Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
  • Концепции
    • Обзор
    • Трейл
    • Аудитный лог событий
    • Справочник событий
    • Экспорт в SIEM
    • Квоты и лимиты
    • Метрики
  • Пошаговые инструкции
    • Загрузка аудитных логов в лог-группу
    • Загрузка аудитных логов в поток данных
    • Загрузка аудитных логов в бакет
  • Практические руководства
    • Поиск в бакете
    • Поиск в лог-группе
    • Настройка алертов в Yandex Monitoring
    • Настройка реагирования в Cloud Functions
  • Управление доступом
  • Правила тарификации
  1. Управление доступом

Управление доступом Audit Trails

Статья создана
Yandex Cloud
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
    • Сервисные роли
    • Примитивные роли
  • Какие роли мне необходимы
  • Что дальше

В этом разделе вы узнаете:

  • на какие ресурсы можно назначить роль;
  • какие роли действуют в сервисе.

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

В консоли Yandex Cloud вы можете назначить роль можно назначить на облако и каталог. Роли, назначенные на облако или каталог, действуют и на трейлы, которые находятся в них.

Какие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Audit Trails.

Сервисные роли

Роль Разрешения
resource-manager.clouds.member Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов
resource-manager.clouds.owner Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако
audit-trails.configViewer Позволяет просматривать информацию о трейлах
audit-trails.viewer Дает доступ к аудитным логам трейлов. Включает все права роли audit-trails.configViewer
audit-trails.editor Позволяет управлять трейлами (создавать, изменять и удалять). Включает все права роли audit-trails.viewer
audit-trails.admin Позволяет управлять трейлами и доступом к ним. Включает все права роли audit-trails.editor

Примитивные роли

Роль Разрешения
admin Позволяет управлять ресурсами и доступом к ним.
editor Позволяет управлять ресурсами (создавать, изменять и удалять их).
viewer Позволяет только просматривать информацию о ресурсах.

Какие роли мне необходимы

В таблице сопоставлены действия и минимальные необходимые для их выполнения роли. Вы всегда можете назначить роль, которая дает более широкие права, чем указанная в таблице. Например, вместо audit-trails.configViewer можно выдать роль audit-trails.editor.

Действие Роль
Просмотр информации о трейле audit-trails.configViewer
Сбор и просмотр аудитных событий в трейле audit-trails.viewer
Создание трейла audit-trails.editor
Редактирование трейла audit-trails.editor
Удаление трейла audit-trails.editor
Управление ролями других пользователей на трейл audit-trails.admin

Что дальше

  • Ознакомьтесь со структурой аудитного лога.
  • Ознакомьтесь с примером загрузки аудитных логов в лог-группу.

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • Сервисные роли
  • Примитивные роли
  • Какие роли мне необходимы
  • Что дальше