deckhouse · niknamess · May 6, 2026
diff --git a/content/documentation/admin/security/rbac.ru.md b/content/documentation/admin/security/rbac.ru.md
@@ -21,6 +21,63 @@ weight: 20
 Если у пользователя нет соответствующих разрешений, он не сможет выполнять никакие операции на платформе. Система проверяет разрешения для каждой операции.
 {{< /alert >}}
 
+## Имперсонификация пользователей
+
+DDP поддерживает режим имперсонификации, который позволяет пользователю с соответствующими правами временно выполнять действия от имени другого пользователя для диагностики и проверки прав доступа.
+
+{{< alert level="info" >}}
+Имперсонификация доступна только в веб-сессии платформы (через браузерную сессию). Запуск через API-токены не поддерживается.
+{{< /alert >}}
+
+### Глобальное разрешение для имперсонификации
+
+- `impersonate:users` — запуск и завершение имперсонификации пользователей.
+
+### Ограничения безопасности при запуске
+
+Имперсонификация не будет запущена, если:
+
+- выбранный пользователь заблокирован;
+- выбран тот же пользователь, под которым уже выполнен вход;
+- выбран супер-администратор, а оператор не является супер-администратором;
+- выбран пользователь, у которого уже есть глобальное разрешение `impersonate:users` (исключение: оператор — супер-администратор).
+
+### Срок действия сессии имперсонификации
+
+Сессия имперсонификации имеет ограниченное время жизни:
+
+- длительность сессии: 30 минут;
+- по истечении времени сессия завершается автоматически;
+- в интерфейсе отображается таймер обратного отсчета до автоматического завершения.
+
+Если пользователь не завершил имперсонификацию вручную, платформа завершит ее автоматически после истечения срока действия.
+
+### Ограничения доступа в режиме имперсонификации
+
+В режиме имперсонификации оператору недоступны операции, связанные с учетными данными и секретами пользователя, от имени которого выполняется сессия.
+
+В частности, запрещены:
+
+- создание и изменение пользовательских учетных данных;
+- просмотр, создание и удаление API-ключей;
+- работа с AI user credentials;
+- просмотр и изменение конфигурации Vault, а также проверка подключения;
+- изменение профиля пользователя в рамках сессии имперсонификации.
+
+{{< alert level="info" >}}
+Платформа скрывает чувствительные данные пользователя в ответах API и блокирует чувствительные операции на уровне backend.
+{{< /alert >}}
+
+### Аудит и трассировка действий
+
+Все действия в режиме имперсонификации логируются с указанием оператора и пользователя, от имени которого выполнялись действия.
+
+Это позволяет однозначно определить:
+
+- кто инициировал действие;
+- от чьего имени действие было выполнено;
+- какой результат получен.
+
 ## Типы объектов и разрешения
 
 ### Глобальные разрешения
@@ -116,6 +173,7 @@ weight: 20
 
 Типы учётных данных:
 - `edit:user-access-credentials-types` — создание, редактирование и удаление типов учётных данных; настройка интеграции с Vault (просмотр и изменение конфигурации, проверка подключения).
+- `impersonate:users` — запуск и завершение имперсонификации пользователей.
 
 {{< alert level="info" >}}
 Разрешение `update:team-variables` позволяет редактировать переменные только тех команд, участником которых является пользователь. Даже супер-администратор не сможет изменить переменные команд, в которых не состоит.