Управление доступом в DataSphere

Статья создана

Назначение ролей
Роли для управления облаком и каталогом
- resource-manager.clouds.member
- resource-manager.clouds.owner
Сервисные роли
- datasphere.user
- datasphere.admin
Примитивные роли

Список операций, доступных пользователю Yandex.Cloud, определяется его ролью. Роль пользователя назначается на уровне каталога или облака, а вложенные ресурсы наследуют эту роль.

Чтобы разрешить доступ к ресурсам сервиса DataSphere, назначьте пользователю нужные роли из приведенного ниже списка.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль:

Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

Для добавления роли на каталог выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
Выберите роль из списка.

Роли для управления облаком и каталогом

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

Сервисные роли

datasphere.user

Роль datasphere.user позволяет просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.

datasphere.admin

Роль datasphere.admin позволяет создавать, редактировать и удалять проекты в DataSphere, а также просматривать список каталогов в облаке.

Помимо этого роль datasphere.admin включает в себя все разрешения роли datasphere.user.

Примитивные роли

viewer

Роль viewer включает в себя все разрешения роли datasphere.user. Пользователь может просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.

editor

Роль editor включает в себя все разрешения роли viewer. С точки зрения доступа к ресурсам сервиса DataSphere эти роли совпадают.

admin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям работать с каталогами или просматривать информацию о проектах и правах пользователей.

Помимо этого роль admin включает в себя все разрешения роли editor.