Управление доступом Audit Trails
В этом разделе вы узнаете:
Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
В консоли Yandex.Cloud вы можете назначить роль можно назначить на облако и каталог. Роли, назначенные на облако или каталог, действуют и на трейлы, которые находятся в них.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Audit Trails.
Сервисные роли
| Роль | Разрешения |
|---|---|
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов |
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако |
audit-trails.configViewer |
Позволяет просматривать информацию о трейлах |
audit-trails.viewer |
Дает доступ к аудитным логам трейлов. Включает все права роли audit-trails.configViewer |
audit-trails.editor |
Позволяет управлять трейлами (создавать, изменять и удалять). Включает все права роли audit-trails.viewer |
audit-trails.admin |
Позволяет управлять трейлами и доступом к ним. Включает все права роли audit-trails.editor |
Примитивные роли
| Роль | Разрешения |
|---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |
Какие роли мне необходимы
В таблице сопоставлены действия и минимальные необходимые для их выполнения роли. Вы всегда можете назначить роль, которая дает более широкие права, чем указанная в таблице. Например, вместо audit-trails.configViewer можно выдать роль audit-trails.editor.
| Действие | Роль |
|---|---|
| Просмотр информации о трейле | audit-trails.configViewer |
| Сбор и просмотр аудитных событий в трейле | audit-trails.viewer |
| Создание трейла | audit-trails.editor |
| Редактирование трейла | audit-trails.editor |
| Удаление трейла | audit-trails.editor |
| Управление ролями других пользователей на трейл | audit-trails.admin |
Что дальше
- Ознакомьтесь со структурой аудитного лога.
- Ознакомьтесь с примером загрузки аудитных логов в лог-группу.