Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Группы пользователей
      • Создание группы
      • Настройка прав доступа к группе
      • Назначение прав группе
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Удаление статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
      • Удаление авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • Cookie
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • Федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST (англ.)
      • Overview
      • ApiKey
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Overview
        • create
        • createForServiceAccount
      • Key
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Overview
        • get
        • list
      • ServiceAccount
        • Overview
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Overview
        • get
      • YandexPassportUserAccount
        • Overview
        • getByLogin
      • Operation
        • Overview
        • get
      • AccessKey
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
      • Federation
        • Overview
        • list
        • get
        • listUserAccounts
        • delete
        • addUserAccounts
        • update
        • listOperations
        • create
      • Certificate
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Концепции
  2. Как устроено управление доступом
  3. Обзор

Как устроено управление доступом в Yandex Cloud

Статья создана
Yandex Cloud
  • Как проверяются права доступа?
  • Как вы управляете доступом?
    • Ресурсы, на которые можно назначать роли
    • Роль
    • Субъект, которому назначается роль
    • Привязка прав доступа
    • Наследование прав доступа
    • Ограничения управления доступом в консоли управления

На этой странице можно узнать, как управлять доступом к ресурсам, и как IAM проверяет права доступа к ним.

Как проверяются права доступа?

Все операции в Yandex Cloud предварительно отправляются на проверку в IAM, например:

  1. Пользователь просит сервис Compute Cloud создать новый диск в каталоге default.
  2. Сервис спрашивает IAM, можно ли этому пользователю создать диск в этом каталоге.
  3. IAM проверяет, что пользователь — участник облака с каталогом default и имеет необходимые разрешения для создания диска в этом каталоге.
  4. Если какого-то из разрешений у пользователя нет, операция не будет выполнена, и Yandex Cloud сообщит об ошибке.
    Если все разрешения имеются, то IAM сообщает об этом сервису.
  5. Сервис создает новый диск.

checkPermissions.png

Как вы управляете доступом?

Управление доступом в Yandex Cloud построено на политике Role Based Access Control (RBAC). Чтобы предоставить доступ к ресурсу, вы указываете, кому и какие роли назначены на ресурс.

Чтобы назначить роль, вы выбираете ресурс, выбираете роль и описываете субъект, которому назначается роль. Таким образом вы привязываете права доступа к ресурсу.

Вы также можете назначить роль на родительский ресурс, от которого наследуются права доступа, например назначить роль на каталог или облако.

Важно

Изменение прав доступа обычно занимает до 5 секунд. Если после назначения роли все еще нет доступа, попробуйте выполнить операцию еще раз.

Например, вам разрешили создавать каталоги в облаке и вы уже создали один каталог, но не смогли создать второй. Это произошло потому, что еще не обновились права доступа на том сервере, где выполнялась вторая операция по созданию каталога. Попробуйте создать каталог еще раз.

Ресурсы, на которые можно назначать роли

Сейчас вы можете назначать роли на облако, каталог и другие ресурсы из списка.

Если вам необходимо предоставить доступ к ресурсу, которого нет в списке, например к виртуальной машине, назначьте роль на родительский ресурс, от которого наследуются права доступа. У виртуальных машин права доступа наследуются от каталога.

Роль

Назначать роли на ресурс могут пользователи с ролью администратора на этот ресурс, а также владельцы облака, которому принадлежит ресурс.

Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом. Пользователь может назначить роли только с теми разрешениями, которые имеются у него самого. Например, чтобы назначить роль владельца облака, пользователь должен сам обладать этой ролью, а роли администратора для этого недостаточно.

О том, какие есть роли и какие разрешения в них входят, читайте в разделе Роли.

Субъект, которому назначается роль

Роли назначаются субъектам. Есть четыре типа субъектов:

  • userAccount — аккаунт на Яндексе, добавленный в Yandex Cloud.

  • serviceAccount — сервисный аккаунт, созданный в Yandex Cloud.

    Сервисному аккаунту можно назначать роли только на ресурсы облака, которому принадлежит каталог сервисного аккаунта.

  • federatedUser — аккаунт пользователя федерации удостоверений, например из Active Directory.

  • group — группа пользователей, созданная в Yandex Cloud Organization.

  • system — системная группа.

Привязка прав доступа

Роли на ресурс назначаются в виде списка связей роль-субъект. Такие связи называются — привязки прав доступа (access bindings). Вы можете добавлять и удалять эти связи, таким образом контролируя права доступа к ресурсу.

accessBindings.png

Одна привязка — одно назначение роли субъекту. Чтобы назначить пользователю несколько ролей на ресурс, задайте отдельную привязку для каждой из ролей.

Наследование прав доступа

Если у ресурса есть дочерние ресурсы, то все разрешения от родительского ресурса будут унаследованы дочерними ресурсами. Например, если вы назначите пользователю роль на каталог, в котором лежит виртуальная машина, то все разрешения этой роли будут действовать и для виртуальной машины.

Если на дочерний ресурс тоже назначены роли, то список разрешений на этот ресурс будет объединен со списком разрешений на родительский ресурс. Нельзя ограничить список разрешений, унаследованных от родительского ресурса.

Ограничения управления доступом в консоли управления

В консоли управления назначение ролей работает с ограничениями:

  • Невозможно назначить роли системной группе.
  • Пользователям с аккаунтом на Яндексе и федеративным аккаунтом можно назначать роли только на облако или каталог.
  • Сервисному аккаунту можно назначить роль только на каталог, в котором он был создан.
  • Вы не можете назначить роли сразу нескольким субъектам, как в API или CLI. В консоли управления вы сначала выбираете субъект (пользователя или сервисный аккаунт), а затем назначаете ему роли.

См. также

Вы можете найти подробную информацию об управлении доступом для конкретного сервиса Yandex Cloud в разделе Управление доступом в документации соответствующего сервиса.

Пошаговые инструкции и примеры:

  • Назначение роли
  • Отзыв роли на ресурс
  • Назначение роли сервисному аккаунту
  • Настройка прав доступа к сервисному аккаунту
  • Настройка прав доступа к облаку
  • Настройка прав доступа к каталогу

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Как проверяются права доступа?
  • Как вы управляете доступом?
  • Ресурсы, на которые можно назначать роли
  • Роль
  • Субъект, которому назначается роль
  • Привязка прав доступа
  • Наследование прав доступа
  • Ограничения управления доступом в консоли управления