Comments 11
Что-то какая-то банальщина, очевидно, что удаляя учётную запись то теряешь доступ ко всему, где она использовалась. И рассматривать только самого вендора почты это наивно, через тот же яндекс много где можно создать учётку в другой системе.
Возможно, что для погруженных в тему это кажется банальным и логичным, что по каждому ящику админ пройдет по всей пачке сервисов и за пару дней трудозатрат на обсуждение с командой поймет, что там ценного, а что нет.
В моем случае все иначе, я воспринимал учетку как пару ЛОГИН:ПАРОЛЬ и не думал о чем-то ином. Для меня это просто учетка, и не важно где лежит домен, важно, что это логин и пароль доступа к Личному кабинету. Домен же у меня, почта на него приходит на другом сервисе, все в порядке. Но оказалось, что все сильно сложнее. Под этим впечатлением написан пост, потому что найдутся те, кто воспринимает сервис с доменами ровно так же и могут не понимать до конца, во что они ввязываются, работая с учетками экосистемы.
ройдет по всей пачке сервисов и за пару дней трудозатрат на обсуждение с командой поймет, что там ценного, а что нет.
Ну если Васе дали возможность админить облако, но потом про это забыли, значит изначально сделали что то не так и нужно менять подход. Как минимум, документировать такие вещи.
А то и без всякого яндекса, можно просто уволить админа, а через пол годика вспомнить, что только у него был root доступ к серверу.
Было вот как.
Завели на учетку облако и прекрасно несколько лет работали. Никто не смотрит на эту учетку как нечто божественное, ну показывается там ФИО и почта, и ок. Удобно.
Удалил ящик в списке ящиков в Коннекте. Но почта же есть, она не удалена. И вы так же в списке видите этот ящик, переключаетесь, заводите счета, админите сервер. Все логично, так и должно быть, мы же не удаляли ничего на Я.Облаке.
Но через несколько дней щелкает у Облака, что баланс изменился, просят оплатить, а через 3 минуты грохают аккаунт и нет вашего облака, нет в списке адресов этого адреса. Нет никаких id-шниклв, коими весь аккаут облака усеян, есть только старые счета и акты, их которых можно вытащить разное про контракт. И тишина.
Условный "Вася" в вашей терминологии воспринимает все по ходу пьесы нормально, так и должно было быть. А почему пропал ящик и все остальное дальше — становится понятно через пару часов переписки.
Про SSH-доступы мы давно переросли, тут вопросов нет. А что все облако уходит по непредсказуемой причине — к такому ранее готовы не были. Вот теперь мы и про это знаем.
Тут не просто потеря доступа... Тут получилось так, что отказались уничтожены виртуальные серверы, на которых хранилась критически важные приложения.
И это грустно ?
Напомнить, что почтовый ящик в домене это не только почта, но ещё и ключик к куче сервисов никогда не лишне. Но в текущем моменте, когда бесплатные планы для почты домена яндекса становтся платными статья звучит, как скрытое стенание по уходящим.
Примерно так:
Что у других систем?
Ровно тоже самое. Удаление учетки в G.Suite и прочих приведет к потере всего, что было у вас ранее. Вы не сможете практически ничего вернуть, если удалите учетную запись.
Ошибаетесь, восстановить удалённую учётную запись можно в течение ~20 дней. Если вы вдруг "внезапно" поняли, что у вас из-за нее что-то отвалилось. Это, во-первых, а во-вторых, нечего удалять учётки админов.
По поводу банальщины сложно не согласиться (удалил учётку - потерял доступ к сервисам, к которым давала учётка), как по мне, это не для Хабра.
Проблема, которую вы описываете, заключается как раз в отсутствии админа или другого человека, который отвечает за управление (включая учёт) доступами и/или в отсутствии соответствующих процедур. Если удаляется учётка, которая приводит к утере доступа к целому сервису (то есть суперадмина) - это нужно вообще не заниматься этим вопросом.
P.S. Да, и это:
Чтобы не регистрироваться каждый раз, были придумали регистрации через крупные сервисы, вроде Гугла, Эпла и, как дальше пойдет речь, через Яндекс.ID. В этом случае вы не вводите логины и пароли, они передаются порталу со стороны вендора такой учетной записи, иногда только email, иногда запрашивается больше всякого, но не суть.
Никому такого не говорите, а лучше почитайте про OpenID Connect.
Мы неправильно воспринимаем учетные записи в экосистемах