Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex API Gateway
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Создание API-шлюза
    • Изменение API-шлюза и его спецификации
    • Подключение домена
    • Удаление API-шлюза
    • Мониторинг
    • Просмотр журнала выполнения
  • Практические руководства
    • Все практические руководства
    • Развертывание веб-приложения с использованием Java Servlet API
    • Разработка навыка Алисы и сайта с авторизацией
    • Разработка Slack-бота
    • Разработка Telegram-бота
    • Разработка пользовательской интеграции
    • Разработка CRUD API для сервиса фильмов
    • Работа с API-шлюзом по протоколу WebSocket
  • Концепции
    • Взаимосвязь ресурсов сервиса
    • Расширения спецификации
      • Обзор
      • Статический ответ
      • Вызов функции
      • Интеграция с Serverless Containers
      • Обращение по HTTP
      • Интеграция с Object Storage
      • Интеграция с DataSphere
      • Интеграция с Data Streams
      • Интеграция с Message Queue
      • Интеграция с YDB
      • Жадные параметры
      • Обобщенный HTTP-метод
      • Авторизация с помощью функции
      • Поддержка протокола WebSocket
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • ApiGatewayService
      • OperationService
    • REST (англ.)
      • Overview
      • ApiGateway
        • Overview
        • addDomain
        • create
        • delete
        • get
        • getOpenapiSpec
        • list
        • listAccessBindings
        • listOperations
        • removeDomain
        • setAccessBindings
        • update
        • updateAccessBindings
  • Справочник API Websocket
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • ConnectionService
    • REST (англ.)
      • Overview
      • Connection
        • Overview
        • disconnect
        • get
        • send
  • Вопросы и ответы
  1. Управление доступом

Управление доступом в API Gateway

Статья создана
Yandex Cloud
  • Назначение ролей
  • Роли
    • api-gateway.viewer
    • api-gateway.editor
    • api-gateway.websocketWriter
    • api-gateway.admin
    • resource-manager.clouds.member
    • resource-manager.clouds.owner
    • resource-manager.admin
    • resource-manager.editor
    • resource-manager.viewer
    • resource-manager.auditor
    • viewer
    • editor
    • admin

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями.
Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса API Gateway (API-шлюзам), назначьте пользователю нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако).

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль:

  1. Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.

    1. На панели слева выберите облако.
    2. Перейдите на вкладку Права доступа.
    3. Найдите в списке нужного пользователя. Назначенные ему роли указаны в столбце Роли.
  2. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  3. Выберите роль из списка.

Роли

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе API Gateway.

api-gateway.viewer

Роль api-gateway.viewer позволяет смотреть список API-шлюзов и информацию о них.

api-gateway.editor

Роль api-gateway.editor позволяет создавать, редактировать и удалять API-шлюзы.

api-gateway.websocketWriter

Роль api-gateway.websocketWriter позволяет работать с API Websocket.

api-gateway.admin

Роль api-gateway.admin позволяет управлять настройками доступа к API-шлюзу.

resource-manager.clouds.member

Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.

Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.

Для облака в организации

Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.

resource-manager.clouds.member — это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:

  • На организации или облаке:

    • resource-manager.admin;
    • resource-manager.editor;
    • resource-manager.viewer;
    • admin;
    • editor;
    • viewer.
  • На облаке:

    • resource-manager.clouds.owner.

Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.

Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.

Пример:

Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:

Роль На ресурс Разрешает
vpc.admin Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации
resource-manager.clouds.member Все облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Примечание

Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member ролью resource-manager.viewer — назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.

Для облака без организации

Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Без этой роли у пользователя не будут работать никакие другие роли.

Роль назначается автоматически при добавлении в облако без организации нового пользователя.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.

resource-manager.admin

Роль resource-manager.admin назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.

Роль включает все разрешения, которые дают роли resource-manager.viewer и resource-manager.editor.

resource-manager.editor

Роль resource-manager.editor назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.

Роль включает все разрешения, которые дает роль resource-manager.viewer.

resource-manager.viewer

Роль resource-manager.viewer назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.

resource-manager.auditor

Роль resource-manager.auditor назначается на организацию, облако или каталог.
Дает право читать метаинформацию об облаке или каталоге, а также читать список ролей, которые назначены на облако или каталог.

viewer

Пользователь с ролью viewer может просматривать информацию о ресурсах, например посмотреть список API-шлюзов.

editor

Пользователь с ролью editor может управлять API-шлюзами, например создать или удалить API-шлюз.

Роль editor включает в себя все разрешения роли viewer.

admin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например разрешить другим пользователям редактировать API-шлюзы.

Роль admin включает в себя все разрешения роли editor.

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Назначение ролей
  • Роли
  • api-gateway.viewer
  • api-gateway.editor
  • api-gateway.websocketWriter
  • api-gateway.admin
  • resource-manager.clouds.member
  • resource-manager.clouds.owner
  • resource-manager.admin
  • resource-manager.editor
  • resource-manager.viewer
  • resource-manager.auditor
  • viewer
  • editor
  • admin