Управление доступом в DataSphere

Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.

Список операций, доступных пользователю DataSphere, определяется его ролью. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.

На какие ресурсы можно назначить роль

Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсам для всех пользователей сообщества. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.

Как назначить роль

Вы можете назначить роль пользователю в интерфейсе DataSphere:

• Добавить пользователя в сообщество.
• Добавить пользователя в проект.
• Поделиться ресурсами с участниками сообщества.

Также вы можете назначить права доступа через интерфейс Organization.

Какие роли действуют в сервисе

Сервисные роли

datasphere.community-projects.viewer

Роль datasphere.community-projects.viewer позволяет просматривать список и настройки проектов и закрепленных за ними ресурсов.

Пользователи с ролью datasphere.community-projects.viewer не отображаются в списках участников проекта и сообщества, и ее нельзя назначить в интерфейсе DataSphere.

datasphere.community-projects.developer

Роль datasphere.community-projects.developer позволяет работать в проекте. Пользователь с этой ролью может управлять ресурсами, которые закреплены за проектом, но не может делиться ими в сообществе. Пользователь может запускать IDE и исполнение ячеек с кодом.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Разработчик на вкладке Участники на странице проекта.

datasphere.community-projects.admin

Роль datasphere.community-projects.admin позволяет управлять правами доступа к проекту, а также дает возможность его удалить.

Помимо этого роль datasphere.community-projects.admin включает в себя все разрешения роли datasphere.community-projects.developer.

Пользователь с ролью datasphere.community-projects.admin может поделиться ресурсами этого проекта с сообществом, на которое имеет права администратора (роль datasphere.communities.admin).

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Админ на вкладке Участники на странице проекта.

datasphere.communities.viewer

Роль datasphere.communities.viewer позволяет просматривать список сообществ и их настройки, но не дает возможности создавать, удалять и изменять ресурсы. Эта роль не позволяет запускать IDE.

Пользователи с ролью datasphere.communities.viewer не отображаются в списке участников сообщества.

datasphere.communities.developer

Роль datasphere.communities.developer позволяет редактировать настройки сообщества и создавать в нем новые проекты. Пользователь с этой ролью не может публиковать ресурсы проектов в сообществе.

Помимо этого роль datasphere.communities.developer включает в себя все разрешения ролей datasphere.communities.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Разработчик на вкладке Участники на странице сообщества.

datasphere.communities.admin

Роль datasphere.communities.admin позволяет управлять правами доступа к сообществу и его проектам и ресурсам, а также дает возможность привязать к нему платежный аккаунт. Пользователь с этой ролью может удалить сообщество.

Помимо этого роль datasphere.communities.admin включает в себя все разрешения роли datasphere.communities.developer.

Пользователь с ролью datasphere.communities.admin может делиться ресурсами с сообществами, в которых также имеет эту роль.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Админ на вкладке Участники на странице сообщества.

Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:

• в сообществе Любители котиков — Админ (роль datasphere.communities.admin);
• в сообществе Считаем заборы — Админ (роль datasphere.communities.admin);
• в сообществе Совершенно секретно — Разработчик (роль datasphere.communities.developer), но имеет права Админ в проекте Project_111 этого сообщества (роль datasphere.community-projects.admin).

Валя может поделиться ресурсами любого проекта из сообщества Любители котиков и Считаем заборы в любом из этих сообществ. Кроме того, в этих сообществах Валя может опубликовать ресурсы проекта Project_111, но не сможет поделиться ими в сообществе Совершенно секретно.

Примитивные роли

Роль	Разрешения
admin	Позволяет управлять ресурсами и доступом к ним.
editor	Позволяет управлять ресурсами (создавать, изменять и удалять их).
viewer	Позволяет только просматривать информацию о ресурсах.

См. также

• Yandex Cloud Organization.
• Как устроено управление доступом в Yandex Cloud.
• Сервисные аккаунты.
• Подробнее о наследовании ролей.