Управление доступом
Пользователь Yandex.Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса Data Proc (кластерам или подкластерам), назначьте пользователю нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
-
Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
-
Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите роль из списка.
Роли
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе
Data Proc.
resource-manager.clouds.member
При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member
.
Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin
, editor
или viewer
.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner
.
У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.
dataproc.agent
Роль dataproc.agent
позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.
Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.
Сейчас эту роль можно назначить только на каталог или облако.
mdb.dataproc.agent
Важно
Роль mdb.dataproc.agent
скоро будет удалена. Пользователям с этой ролью автоматически назначится роль dataproc.agent
с аналогичными правами.
Устаревшая роль с правами, аналогичными dataproc.agent. Не рекомендуется ее использовать.
Сейчас эту роль можно назначить только на каталог или облако.
viewer
Пользователь с ролью viewer
может подключаться к хостам в кластере
Data Proc, если его SSH-ключи привязаны к этому кластеру.
editor
Пользователь с ролью editor
может управлять любыми ресурсами, например создать кластер, создать или удалить подкластер в кластере.
Помимо этого роль editor
включает в себя все разрешения роли viewer
.
admin
Пользователь с ролью admin
может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать кластеры Data Proc или просматривать информацию о правах пользователей.
Помимо этого роль admin
включает в себя все разрешения роли editor
.