Управление доступом в API Gateway
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса API Gateway (API-шлюзам), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена на родительский ресурс (каталог или облако) и на организацию.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль на облако:
- При необходимости добавьте нужного пользователя.
- В консоли управления
в списке слева выберите нужное облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Назначить роли.
- В окне Настройка прав доступа нажмите кнопку
- Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
- Нажмите кнопку
- Выберите роль в облаке.
- Нажмите кнопку Сохранить.
Подробнее о назначении ролей см. в документации сервиса Yandex Identity and Access Management.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе API Gateway.
Сервисные роли
api-gateway.auditor
Роль api-gateway.auditor
позволяет смотреть список API-шлюзов и информацию о привязках прав доступа к ним.
api-gateway.viewer
Роль api-gateway.viewer
позволяет смотреть список API-шлюзов и информацию о них.
api-gateway.editor
Роль api-gateway.editor
позволяет создавать, редактировать и удалять API-шлюзы.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API Websocket.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять настройками доступа к API-шлюзу.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.