Управление доступом в DataSphere

Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.

Список операций, доступных пользователю DataSphere, определяется его ролью. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.

На какие ресурсы можно назначить роль

Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсам для всех пользователей сообщества. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.

Как назначить роль

Вы можете назначить роль пользователю в интерфейсе DataSphere:

• Добавить пользователя в сообщество.
• Добавить пользователя в проект.
• Поделиться ресурсами с участниками сообщества.

Также вы можете назначить права доступа через интерфейс Organization.

Какие роли действуют в сервисе

Сервисные роли

datasphere.community-projects.viewer

Роль datasphere.community-projects.viewer позволяет просматривать список и настройки проектов и закрепленных за ними ресурсов, а также список участников проекта.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer имеют роль Viewer на вкладке Участники на странице проекта.

datasphere.community-projects.developer

Роль datasphere.community-projects.developer позволяет работать в проекте. Пользователь с этой ролью может управлять ресурсами, которые закреплены за проектом, но не может делиться ими в сообществе. Пользователь может запускать IDE и исполнение ячеек с кодом.

Помимо этого роль datasphere.community-projects.developer включает в себя все разрешения роли datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Developer на вкладке Участники на странице проекта.

datasphere.community-projects.editor

Роль datasphere.community-projects.editor позволяет изменять настройки проекта, а также дает возможность его удалить.

Пользователь с ролью datasphere.community-projects.editor может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer (роль datasphere.communities.developer).

Помимо этого роль datasphere.community-projects.editor включает в себя все разрешения роли datasphere.community-projects.developer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor имеют роль Editor на вкладке Участники на странице проекта.

datasphere.community-projects.admin

Роль datasphere.community-projects.admin позволяет управлять правами доступа к проекту.

Пользователь с ролью datasphere.community-projects.admin может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer (роль datasphere.communities.developer).

Помимо этого роль datasphere.community-projects.admin включает в себя все разрешения роли datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Admin на вкладке Участники на странице проекта.

datasphere.communities.viewer

Роль datasphere.communities.viewer позволяет просматривать список сообществ и их настройки, но не дает возможности создавать, удалять и изменять ресурсы. Эта роль не позволяет запускать IDE.

Помимо этого роль datasphere.communities.viewer включает в себя все разрешения роли datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer имеют роль Viewer на вкладке Участники на странице сообщества.

datasphere.communities.developer

Роль datasphere.communities.developer позволяет создавать новые проекты и публиковать ресурсы проектов в сообществе.

Помимо этого роль datasphere.communities.developer включает в себя все разрешения роли datasphere.communities.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Developer на вкладке Участники на странице сообщества.

datasphere.communities.editor

Роль datasphere.communities.editor позволяет редактировать настройки сообщества, управлять его проектами и ресурсами, а также дает возможность его удалить. Пользователь с этой ролью может привязать к сообществу платежный аккаунт.

Помимо этого роль datasphere.communities.editor включает в себя все разрешения ролей datasphere.communities.developer и datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor имеют роль Editor на вкладке Участники на странице сообщества.

datasphere.communities.admin

Роль datasphere.communities.admin позволяет управлять правами доступа к сообществу и его проектам и ресурсам.

Помимо этого роль datasphere.communities.admin включает в себя все разрешения ролей datasphere.communities.editor и datasphere.community-projects.admin.

Пользователь с ролью datasphere.communities.admin может делиться ресурсами с сообществами, в которых также имеет эту роль.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Admin на вкладке Участники на странице сообщества.

Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:

• в сообществе Любители котиков — Admin (роль datasphere.communities.admin);
• в сообществе Считаем заборы — Developer (роль datasphere.communities.developer);
• в сообществе Совершенно секретно — Viewer (роль datasphere.communities.viewer), но имеет права Editor в проекте Project_111 этого сообщества (роль datasphere.community-projects.editor).

Валя может:

• поделиться ресурсами любого проекта из сообщества Любители котиков в этом сообществе.
• поделиться ресурсами любого проекта из сообщества Любители котиков в сообществе Считаем заборы.
• опубликовать ресурсы проекта Project_111 в сообществах Любители котиков и Считаем заборы, но не сможет поделиться ими в сообществе Совершенно секретно.

Примитивные роли

Роль	Разрешения
admin	Позволяет управлять ресурсами и доступом к ним.
editor	Позволяет управлять ресурсами (создавать, изменять и удалять их).
viewer	Позволяет только просматривать информацию о ресурсах.

Какие роли мне необходимы

В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить Editor вместо Viewer.

Действие	Необходимые роли
Просмотр информации
Просмотр проекта, его настроек и пользователей	Viewer на проект
Просмотр сообщества, его настроек и пользователей	Viewer на сообщество
Управление проектом
Создание проекта	Developer на сообщество
Запуск IDE	Developer на проект
Использование ресурсов	Developer на проект
Создание ресурсов	Developer на проект
Удаление ресурсов	Developer на проект
Публикация ресурсов в сообществе	Editor на проект и Developer на сообщество
Изменение настроек проекта	Editor на проект
Удаление проекта	Editor на проект
Выдача роли в проекте	Admin на проект
Управление сообществом
Изменение настроек сообщества	Editor на сообщество
Привязка платежного аккаунта	Editor на сообщество
Удаление сообщества	Editor на сообщество
Выдача роли в сообществе	Admin на сообщество

См. также

• Yandex Cloud Organization.
• Как устроено управление доступом в Yandex Cloud.
• Сервисные аккаунты.
• Подробнее о наследовании ролей.