Управление доступом в DataSphere
Список операций, доступных пользователю Yandex Cloud, определяется его ролью. Роль пользователя назначается на уровне каталога или облака, а вложенные ресурсы наследуют эту роль.
Чтобы разрешить доступ к ресурсам сервиса DataSphere, назначьте пользователю нужные роли из приведенного ниже списка.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
-
Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.
-
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите роль из списка.
Роли для управления облаком и каталогом
resource-manager.clouds.member
При добавлении нового пользователя в облако, которое не принадлежит организации, ему автоматически назначается роль участника облака — resource-manager.clouds.member.
Роль актуальна только для облака, которое не принадлежит организации.
Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.
У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.
resource-manager.admin
Роль resource-manager.admin назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.
Роль включает все разрешения, которые дают роли resource-manager.viewer и resource-manager.editor.
resource-manager.editor
Роль resource-manager.editor назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.
Роль включает все разрешения, которые дает роль resource-manager.viewer.
resource-manager.viewer
Роль resource-manager.viewer назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.
Сервисные роли
datasphere.user
Роль datasphere.user позволяет просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.
datasphere.admin
Роль datasphere.admin позволяет создавать, редактировать и удалять проекты в DataSphere, а также просматривать список каталогов в облаке.
Помимо этого роль datasphere.admin включает в себя все разрешения роли datasphere.user.
Примитивные роли
viewer
Роль viewer включает в себя все разрешения роли datasphere.user. Пользователь может просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.
editor
Роль editor включает в себя все разрешения роли viewer. С точки зрения доступа к ресурсам сервиса DataSphere эти роли совпадают.
admin
Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям работать с каталогами или просматривать информацию о проектах и правах пользователей.
Помимо этого роль admin включает в себя все разрешения роли editor.