Управление доступом в Compute Cloud
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
или resource-manager.clouds.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
Роль | Разрешения |
---|---|
compute.admin |
Дает права на управление виртуальными машинами и группами виртуальных машин. |
compute.viewer |
Дает права на просмотр информации о ресурсах Compute Cloud. |
compute.disks.user |
Позволяет использовать диски для создания новых ресурсов, например виртуальных машин. |
compute.images.user |
Позволяет использовать образы для создания новых ресурсов, например виртуальных машин. |
compute.operator |
Позволяет останавливать, запускать и перезапускать виртуальные машины, но не позволяет создавать и удалять ВМ. |
iam.serviceAccounts.user |
Подтверждает права на использование сервисного аккаунта. Эта роль необходима для выполнения операций с группами ВМ. Если вы указали сервисный аккаунт в запросе, IAM проверит, есть ли у вас права на использование этого аккаунта. |
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов. |
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. |
Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.
Примитивные роли
Роль | Разрешения |
---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |