Управление доступом

В этом разделе вы узнаете:

Об управлении доступом

Все операции в Яндекс.Облаке проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Яндекс.Облаке.

На какие ресурсы можно назначить роль

Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

image

Роли, действующие в сервисе:

  • Сервисные роли:
    • compute.images.user — позволяет использовать образы для создания новых ресурсов, например виртуальных машин.

    • compute.disks.user — позволяет использовать диски для создания новых ресурсов, например виртуальных машин.

    • iam.serviceAccounts.user — подтверждает права на использование сервисного аккаунта.

      Эта роль необходима для выполнения операций в Instance Groups. Если вы указали сервисный аккаунт в запросе, то IAM проверит, что у вас есть права на использование этого аккаунта.

    • resource-manager.clouds.owner — дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.

    • resource-manager.clouds.member — роль необходимая для выполнения любых операций в облаке от имени аккаунта на Яндексе. Назначается автоматически при добавлении пользователя в облако. Можно назначить только на облако.

  • Примитивные роли:
    • viewer — позволяет только просматривать информацию о ресурсах.

    • editor — позволяет управлять ресурсами (создавать, изменять и удалять их).

    • admin — позволяет управлять ресурсами и доступом к ним.

Что дальше