Управление доступом в Compute Cloud

Статья создана

Об управлении доступом
На какие ресурсы можно назначить роль
Какие роли действуют в сервисе
- Сервисные роли
- Примитивные роли

В этом разделе вы узнаете:

на какие ресурсы можно назначить роль;
какие роли действуют в сервисе.

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные роли

Роль	Разрешения
`compute.admin`	Дает права на управление виртуальными машинами и группами виртуальных машин.
`compute.viewer`	Дает права на просмотр информации о ресурсах Compute Cloud.
`compute.disks.user`	Позволяет использовать диски для создания новых ресурсов, например виртуальных машин.
`compute.images.user`	Позволяет использовать образы для создания новых ресурсов, например виртуальных машин.
`compute.operator`	Позволяет останавливать, запускать и перезапускать виртуальные машины, но не позволяет создавать и удалять ВМ.
`iam.serviceAccounts.user`	Подтверждает права на использование сервисного аккаунта. Эта роль необходима для выполнения операций с группами ВМ. Если вы указали сервисный аккаунт в запросе, IAM проверит, есть ли у вас права на использование этого аккаунта.
`resource-manager.clouds.member`	Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
`resource-manager.clouds.owner`	Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.

Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.

Примитивные роли

Роль	Разрешения
`admin`	Позволяет управлять ресурсами и доступом к ним.
`editor`	Позволяет управлять ресурсами (создавать, изменять и удалять их).
`viewer`	Позволяет только просматривать информацию о ресурсах.