Управление доступом в Compute Cloud
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначать роли
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
В консоли управления, через YC CLI или API Yandex Cloud роль можно назначить на отдельные ресурсы сервиса:
- Виртуальная машина
- Группа виртуальных машин
- Группа выделенных хостов
- Группа размещения виртуальных машин
- Группа размещения нереплицируемых дисков
- Диск виртуальной машины
- Кластер GPU
- Образ
- Расписание снимков
- Снимок диска
- Файловое хранилище
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
compute.auditor
Роль compute.auditor
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.
- просматривать список виртуальных машин и информацию о них;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин и информацию о них;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов и информацию о них;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
- просматривать список дисков и информацию о них;
- просматривать список файловых хранилищ и информацию о них;
- просматривать список групп размещения нереплицируемых дисков и информацию о них;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов и информацию о них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков и информацию о них;
- просматривать информацию о расписаниях создания снимков дисков;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности и информацию о них.
compute.viewer
Роль compute.viewer
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о привязках прав доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним.
Включает разрешения, предоставляемые ролью compute.auditor
.
compute.editor
Роль compute.editor
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
- просматривать список групп виртуальных машин, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать кластеры GPU, а также создавать, изменять и удалять их;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
- создавать зашифрованные диски;
- просматривать и обновлять ссылки на диски;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять образы;
- создавать, изменять и удалять семейства образов, обновлять образы в них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям, а также создавать, изменять и удалять их;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.viewer
, compute.osLogin
и vpc.user
.
compute.admin
Роль compute.admin
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (
sudo
); - использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
- просматривать список групп виртуальных машин, информацию о них и о привязках прав доступа к ним;
- использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки виртуальных машин, входящих в группы размещения;
- использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
- создавать зашифрованные диски;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать и обновлять ссылки на диски;
- использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.editor
и compute.osAdminLogin
.
compute.osLogin
Роль compute.osLogin
позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.
compute.osAdminLogin
Роль compute.osAdminLogin
позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo
).
compute.disks.user
Роль compute.disks.user
позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.
compute.images.user
Роль compute.images.user
позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.
compute.operator
Роль compute.operator
позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о привязках прав доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.
- запускать, перезапускать и останавливать виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- запускать и останавливать группы виртуальных машин;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним.
Включает разрешения, предоставляемые ролью compute.viewer
.
compute.snapshotSchedules.viewer
Роль compute.snapshotSchedules.viewer
позволяет просматривать информацию о создании снимков дисков по расписаниям.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать списки дисков;
- просматривать списки снимков дисков;
- просматривать список операций со снимками дисков.
compute.snapshotSchedules.editor
Роль compute.snapshotSchedules.editor
позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям, а также создавать, изменять и удалять расписания;
- просматривать списки дисков и использовать диски для создания снимков;
- просматривать списки снимков дисков, создавать и удалять снимки;
- просматривать список операций со снимками дисков и информацию об этих операциях.
Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer
.
iam.serviceAccounts.user
Роль iam.serviceAccounts.user
позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.
Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.
Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.