Как устроено управление доступом в Yandex Cloud
На этой странице можно узнать, как управлять доступом к ресурсам, и как IAM проверяет права доступа к ним.
Как проверяются права доступа?
Все операции в Yandex Cloud предварительно отправляются на проверку в IAM, например:
- Пользователь просит сервис Compute Cloud создать новый диск в каталоге
default
. - Сервис спрашивает IAM, можно ли этому пользователю создать диск в этом каталоге.
- IAM проверяет, что пользователь — участник облака с каталогом
default
и имеет необходимые разрешения для создания диска в этом каталоге. - Если какого-то из разрешений у пользователя нет, операция не будет выполнена, и Yandex Cloud сообщит об ошибке.
Если все разрешения имеются, то IAM сообщает об этом сервису. - Сервис создает новый диск.
Как вы управляете доступом?
Управление доступом в Yandex Cloud построено на политике Role Based Access Control (RBAC). Чтобы предоставить доступ к ресурсу, вы указываете, кому и какие роли назначены на ресурс.
Чтобы назначить роль, вы выбираете ресурс, выбираете роль и описываете субъект, которому назначается роль. Таким образом вы привязываете права доступа к ресурсу.
Вы также можете назначить роль на родительский ресурс, от которого наследуются права доступа, например назначить роль на каталог или облако.
Важно
Изменение прав доступа обычно занимает до 5 секунд. Если после назначения роли все еще нет доступа, попробуйте выполнить операцию еще раз.
Например, вам разрешили создавать каталоги в облаке и вы уже создали один каталог, но не смогли создать второй. Это произошло потому, что еще не обновились права доступа на том сервере, где выполнялась вторая операция по созданию каталога. Попробуйте создать каталог еще раз.
Ресурсы, на которые можно назначать роли
Сейчас вы можете назначать роли на облако, каталог и другие ресурсы из списка.
Если вам необходимо предоставить доступ к ресурсу, которого нет в списке, например к виртуальной машине, назначьте роль на родительский ресурс, от которого наследуются права доступа. У виртуальных машин права доступа наследуются от каталога.
Роль
Назначать роли на ресурс могут пользователи с ролью администратора на этот ресурс, а также владельцы облака, которому принадлежит ресурс.
Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом. Пользователь может назначить роли только с теми разрешениями, которые имеются у него самого. Например, чтобы назначить роль владельца облака, пользователь должен сам обладать этой ролью, а роли администратора для этого недостаточно.
О том, какие есть роли и какие разрешения в них входят, читайте в разделе Роли.
Субъект, которому назначается роль
Роли назначаются субъектам. Есть четыре типа субъектов:
-
userAccount— аккаунт на Яндексе, добавленный в Yandex Cloud. -
serviceAccount— сервисный аккаунт, созданный в Yandex Cloud.Сервисному аккаунту можно назначать роли только на ресурсы облака, которому принадлежит каталог сервисного аккаунта.
-
federatedUser— аккаунт пользователя федерации удостоверений, например из Active Directory. -
group— группа пользователей, созданная в Yandex Cloud Organization. -
system— системная группа.
Привязка прав доступа
Роли на ресурс назначаются в виде списка связей роль-субъект. Такие связи называются — привязки прав доступа (access bindings). Вы можете добавлять и удалять эти связи, таким образом контролируя права доступа к ресурсу.
Одна привязка — одно назначение роли субъекту. Чтобы назначить пользователю несколько ролей на ресурс, задайте отдельную привязку для каждой из ролей.
Наследование прав доступа
Если у ресурса есть дочерние ресурсы, то все разрешения от родительского ресурса будут унаследованы дочерними ресурсами. Например, если вы назначите пользователю роль на каталог, в котором лежит виртуальная машина, то все разрешения этой роли будут действовать и для виртуальной машины.
Если на дочерний ресурс тоже назначены роли, то список разрешений на этот ресурс будет объединен со списком разрешений на родительский ресурс. Нельзя ограничить список разрешений, унаследованных от родительского ресурса.
Ограничения управления доступом в консоли управления
В консоли управления назначение ролей работает с ограничениями:
- Невозможно назначить роли системной группе.
- Пользователям с аккаунтом на Яндексе и федеративным аккаунтом можно назначать роли только на облако или каталог.
- Сервисному аккаунту можно назначить роль только на каталог, в котором он был создан.
- Вы не можете назначить роли сразу нескольким субъектам, как в API или CLI. В консоли управления вы сначала выбираете субъект (пользователя или сервисный аккаунт), а затем назначаете ему роли.
См. также
Вы можете найти подробную информацию об управлении доступом для конкретного сервиса Yandex Cloud в разделе Управление доступом
в документации соответствующего сервиса.
Пошаговые инструкции и примеры: