Управление доступом в DataSphere
Список операций, доступных пользователю Yandex Cloud, определяется его ролью. Роль пользователя назначается на уровне каталога или облака, а вложенные ресурсы наследуют эту роль.
Чтобы разрешить доступ к ресурсам сервиса DataSphere, назначьте пользователю нужные роли из приведенного ниже списка.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
-
Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.
-
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите роль из списка.
Роли для управления облаком и каталогом
resource-manager.clouds.member
При добавлении нового пользователя в облако, которое не принадлежит организации, ему автоматически назначается роль участника облака — resource-manager.clouds.member
.
Роль актуальна только для облака, которое не принадлежит организации.
Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin
, editor
или viewer
.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner
.
У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.
resource-manager.admin
Роль resource-manager.admin
назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.
Роль включает все разрешения, которые дают роли resource-manager.viewer
и resource-manager.editor
.
resource-manager.editor
Роль resource-manager.editor
назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.
Роль включает все разрешения, которые дает роль resource-manager.viewer
.
resource-manager.viewer
Роль resource-manager.viewer
назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.
Сервисные роли
datasphere.user
Роль datasphere.user
позволяет просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.
datasphere.admin
Роль datasphere.admin
позволяет создавать, редактировать и удалять проекты в DataSphere, а также просматривать список каталогов в облаке.
Помимо этого роль datasphere.admin
включает в себя все разрешения роли datasphere.user
.
Примитивные роли
viewer
Роль viewer
включает в себя все разрешения роли datasphere.user
. Пользователь может просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.
editor
Роль editor
включает в себя все разрешения роли viewer
. С точки зрения доступа к ресурсам сервиса DataSphere эти роли совпадают.
admin
Пользователь с ролью admin
может управлять правами доступа к ресурсам, например, разрешить другим пользователям работать с каталогами или просматривать информацию о проектах и правах пользователей.
Помимо этого роль admin
включает в себя все разрешения роли editor
.