Управление доступом в DataSphere
Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.
Список операций, доступных пользователю DataSphere, определяется его ролью. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.
На какие ресурсы можно назначить роль
Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсам для всех пользователей сообщества. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.
Как назначить роль
Вы можете назначить роль пользователю в интерфейсе DataSphere:
- Добавить пользователя в сообщество.
- Добавить пользователя в проект.
- Поделиться ресурсами с участниками сообщества.
Также вы можете назначить права доступа через интерфейс Organization.
Какие роли действуют в сервисе
Сервисные роли
datasphere.community-projects.viewer
Роль datasphere.community-projects.viewer
позволяет просматривать список и настройки проектов и закрепленных за ними ресурсов, а также список участников проекта.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer
имеют роль Viewer
на вкладке Участники на странице проекта.
datasphere.community-projects.developer
Роль datasphere.community-projects.developer
позволяет работать в проекте. Пользователь с этой ролью может управлять ресурсами, которые закреплены за проектом, но не может делиться ими в сообществе. Пользователь может запускать IDE и исполнение ячеек с кодом.
Помимо этого роль datasphere.community-projects.developer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer
имеют роль Developer
на вкладке Участники на странице проекта.
datasphere.community-projects.editor
Роль datasphere.community-projects.editor
позволяет изменять настройки проекта, а также дает возможность его удалить.
Пользователь с ролью datasphere.community-projects.editor
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.editor
включает в себя все разрешения роли datasphere.community-projects.developer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor
имеют роль Editor
на вкладке Участники на странице проекта.
datasphere.community-projects.admin
Роль datasphere.community-projects.admin
позволяет управлять правами доступа к проекту.
Пользователь с ролью datasphere.community-projects.admin
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.admin
включает в себя все разрешения роли datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin
имеют роль Admin
на вкладке Участники на странице проекта.
datasphere.communities.viewer
Роль datasphere.communities.viewer
позволяет просматривать список сообществ и их настройки, но не дает возможности создавать, удалять и изменять ресурсы. Эта роль не позволяет запускать IDE.
Помимо этого роль datasphere.communities.viewer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer
имеют роль Viewer
на вкладке Участники на странице сообщества.
datasphere.communities.developer
Роль datasphere.communities.developer
позволяет создавать новые проекты и публиковать ресурсы проектов в сообществе.
Помимо этого роль datasphere.communities.developer
включает в себя все разрешения роли datasphere.communities.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer
имеют роль Developer
на вкладке Участники на странице сообщества.
datasphere.communities.editor
Роль datasphere.communities.editor
позволяет редактировать настройки сообщества, управлять его проектами и ресурсами, а также дает возможность его удалить. Пользователь с этой ролью может привязать к сообществу платежный аккаунт.
Помимо этого роль datasphere.communities.editor
включает в себя все разрешения ролей datasphere.communities.developer
и datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor
имеют роль Editor
на вкладке Участники на странице сообщества.
datasphere.communities.admin
Роль datasphere.communities.admin
позволяет управлять правами доступа к сообществу и его проектам и ресурсам.
Помимо этого роль datasphere.communities.admin
включает в себя все разрешения ролей datasphere.communities.editor
и datasphere.community-projects.admin
.
Пользователь с ролью datasphere.communities.admin
может делиться ресурсами с сообществами, в которых также имеет эту роль.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin
имеют роль Admin
на вкладке Участники на странице сообщества.
Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:
- в сообществе
Любители котиков—Admin
(рольdatasphere.communities.admin
);- в сообществе
Считаем заборы—Developer
(рольdatasphere.communities.developer
);- в сообществе
Совершенно секретно—Viewer
(рольdatasphere.communities.viewer
), но имеет праваEditor
в проектеProject_111этого сообщества (рольdatasphere.community-projects.editor
).Валя может:
- поделиться ресурсами любого проекта из сообщества
Любители котиковв этом сообществе.- поделиться ресурсами любого проекта из сообщества
Любители котиковв сообществеСчитаем заборы.- опубликовать ресурсы проекта
Project_111в сообществахЛюбители котиковиСчитаем заборы, но не сможет поделиться ими в сообществеСовершенно секретно.
Примитивные роли
Роль | Разрешения |
---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить Editor
вместо Viewer
.
Действие |
Необходимые роли |
Просмотр информации |
|
Просмотр проекта, его настроек и пользователей |
|
Просмотр сообщества, его настроек и пользователей |
|
Управление проектом |
|
|
|
Запуск IDE |
|
Использование ресурсов |
|
Создание ресурсов |
|
Удаление ресурсов |
|
Публикация ресурсов в сообществе |
|
|
|
|
|
Выдача роли в проекте |
|
Управление сообществом |
|
Изменение настроек сообщества |
|
|
|
|
|
Выдача роли в сообществе |
|