Управление доступом в API Gateway
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями.
Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса API Gateway (API-шлюзам), назначьте пользователю нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако).
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
-
Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.
-
- На панели слева выберите облако.
- Перейдите на вкладку Права доступа.
- Найдите в списке нужного пользователя. Назначенные ему роли указаны в столбце Роли.
-
Для добавления роли на облако нажмите значок
Для добавления роли на каталог выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите роль из списка.
Роли
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе API Gateway.
api-gateway.viewer
Роль api-gateway.viewer
позволяет смотреть список API-шлюзов и информацию о них.
api-gateway.editor
Роль api-gateway.editor
позволяет создавать, редактировать и удалять API-шлюзы.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API Websocket.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять настройками доступа к API-шлюзу.
resource-manager.clouds.member
Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.
Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.
Для облака в организации
Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.
resource-manager.clouds.member
— это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:
-
На организации или облаке:
resource-manager.admin
;resource-manager.editor
;resource-manager.viewer
;admin
;editor
;viewer
.
-
На облаке:
resource-manager.clouds.owner
.
Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.
Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member
. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.
Пример:
Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:
Роль На ресурс Разрешает vpc.admin
Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации resource-manager.clouds.member
Все облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках
Примечание
Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member
на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member
ролью resource-manager.viewer
— назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.
Для облака без организации
Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Без этой роли у пользователя не будут работать никакие другие роли.
Роль назначается автоматически при добавлении в облако без организации нового пользователя.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner
.
У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.
resource-manager.admin
Роль resource-manager.admin
назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.
Роль включает все разрешения, которые дают роли resource-manager.viewer
и resource-manager.editor
.
resource-manager.editor
Роль resource-manager.editor
назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.
Роль включает все разрешения, которые дает роль resource-manager.viewer
.
resource-manager.viewer
Роль resource-manager.viewer
назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.
resource-manager.auditor
Роль resource-manager.auditor
назначается на организацию, облако или каталог.
Дает право читать метаинформацию об облаке или каталоге, а также читать список ролей, которые назначены на облако или каталог.
viewer
Пользователь с ролью viewer
может просматривать информацию о ресурсах, например посмотреть список API-шлюзов.
editor
Пользователь с ролью editor
может управлять API-шлюзами, например создать или удалить API-шлюз.
Роль editor
включает в себя все разрешения роли viewer
.
admin
Пользователь с ролью admin
может управлять правами доступа к ресурсам, например разрешить другим пользователям редактировать API-шлюзы.
Роль admin
включает в себя все разрешения роли editor
.