glossary.md#access-subject).<br />Тип: `Utf8`.<br />Ключ: `1`. |
+| `Permission` | Название [права доступа](../yql/reference/syntax/grant.md#permissions-list) {{ ydb-short-name }}.<br />Тип: `Utf8`.<br />Ключ: `2`. |
+
+#### Примеры запросов
+
+Получение явно предоставленных прав на объект доступа - таблицу `my_table`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Path = "my_table"
+```
+
+Получение эффективных прав на объект доступа - таблицу `my_table`:
+
+```yql
+SELECT *
+FROM `.sys/auth_effective_permissions`
+WHERE Path = "my_table"
+```
+
+Получение прав, предоставленных пользователю `user3`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Sid = "user3"
+```
+
+### Информация о владельцах объектов доступа {#auth-owners}
+
+Представление `auth_owners` отображает информацию о [владельцах](../concepts/glossary.md#access-owner) [объектов доступа](../concepts/glossary.md#access-object).
+
+Пользователю в данном представлении отображаются только те [объекты доступа](../concepts/glossary.md#access-object), на которые ему предоставлено право `ydb.granular.describe_schema`.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Path` | Путь к объекту доступа.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `Sid` | SID владельца объекта доступа.<br />Тип: `Utf8`. |
