Feature/PaaS-Deckhouse

src/Deckhouse/user-permissions.md

@@ -0,0 +1,83 @@
+# Права и возможности пользователей
+
+При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.
+
+**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).
+
+## Ограничения доступа SuperAdmin
+
+SuperAdmin **не имеет доступа** к следующим компонентам:
+
+- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
+- управление компонентами платформы Deckhouse на уровне всего кластера;
+- master-узлы, system-узлы и frontend-узлы;
+- изменение конфигурации платформы Deckhouse и её глобальных модулей.
+
+## Доступные действия
+
+### Управление пространствами имен (Namespaces)
+
+SuperAdmin может управлять пространствами имен:
+
+- создавать новые namespace;
+- удалять namespace (все ресурсы внутри удаляются);
+- просматривать список всех namespace;
+- устанавливать метки (labels) и аннотации для namespace.
+
+### Управление рабочими нагрузками
+
+SuperAdmin имеет полный контроль над подами, развёртываниями и другими ресурсами приложений:
+
+- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
+- создавать, обновлять и удалять Pod;
+- просматривать логи подов (`kubectl logs`);
+- подключаться к выполняющемуся контейнеру (`kubectl exec`);
+- масштабировать развертывания (увеличивать или уменьшать количество реплик);
+- обновлять версии образов контейнеров;
+- удалять поды (в том числе принудительно);
+- просматривать события (events) в namespace.
+
+### Управление сетевым доступом (Services & Ingress)
+
+SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:
+
+SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:
+
+- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
+- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
+- настраивать порты и селекторы для сервисов;
+- просматривать список сервисов и их конечных точек (endpoints).
+
+### Управление хранилищем (Storage)
+
+SuperAdmin может создавать и использовать тома для хранения данных приложений:
+
+- создавать Persistent Volume Claim (PVC);
+- удалять PVC (освобождать дисковое пространство);
+- просматривать список PVC и их статусов;
+- использовать PVC в подах (монтировать тома).
+
+### Управление конфигурацией (ConfigMaps & Secrets)
+
+SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:
+
+- создавать, изменять и удалять ConfigMap;
+- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
+- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.
+
+### Мониторинг и наблюдаемость
+
+SuperAdmin имеет доступ к метрикам и логам своих приложений:
+
+- просматривать метрики приложений в Grafana;
+- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki);
+- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
+- просматривать события Kubernetes (events) для диагностики проблем.
+
+### Управление доступом (RBAC)
+
+SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:
+
+- создавать и удалять учетные записи (ServiceAccount);
+- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
+- ограничивать доступ к отдельным ресурсам.