Restructured security index

Author: anton-bobkov

ydb/docs/en/core/concepts/glossary.md

@@ -327,15 +327,15 @@ An **access control list** or **ACL** is a list of all [rights](#access-right) g
 
 ### Access level {#access-level}
 
-An **[access level](../security/authorization.md#level)** determines additional privileges of an [access subject](#access-subject) for [scheme objects](#scheme-object) as well as privileges that are not related to [scheme objects](#scheme-object).
+An **access level** determines additional privileges of an [access subject](#access-subject) for [scheme objects](#scheme-object) as well as privileges that are not related to [scheme objects](#scheme-object).
 
 An access level is granted by adding an access subject to an [access level list](#access-level-list).
 
 ### Access level list {#access-level-list}
 
 An **access level list** is a list of [SIDs](#access-sid) that grants a certain [access level](#access-level) to the associated [access subjects](#access-subject).
 
-{{ ydb-short-name }} provides several [access level lists](../reference/configuration/index.md#security-access-levels) that collectively determine [access levels](#access-level) in the system.
+{{ ydb-short-name }} provides several [access level lists](../reference/configuration/security_config.md#security-access-levels) that collectively determine [access levels](#access-level) in the system.
 
 ### Owner {#access-owner}
 

ydb/docs/ru/core/concepts/glossary.md

@@ -342,15 +342,19 @@
 
 ### Уровень доступа {#access-level}
 
-**[Уровень доступа](../security/authorization.md#level)** — состояние, определяющее дополнительные возможности [субъекта доступа](#access-subject) при работе с [объектами схемы](#scheme-object), а также возможности [субъекта доступа](#access-subject) в контекстах, не связанных с [объектами схемы](#scheme-object).
+**Уровень доступа** — состояние, определяющее дополнительные возможности [субъекта доступа](#access-subject) при работе с [объектами схемы](#scheme-object), а также возможности [субъекта доступа](#access-subject) в контекстах, не связанных с [объектами схемы](#scheme-object). {{ ydb-short-name }} использует три уровня доступа:
+
+- наблюдатель;
+- оператор;
+- администратор.
 
 Уровень доступа определяется принадлежностью субъекта к [спискам разрешений](#access-level-list).
 
 ### Список уровня доступа {#access-level-list}
 
 **Список уровня доступа** или **список разрешений** — список [SID](#access-sid)'ов [субъектов доступа](#access-subject), которым разрешён определённый [уровень доступа](#access-level).
 
-{{ ydb-short-name }} имеет несколько [списков уровней доступа](../reference/configuration/index.md#security-access-levels), совместно определяющих набор [уровней доступа](#access-level) в системе.
+{{ ydb-short-name }} имеет несколько [списков уровней доступа](../reference/configuration/security_config.md#security-access-levels), совместно определяющих набор [уровней доступа](#access-level) в системе.
 
 ### Владелец {#access-owner}
 

ydb/docs/ru/core/security/index.md

@@ -8,22 +8,49 @@
 
 Система безопасности {{ ydb-short-name }} оперирует следующими концепциями и элементами:
 
+- **Субъекты доступа**:
+
+    - **Пользователи**. {{ ydb-short-name }} позволяет работать как с внутренними [пользователями](./authorization.md#user), так и с пользователями из внешних источников (каталогов и систем).
+
+    - **Группы**. {{ ydb-short-name }} позволяет объединять пользователей в именованные множества с равными возможностями для своих членов.
+
+- **Объекты доступа**. В {{ ydb-short-name }} объектами доступа являются объекты схемы, для которых настраиваются права доступа.
+
+- **Права доступа** и **уровни доступа**. Привилегии пользователей и групп в {{ ydb-short-name }} настраиваются с помощью **прав доступа** и **уровней доступа**:
+
+    - [Права доступа](./authorization.md#right) — это возможность субъекта доступа выполнять определенные правом действия над объектом доступа. Права доступа на конкретный [объект доступа](../concepts/glossary.md#access-object) перечисляются в [списке прав](../concepts/glossary.md#access-control-list) данного объекта доступа.
+
+    - Для управления дополнительными возможностями [субъекта доступа](../concepts/glossary.md#access-subject) в контекстах, не связанных с [объектами схемы](../concepts/glossary.md#scheme-object), используются [уровни доступа](../concepts/glossary.md#access-level):
+
+        - наблюдатель;
+        - оператор;
+        - администратор.
+
+        Распределение пользователей по уровням доступа производится с помощью [списков уровней доступа](../concepts/glossary.md#access-level-list).
+
 - **[Аутентификация](./authentication.md) и [авторизация](./authorization.md)**. Система управления доступом в {{ ydb-short-name }} предоставляет механизм защиты данных в кластере {{ ydb-short-name }}. Только аутентифицированные [субъекты доступа](../concepts/glossary.md#access-subject) (пользователи и группы) могут работать с данными, а доступ к данным может ограничиваться.
 
-    При доступе к базе данных {{ ydb-short-name }} [пользователи](../concepts/glossary.md#access-user) проходят [аутентификацию](./authentication.md) — процесс проверки, подтверждающий подлинность пользователя при доступе к базе данных. На основе аутентификационных данных пользователь затем проходит [авторизацию](./authorization.md) — процесс проверки наличия определённых [прав доступа](../concepts/glossary.md#access-right) и [уровней доступа](../concepts/glossary.md#access-level) для выполнения операции пользователя.
+    - **Аутентификация**. При доступе к базе данных {{ ydb-short-name }} [пользователи](../concepts/glossary.md#access-user) проходят [аутентификацию](./authentication.md) — процесс проверки, подтверждающий подлинность пользователя при доступе к базе данных.
 
-    {{ ydb-short-name }} позволяет работать как с внутренними [пользователями](./authorization.md#user), так и с пользователями из внешних источников (каталогов и систем). После прохождения [аутентификации](./authentication.md) пользователи получают идентификатор в виде [SID](./authorization.md#sid), который используется для идентификации пользователя в {{ ydb-short-name }} и использования в механизмах управления доступом.
+        После прохождения [аутентификации](./authentication.md) пользователи получают идентификатор и аутентификационный токен:
 
-    [Права доступа](./authorization.md#right) в {{ ydb-short-name }} привязываются к [объекту доступа](../concepts/glossary.md#access-object) с помощью [списков прав](../concepts/glossary.md#access-control-list). Формат списков прав описан в статье [{#T}](./short-access-control-notation.md).
+        - Идентификатор в виде [SID](./authorization.md#sid) используется для идентификации пользователя в {{ ydb-short-name }} и использования в механизмах управления доступом.
 
-    Для управления дополнительными возможностями [субъекта доступа](../concepts/glossary.md#access-subject) в контекстах, не связанных с [объектами схемы](../concepts/glossary.md#scheme-object), используются используются [уровни доступа](../concepts/glossary.md#access-level). Распределение пользователей по уровням доступа производится с помощью [списков уровней доступа](../concepts/glossary.md#access-level-list).
+        - Аутентификационный токен используется узлами {{ ydb-short-name }} для подтверждения подлинности пользователя перед обработкой его запросов.
 
-    По умолчанию при первом запуске кластера {{ ydb-short-name }} выполняется [встроенная настройка безопасности](./builtin-security.md), которая добавляет в систему [суперпользователя](./builtin-security.md#superuser), а также реализует набор [ролей](./builtin-security.md#role) безопасности для удобного управления пользователями.
+            Если источник, в котором был создан пользователь, подтверждает аутентификацию пользователя, то создаётся и кэшируется токен пользователя для аутентификации будущих запросов от этого пользователя, чтобы не проводить проверку аутентификационного токена заново.
 
-- **Шифрование**. Поскольку {{ ydb-short-name }} является распределённой системой, обычно работающей на кластере, часто расположенном в нескольких датацентрах или зонах доступности, пользовательские данные регулярно передаются по сети. Могут использоваться различные протоколы, каждый из которых может быть настроен для работы с использованием [шифрования данных при передаче](./encryption/data-in-transit.md). {{ ydb-short-name }}  также поддерживает прозрачное [шифрование данных при хранении](./encryption/data-at-rest.md) на уровне прокси распределённого хранилища.
+    - **Авторизация**. На основе аутентификационных данных пользователь затем проходит [авторизацию](./authorization.md) — процесс проверки наличия определённых [прав доступа](../concepts/glossary.md#access-right) и [уровней доступа](../concepts/glossary.md#access-level) для выполнения операции пользователя.
 
 - **Аудитные логи**. {{ ydb-short-name }} предоставляет в [аудитных логах](./audit-log.md) данные об операциях по изменению объектов (успешных или неуспешных), таких как изменение прав доступа, создание и удаление объектов и т.п. Аудитные логи не отслеживают операции DML.
 
+- **Шифрование**. Поскольку {{ ydb-short-name }} является распределённой системой, обычно работающей на кластере, часто расположенном в нескольких датацентрах или зонах доступности, пользовательские данные регулярно передаются по сети. YDB использует:
+
+    - [шифрование данных при передаче](./encryption/data-in-transit.md) для обеспечения безопасности трафика, передаваемого от клиента к {{ ydb-short-name }} и между узлами {{ ydb-short-name }};
+    - [шифрование данных при хранении](./encryption/data-at-rest.md).
+
+- **Встроенная настройка безопасности**. По умолчанию при первом запуске кластера {{ ydb-short-name }} выполняется [встроенная настройка безопасности](./builtin-security.md), которая добавляет в систему [суперпользователя](./builtin-security.md#superuser), а также реализует набор [ролей](./builtin-security.md#role) безопасности для удобного управления пользователями.
+
 
 Основные материалы: