Управление доступом в Application Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
или resource-manager.clouds.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Роли, действующие в сервисе:
-
Сервисные роли:
-
resource-manager.clouds.owner
— дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. -
resource-manager.clouds.member
— необходима для доступа к ресурсам в облаке, которое не принадлежит организации, всем, кроме владельцев облака и сервисных аккаунтов. -
alb.viewer
— позволяет просматривать объекты ресурсной модели. -
alb.editor
— позволяет просматривать, создавать, изменять и удалять объекты ресурсной модели. -
alb.admin
— позволяет управлять сервисом Application Load Balancer: просматривать, создавать, изменять, удалять ресурсы, а также управлять доступом к ним (сейчас эта возможность не реализована).
Примечание
Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли
alb.editor
илиalb.admin
также требуется рольvpc.publicAdmin
на сеть, в которой находится балансировщик. -
-
Примитивные роли:
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor
вместо viewer
.
Действие | Методы | Необходимые роли |
---|---|---|
Просмотр информации | ||
Просмотр информации о любом ресурсе | get , list , listOperations |
alb.viewer на этот ресурс |
Управление L7-балансировщиками | ||
Создание и изменение L7-балансировщиков с публичным IP-адресом | create |
alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик |
Создание и изменение L7-балансировщиков без публичного IP-адреса | create |
alb.editor |
Удаление L7-балансировщиков | update , delete |
alb.editor |
Получение состояний целевых групп | getTargetStates |
alb.viewer |
Добавление, изменение и удаление обработчиков | addListener , updateListener , removeListener |
alb.editor |
Добавление, изменение и удаление SNI-обработчиков | addSniMatch , updateSniMatch , removeSniMatch |
alb.editor |
Остановка и запуск L7-балансировщика | stop , start |
alb.editor |
Управление HTTP-роутерами | ||
Создание HTTP-роутера | create |
alb.editor |
Изменение HTTP-роутера | update |
alb.editor |
Удаление HTTP-роутера | delete |
alb.editor |
Управление группами бэкендов | ||
Создание и изменение групп бэкендов | create , update , updateBackend |
alb.editor |
Удаление групп бэкендов | delete |
alb.editor |
Добавление ресурсов в группе бэкендов | addBackend |
alb.editor |
Удаление ресурсов в группе бэкендов | removeBackend |
alb.editor |
Управление целевыми группами | ||
Создание и изменение целевых групп в каталоге | create , update |
alb.editor |
Удаление целевых групп | delete |
alb.editor |
Добавление ресурсов в целевой группе | addTargets |
alb.editor |
Удаление ресурсов в целевой группе | removeTargets |
alb.editor |
Управление доступом к ресурсам | ||
Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings , updateAccessBindings , listAccessBindings |
admin на этот ресурс |