# Права и возможности пользователей

При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.

**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).

## Ограничения доступа SuperAdmin

SuperAdmin **не имеет доступа** к следующим компонентам:

- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
- управление компонентами платформы Deckhouse на уровне всего кластера;
- master-узлы, system-узлы и frontend-узлы;
- изменение конфигурации платформы Deckhouse и её глобальных модулей.

## Доступные действия

### Управление пространствами имен (Namespaces)

SuperAdmin может управлять пространствами имен:

- создавать новые namespace;
- удалять namespace (все ресурсы внутри удаляются);
- просматривать список всех namespace;
- устанавливать метки (labels) и аннотации для namespace.

### Управление рабочими нагрузками

SuperAdmin имеет полный контроль над подами, развёртываниями и другими ресурсами приложений:

- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
- создавать, обновлять и удалять Pod;
- просматривать логи подов (`kubectl logs`);
- подключаться к выполняющемуся контейнеру (`kubectl exec`);
- масштабировать развертывания (увеличивать или уменьшать количество реплик);
- обновлять версии образов контейнеров;
- удалять поды (в том числе принудительно);
- просматривать события (events) в namespace.

### Управление сетевым доступом (Services & Ingress)

SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:

SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:

- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
- настраивать порты и селекторы для сервисов;
- просматривать список сервисов и их конечных точек (endpoints).

### Управление хранилищем (Storage)

SuperAdmin может создавать и использовать тома для хранения данных приложений:

- создавать Persistent Volume Claim (PVC);
- удалять PVC (освобождать дисковое пространство);
- просматривать список PVC и их статусов;
- использовать PVC в подах (монтировать тома).

### Управление конфигурацией (ConfigMaps & Secrets)

SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:

- создавать, изменять и удалять ConfigMap;
- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.

### Мониторинг и наблюдаемость

SuperAdmin имеет доступ к метрикам и логам своих приложений:

- просматривать метрики приложений в Grafana;
- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki);
- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
- просматривать события Kubernetes (events) для диагностики проблем.

### Управление доступом (RBAC)

SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:

- создавать и удалять учетные записи (ServiceAccount);
- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
- ограничивать доступ к отдельным ресурсам.