Управление доступом в Application Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Роли, действующие в сервисе:
-
Сервисные роли:
-
resource-manager.clouds.owner— дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. -
resource-manager.clouds.member— необходима для доступа к ресурсам в облаке, которое не принадлежит организации, всем, кроме владельцев облака и сервисных аккаунтов. -
alb.viewer— позволяет просматривать объекты ресурсной модели. -
alb.editor— позволяет просматривать, создавать, изменять и удалять объекты ресурсной модели. -
alb.admin— позволяет управлять сервисом Application Load Balancer: просматривать, создавать, изменять, удалять ресурсы, а также управлять доступом к ним (сейчас эта возможность не реализована).
Примечание
Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли
alb.editorилиalb.adminтакже требуется рольvpc.publicAdminна сеть, в которой находится балансировщик. -
-
Примитивные роли:
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о любом ресурсе | get, list, listOperations |
alb.viewer на этот ресурс |
| Управление L7-балансировщиками | ||
| Создание и изменение L7-балансировщиков с публичным IP-адресом | create |
alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик |
| Создание и изменение L7-балансировщиков без публичного IP-адреса | create |
alb.editor |
| Удаление L7-балансировщиков | update, delete |
alb.editor |
| Получение состояний целевых групп | getTargetStates |
alb.viewer |
| Добавление, изменение и удаление обработчиков | addListener, updateListener, removeListener |
alb.editor |
| Добавление, изменение и удаление SNI-обработчиков | addSniMatch, updateSniMatch, removeSniMatch |
alb.editor |
| Остановка и запуск L7-балансировщика | stop, start |
alb.editor |
| Управление HTTP-роутерами | ||
| Создание HTTP-роутера | create |
alb.editor |
| Изменение HTTP-роутера | update |
alb.editor |
| Удаление HTTP-роутера | delete |
alb.editor |
| Управление группами бэкендов | ||
| Создание и изменение групп бэкендов | create, update, updateBackend |
alb.editor |
| Удаление групп бэкендов | delete |
alb.editor |
| Добавление ресурсов в группе бэкендов | addBackend |
alb.editor |
| Удаление ресурсов в группе бэкендов | removeBackend |
alb.editor |
| Управление целевыми группами | ||
| Создание и изменение целевых групп в каталоге | create, update |
alb.editor |
| Удаление целевых групп | delete |
alb.editor |
| Добавление ресурсов в целевой группе | addTargets |
alb.editor |
| Удаление ресурсов в целевой группе | removeTargets |
alb.editor |
| Управление доступом к ресурсам | ||
| Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот ресурс |