Инвентаризация и гигиена доступа — базы, публикации, пользователи
Директивный
Правило
Заголовок раздела «Правило»Доступ к базам 1С держится в порядке, а не по памяти. Задача, меняющая доступ (новый пользователь, роль, публикация, копия), обязана оставлять ландшафт инвентаризируемым:
- Актуальный реестр баз и веб-публикаций. Каждая опубликованная база — в списке, с назначением и владельцем. Публикация без владельца и старая копия, куда «теоретически можно зайти со старым паролем», — закрываются, а не живут годами (см. контуры баз).
- Пользователи инвентаризированы. По каждому известно: способ аутентификации (пароль / OpenID / сертификат / токен), наличие админских профилей, право запуска клиента, право открытия внешних отчётов/обработок. Это выгружается запросом/обработкой, а не собирается вручную по памяти.
- Парольный веб-вход не создаётся и планово выводится: вход в базу по логину/паролю через веб — это перебираемый периметр. Боевой и сервисный доступ — через SSO/сертификат/токен; сервисные учётки не ходят через веб с паролем.
- Минимальные права у всех, особенно у сервисных и внешних (роли по минимуму, техпользователь); право открытия внешних обработок — только тем, кому оно действительно нужно (внешние обработки).
Доступ и публикации — тот периметр, который расширяется незаметно: развернули копию «посмотреть», опубликовали базу «на время», завели сервисную учётку с паролем «чтобы быстро». Каждое такое действие по отдельности безобидно, а вместе они дают набор входов, которого никто не помнит и не контролирует: старая публикация с валидным паролем, админ-права у сервисной учётки, вход по паролю через веб. Инвентаризация — это не бюрократия, а единственный способ ответить на вопрос «через что вообще можно войти в наши базы и кто это может» до того, как на него ответит кто-то посторонний.
Когда не применять
Заголовок раздела «Когда не применять»- Изолированная учебная/демо-база без боевых данных и без внешнего доступа — можно без полной инвентаризации, но парольный веб-вход всё равно не выносим наружу.
- Разовая задача, не меняющая доступ (отчёт, печатная форма) — правило не касается; оно про задачи, затрагивающие пользователей, роли и публикации.