SysView Auth Documentation (ru) (#16654)

kunga · ElenaAfina · kunga · commit 72f51ae21642 · 2025-06-23T08:34:11.000Z
Co-authored-by: ElenaAfina &lt;144937430+ElenaAfina@users.noreply.github.com&gt;
diff --git a/ydb/docs/ru/core/concepts/glossary.md b/ydb/docs/ru/core/concepts/glossary.md
@@ -305,6 +305,10 @@
 
 **[Право доступа](../security/authorization.md#right)** или **access right** — сущность, отражающая разрешение [субъекту доступа](#access-subject) выполнять конкретный набор операций в кластере или базе данных над конкретным [объектом доступа](#access-object).
 
+### Наследование прав доступа {#access-right-inheritance}
+
+**Наследование прав доступа** — механизм, при котором [права доступа](#access-right) автоматически передаются от родительских [объектов доступа](#access-object) дочерним объектам в структуре базы данных. Это гарантирует, что разрешения, предоставленные на более высоком уровне иерархии, применяются ко всем нижестоящим уровням, если они не [переопределены явно](../reference/ydb-cli/commands/scheme-permissions.md#clear-inheritance).
+
 ### Список прав {#access-control-list}
 
 **[Список прав](../security/authorization.md#right)**, **access control list** или **ACL** — список всех [прав](#access-right), предоставленных [субъектам доступа](#access-subject) (пользователям и группам) на конкретный [объект доступа](#access-object).
diff --git a/ydb/docs/ru/core/dev/system-views.md b/ydb/docs/ru/core/dev/system-views.md
@@ -10,6 +10,7 @@
 * [Топы запросов по определенным характеристикам](#top-queries).
 * [Подробная информация о запросах](#query-metrics).
 * [История перегруженных партиций](#top-overload-partitions).
+* [Сущности управления доступом](#auth).
 
 {% note info %}
 
@@ -29,8 +30,8 @@
 
 Структура представления:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `OwnerId` | Идентификатор SchemeShard, обслуживающего таблицу.<br/>Тип: `Uint64`.<br/>Ключ: `0`.
 `PathId` | Идентификатор пути в SchemeShard.<br/>Тип: `Uint64`.<br/>Ключ: `1`.
 `PartIdx` | Порядковый номер партиции.<br/>Тип: `Uint64`.<br/>Ключ: `2`.
@@ -99,10 +100,10 @@ GROUP BY Path
 
 Текст запроса ограничен 4 килобайтами.
 
-Все представления содержат одинаковый набор полей:
+Все представления имеют одинаковую структуру:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `IntervalEnd` | Момент закрытия минутного или часового интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг запроса в топе.<br/>Тип: `Uint32`.<br/>Ключ: `1`.
 `QueryText` | Текст запроса.<br/>Тип: `Utf8`.
@@ -181,7 +182,7 @@ WHERE Rank = 1
 
 Структура представления:
 
-Поле | Описание
+Колонка | Описание
 ---|---
 `IntervalEnd` | Момент закрытия минутного интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг запроса в пределах интервала (по полю SumCPUTime).<br/>Тип: `Uint32`.<br/>Ключ: `1`.
@@ -250,10 +251,10 @@ LIMIT 100
 
 В представления попадают партиции с пиковой нагрузкой более 70 % (`CPUCores` > 0,7). В пределах одного интервала партиции ранжированы по пиковому значению нагрузки.
 
-Оба представления содержат одинаковый набор полей:
+Все представления имеют одинаковую структуру:
 
-Поле | Описание
---- | ---
+Колонка | Описание
+------- | --------
 `IntervalEnd` | Момент закрытия минутного или часового интервала.<br/>Тип: `Timestamp`.<br/>Ключ: `0`.
 `Rank` | Ранг партиции в пределах интервала (по CPUCores).<br/>Тип: `Uint32`.<br/>Ключ: `1`.
 `TabletId` | Идентификатор таблетки, обслуживающей партицию.<br/>Тип: `Uint64`.
@@ -301,3 +302,109 @@ ORDER BY IntervalEnd desc, CPUCores desc
 ```
 
 * `"YYYY-MM-DDTHH:MM:SS.UUUUUUZ"` — время в зоне UTC 0 (`YYYY` — год, `MM` — месяц, `DD` — число, `hh` — часы, `mm` — минуты, `ss` — секунды, `uuuuuu` — микросекунды). Например, `"2023-01-26T13:00:00.000000Z"`.
+
+## Сущности управления доступом {#auth}
+
+Следующие системные представления содержат информацию о различных [сущностях управления доступом](../security/authorization.md).
+
+### Информация о пользователях
+
+Представление `auth_users` содержит список внутренних [пользователей](../concepts/glossary.md#access-user) {{ ydb-short-name }}. В него не входят пользователи, аутентифицированные через внешние системы, такие как LDAP.
+
+Полный доступ к этому представлению имеют администраторы. Обычные пользователи могут просматривать только свои собственные данные.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Sid` | [SID](../concepts/glossary.md#sid) пользователя.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `IsEnabled` | Указывает, разрешён ли вход данному пользователю; используется для явной блокировки администратором. Независим от `IsLockedOut`.<br />Тип: `Bool`. |
+| `IsLockedOut` | Автоматическая блокировка из-за превышения количества неудачных попыток входа. Независима от `IsEnabled`.<br />Тип: `Bool`. |
+| `CreatedAt` | Время создания пользователя.<br />Тип: `Timestamp`. |
+| `LastSuccessfulAttemptAt` | Время последней успешной попытки входа.<br />Тип: `Timestamp`. |
+| `LastFailedAttemptAt` | Время последней неудачной попытки входа.<br />Тип: `Timestamp`. |
+| `FailedAttemptCount` | Количество неудачных попыток входа.<br />Тип: `Uint32`. |
+| `PasswordHash` | JSON-строка, содержащая хеш пароля, соль и алгоритм хеширования.<br />Тип: `Utf8`. |
+
+### Информация о группах
+
+Представление `auth_groups` содержит список [групп доступа](../concepts/glossary.md#access-group).
+
+Доступ к этому представлению имеют только администраторы.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Sid` | [SID](../concepts/glossary.md#sid) группы.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+
+### Информация о членстве в группах
+
+Представление `auth_group_members` содержит информацию о членстве в [группах доступа](../concepts/glossary.md#access-group).
+
+Доступ к этому представлению имеют только администраторы.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `GroupSid` | SID группы.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `MemberSid` | SID участника группы.<br />Тип: `Utf8`.<br />Ключ: `1`. |
+
+### Информация о правах доступа
+
+Представления содержат список выданных [прав доступа](../concepts/glossary.md#access-right).
+
+Включают два представления:
+
+* `auth_permissions`: Явно выданные права доступа.
+* `auth_effective_permissions`: Эффективные права доступа с учётом [наследования](../concepts/glossary.md#access-right-inheritance).
+
+Пользователь может видеть [объект доступа](../concepts/glossary.md#access-object) в результатах, если у него есть разрешение `ydb.granular.describe_schema` для этого объекта.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Path` | Путь к объекту доступа.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `Sid` | SID [субъекта доступа](../concepts/glossary.md#access-subject).<br />Тип: `Utf8`.<br />Ключ: `1`. |
+| `Permission` | Название [права доступа](../yql/reference/syntax/grant.md#permissions-list) {{ ydb-short-name }}.<br />Тип: `Utf8`.<br />Ключ: `2`. |
+
+#### Примеры запросов
+
+Все явно выданные права для таблицы `my_table`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Path = "my_table"
+```
+
+Все эффективные права для таблицы `my_table`, включая унаследованные:
+
+```yql
+SELECT *
+FROM `.sys/auth_effective_permissions`
+WHERE Path = "my_table"
+```
+
+Все права, явно выданные пользователю `user3`:
+
+```yql
+SELECT *
+FROM `.sys/auth_permissions`
+WHERE Sid = "user3"
+```
+
+### Информация о владельцах объектов доступа {#auth-owners}
+
+Представление `auth_owners` отображает информацию о [владельцах](../concepts/glossary.md#access-owner) [объектов доступа](../concepts/glossary.md#access-object).
+
+Пользователь может видеть [объект доступа](../concepts/glossary.md#access-object) в результатах, если у него есть право `ydb.granular.describe_schema` для этого объекта.
+
+Структура таблицы:
+
+| Колонка | Описание |
+|---------|----------|
+| `Path` | Путь к объекту доступа.<br />Тип: `Utf8`.<br />Ключ: `0`. |
+| `Sid` | SID владельца объекта доступа.<br />Тип: `Utf8`. |
