Как устроено управление доступом в Яндекс.Облаке
На этой странице можно узнать, как управлять доступом к ресурсам, и как IAM проверяет права доступа к ним.
Как проверяются права доступа?
Все операции в Яндекс.Облаке предварительно отправляются на проверку в IAM, например:
- Пользователь просит сервис Compute Cloud создать новый диск в каталоге
default
. - Сервис спрашивает IAM, можно ли этому пользователю создать диск в этом каталоге.
- IAM проверяет, что пользователь — участник облака с каталогом
default
и имеет необходимые разрешения для создания диска в этом каталоге. - Если какого-то из разрешений у пользователя нет, операция не будет выполнена, и Яндекс.Облако сообщит об ошибке. Если все разрешения имеются, то IAM сообщает об этом сервису.
- Сервис создает новый диск.
Как вы управляете доступом?
Управление доступом в Яндекс.Облаке построено на политике Role Based Access Control (RBAC). Чтобы предоставить доступ к ресурсу, вы указываете, кому и какие роли назначены на ресурс.
Чтобы назначить роль, вы выбираете ресурс, выбираете роль и описываете субъект, которому назначается роль. Таким образом вы привязываете права доступа к ресурсу.
Вы также можете назначить роль на родительский ресурс, от которого наследуются права доступа, например назначить роль на каталог или облако.
Важная информация
Изменение прав доступа обычно занимает до 5 секунд. Если после назначения роли все еще нет доступа, попробуйте выполнить операцию еще раз.
Например, вам разрешили создавать каталоги в облаке и вы уже создали один каталог, но не смогли создать второй. Это произошло потому, что еще не обновились права доступа на том сервере, где выполнялась вторая операция по созданию каталога. Попробуйте создать каталог еще раз.
Ресурсы, на которые можно назначать роли
Сейчас вы можете назначать роли на облако, каталог и другие ресурсы из списка.
Если вам необходимо предоставить доступ к ресурсу, которого нет в списке, например к виртуальной машине, назначьте роль на родительский ресурс, от которого наследуются права доступа. У виртуальных машин права доступа наследуются от каталога.
Роль
Назначать роли на ресурс могут пользователи с ролью администратора на этот ресурс, а также владельцы облака, которому принадлежит ресурс.
Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом. Пользователь может назначить роли только с теми разрешениями, которые имеются у него самого. Например, чтобы назначить роль владельца облака, пользователь должен сам обладать этой ролью, а роли администратора для этого недостаточно.
О том, какие есть роли и какие разрешения в них входят, читайте в разделе Роли.
Субъект, которому назначается роль
Чтобы назначить роль, вы должны указать кому эта роль назначается. С точки зрения IAM роль назначается субъекту доступа.
Есть три типа субъектов:
userAccount— аккаунт пользователя на Яндексе.serviceAccount— сервисный аккаунт, созданный в Яндекс.Облаке.system— системная группа.
Привязка прав доступа
Роли на ресурс назначаются в виде списка связей роль-субъект. Такие связи называются — привязки прав доступа (access bindings). Вы можете добавлять и удалять эти связи, таким образом контролируя права доступа к ресурсу.
Одна привязка — одно назначение роли субъекту. Чтобы назначить пользователю несколько ролей на ресурс, задайте отдельную привязку для каждой из ролей.
Наследование прав доступа
Если у ресурса есть дочерние ресурсы, то все разрешения от родительского ресурса будут унаследованы дочерними ресурсами. Например, если вы назначите пользователю роль на каталог, в котором лежит виртуальная машина, то все разрешения этой роли будут действовать и для виртуальной машины.
Если на дочерний ресурс тоже назначены роли, то список разрешений на этот ресурс будет объединен со списком разрешений на родительский ресурс. Нельзя ограничить список разрешений, унаследованных от родительского ресурса.
См. также
Вы можете найти подробную информацию об управлении доступом для конкретного сервиса Яндекс.Облака в разделе Управление доступом
в документации соответствующего сервиса.
Пошаговые инструкции и примеры: