Роли

Статья создана

Yandex Cloud

Примитивные роли
- viewer
- editor
- admin
Application Load Balancer
- alb.viewer
- alb.editor
- alb.admin
Certificate Manager
- certificate-manager.admin
- certificate-manager.certificates.downloader
Cloud CDN
- cdn.viewer
- cdn.editor
- cdn.admin
Cloud DNS
- dns.viewer
- dns.editor
- dns.admin
Compute Cloud
- compute.admin
- compute.viewer
- compute.disks.user
- compute.images.user
- compute.operator
Container Registry
- container-registry.admin
- container-registry.images.puller
- container-registry.images.pusher
Управляемые базы данных
- mdb.admin
- mdb.viewer
- mdb.auditor
Data Proc
- dataproc.agent
- mdb.dataproc.agent
- dataproc.user
- dataproc.provisioner
Data Transfer
- data-transfer.viewer
- data-transfer.privateAdmin
- data-transfer.admin
DataLens
- datalens.instances.user
- datalens.instances.admin
DataSphere
- datasphere.user
- datasphere.admin
Functions
- serverless.functions.invoker
- serverless.functions.admin
- serverless.mdbProxies.user
Identity and Access Management
- iam.serviceAccounts.user
Yandex IoT Core
- iot.devices.writer
- iot.registries.writer
Cloud Logging
- logging.viewer
- logging.editor
- logging.reader
- logging.writer
- logging.admin
Key Management Service
- kms.admin
- kms.keys.encrypterDecrypter
- kms.editor
- kms.viewer
Managed Service for Elasticsearch
- managed-elasticsearch.viewer
- managed-elasticsearch.editor
- managed-elasticsearch.admin
- managed-elasticsearch.auditor
Yandex Monitoring
- monitoring.viewer
- monitoring.editor
- monitoring.admin
Network Load Balancer
- load-balancer.viewer
- load-balancer.privateAdmin
- load-balancer.admin
Object Storage
- storage.admin
- storage.configViewer
- storage.configurer
- storage.editor
- storage.uploader
- storage.viewer
Resource Manager
- resource-manager.clouds.member
- resource-manager.clouds.owner
- resource-manager.admin
- resource-manager.editor
- resource-manager.viewer
Serverless Containers
- serverless.containers.viewer
- serverless.containers.invoker
- serverless.containers.editor
- serverless.containers.admin
SmartCaptcha
- smart-captcha.viewer
- smart-captcha.editor
- smart-captcha.admin
SpeechKit
- ai.speechkit-stt.user
- ai.speechkit-tts.user
Virtual Private Cloud
- vpc.viewer
- vpc.user
- vpc.privateAdmin
- vpc.publicAdmin
- vpc.securityGroups.admin
- vpc.admin

Роль — это набор разрешений, который определяет допустимые операции с ресурсами в Yandex Cloud.

Роли бывают двух типов:

Примитивные роли содержат разрешения, действующие для всех типов ресурсов Yandex Cloud. Это роли admin, editor и viewer.
Сервисные роли содержат разрешения только для определенного типа ресурсов в указанном сервисе. Идентификатор сервисной роли указывается в формате service.resources.role. Например, роль compute.images.user позволяет использовать образы в сервисе Yandex Compute Cloud.

Сервисную роль можно назначить на ресурс, для которого предназначена роль, или на ресурс, от которого наследуются права доступа. Например, роль compute.images.user можно назначить на каталог или облако, так как образ наследует разрешения от них.

На данный момент пользователи не могут создавать новые роли со своим набором разрешений.

Примитивные роли

viewer

Роль viewer дает разрешения на чтение к ресурсам.

Например, роль viewer позволяет выполнять следующие операции:

Просмотр информации о ресурсе.
Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
Просмотр списка операций с ресурсом.

editor

Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.

Например, роль editor позволяет выполнять следующие операции:

Создание ресурса.
Обновление ресурса.
Удаление ресурса.

admin

Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.

Роль admin включает все разрешения, которые дает роль editor.

Например, роль admin позволяет выполнять следующие операции:

Установить права доступа к ресурсу.
Изменить права доступа к ресурсу.

Application Load Balancer

alb.viewer

Роль alb.viewer позволяет просматривать объекты ресурсной модели:

Сейчас эту роль можно назначить только на каталог или облако.

alb.editor

Роль alb.editor позволяет создавать, изменять и удалять объекты ресурсной модели:

Примечание

Обладание ролью alb.admin одновременно с ролью vpc.publicAdmin на сеть, в которой находится балансировщик, позволяет создавать L7-балансировщик с публичным IP-адресом.

Сейчас эту роль можно назначить только на каталог или облако.

alb.admin

Роль alb.admin позволяет управлять сервисом Application Load Balancer: просматривать, создавать, изменять, удалять ресурсы, а также управлять доступом к ним (сейчас эта возможность не реализована).

Сейчас эту роль можно назначить только на каталог или облако.

Certificate Manager

certificate-manager.admin

Роль certificate-manager.admin позволяет управлять сертификатами и доступом к ним.

certificate-manager.certificates.downloader

Роль certificate-manager.certificates.downloader позволяет получать содержимое сертификата: цепочку и частный ключ.

Cloud CDN

cdn.viewer

Роль cdn.viewer позволяет просматривать CDN-ресурсы и группы источников.

cdn.editor

В роль cdn.editor входят следующие разрешения:

просмотр, создание, изменение и удаление CDN-ресурсов и групп источников;
включение экранирования источников для CDN-ресурсов;
включение выгрузки логов.

cdn.admin

В роль cdn.admin входят следующие разрешения:

просмотр, создание, изменение и удаление CDN-ресурсов и групп источников;
включение экранирования источников для CDN-ресурсов;
включение выгрузки логов.

Cloud DNS

dns.viewer

Роль dns.viewer позволяет просматривать DNS-зоны и ресурсные записи.

dns.editor

В роль dns.editor входят разрешения на просмотр, создание, изменение и удаление DNS-зон и ресурсных записей.

dns.admin

В роль dns.admin входят следующие разрешения:

просмотр, создание, изменение и удаление DNS-зон и ресурсных записей;
управление доступом к DNS-зонам.

Compute Cloud

compute.admin

В роль compute.admin входят следующие разрешения:

создание и изменение виртуальных машин;
создание и изменение дисков и снимков дисков;
создание и изменение образов;
управление группами виртуальных машин;
применение сетевых ресурсов на виртуальные машины и группы виртуальных машин (подключение в подсети, использование групп безопасности.

Сейчас эту роль можно назначить только на каталог или облако.

compute.viewer

В роль compute.viewer входят разрешения на получение информации о таких ресурсах, как:

Сейчас эту роль можно назначить только на каталог или облако.

compute.disks.user

В роль compute.disks.user входят следующие разрешения:

получение списка дисков;
получение информации о диске;
использование диска для создания новых ресурсов (образов, снимков, новых дисков и виртуальных машин).

Эти разрешения также входят в роли editor, admin и resource-manager.clouds.owner.

Примечание

Чтобы при создании виртуальной машины пометить диск автоматически удаляемым, этой роли недостаточно. Для этого используйте роль editor.

Сейчас эту роль можно назначить только на каталог или облако.

compute.images.user

В роль compute.images.user входят следующие разрешения:

получение списка образов;
получение информации об образе;
получение информации о последнем образе в указанном семействе;
использование образа при создании новых ресурсов (виртуальных машин, дисков, других образов).

Эти разрешения также входят в роли editor, admin и resource-manager.clouds.owner.

Сейчас эту роль можно назначить только на каталог или облако.

compute.operator

В роль compute.operator входят следующие разрешения:

Роль compute.operator не содержит разрешения на создание и удаление виртуальных машин.

Сейчас эту роль можно назначить только на каталог или облако.

Container Registry

container-registry.admin

В роль container-registry.admin входят следующие разрешения:

Сейчас эту роль можно назначить только на каталог или облако.

container-registry.images.puller

В роль container-registry.images.puller входят следующие разрешения:

Сейчас эту роль можно назначить только на каталог или облако.

container-registry.images.pusher

В роль container-registry.images.pusher входят следующие разрешения:

Сейчас эту роль можно назначить только на каталог или облако.

Управляемые базы данных

mdb.admin

Роль mdb.admin позволяет создавать и изменять кластеры управляемых баз данных.

mdb.viewer

Роль mdb.viewer позволяет просматривать информацию об управляемых базах данных кластеров и логах их работы.

mdb.auditor

Роль mdb.auditor предоставляет минимально необходимые права для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).

Data Proc

dataproc.agent

Роль dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.

Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.

Сейчас эту роль можно назначить только на каталог или облако.

mdb.dataproc.agent

Важно

Роль mdb.dataproc.agent скоро будет удалена. Пользователям с этой ролью автоматически назначится роль dataproc.agent с аналогичными правами. Не рекомендуется использовать эту роль.

Сейчас эту роль можно назначить только на каталог или облако.

dataproc.user

Роль dataproc.user предоставляет доступ к веб-интерфейсам компонентов Data Proc.

dataproc.provisioner

Роль dataproc.provisioner предоставляет доступ к API для создания, изменения и удаления объектов кластера Data Proc.

Data Transfer

data-transfer.viewer

Роль data-transfer.viewer позволяет просматривать информацию о ресурсах сервиса Data Transfer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.privateAdmin

Роль data-transfer.privateAdmin позволяет создавать, активировать и деактивировать трансферы с передачей данных только в сетях Yandex Cloud.

Если вы хотите запретить пользователям создавать или активировать трансферы, передающие данные через интернет, отзовите роль data-transfer.admin и назначьте роль data-transfer.privateAdmin.

Эта роль включает в себя роль data-transfer.editor.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.admin

Роль data-transfer.admin позволяет создавать, изменять и удалять эндпоинты, а также создавать, активировать и деактивировать трансферы с передачей данных и через интернет, и в сетях Yandex Cloud.

Эта роль назначается по умолчанию. Включает в себя роль data-transfer.privateAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

DataLens

datalens.instances.user

Роль datalens.instances.user предоставляет доступ к сервису DataLens.

После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens.
Подробнее об управлении доступом в сервисе DataLens в разделе Управление доступом к DataLens.

Сейчас эту роль можно назначить только на каталог или облако.

datalens.instances.admin

Роль datalens.instances.admin предоставляет доступ к сервису DataLens.

Роль автоматически присваивается создателю экземпляра DataLens. Администратор обладает правами datalens.instances.user, а также может изменять тарифный план и осуществлять покупку платного контента в Cloud Marketplace.

Сейчас эту роль можно назначить только на каталог или облако.

DataSphere

datasphere.user

Роль datasphere.user позволяет просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.

datasphere.admin

Роль datasphere.admin позволяет создавать, редактировать и удалять проекты в DataSphere, а также просматривать список каталогов в облаке.

Помимо этого роль datasphere.admin включает в себя все разрешения роли datasphere.user.

Functions

serverless.functions.invoker

Роль serverless.functions.invoker дает право выполнять функции.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к функции.

serverless.functions.admin

Роль serverless.functions.admin дает все разрешения для управления функцией, включая назначение ролей на функцию другим пользователям.

Роль serverless.functions.admin включает все разрешения, которые дает роль serverless.functions.invoker.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к функции.

serverless.mdbProxies.user

Роль serverless.mdbProxies.user дает право подключаться к управляемым БД из функции.

Identity and Access Management

iam.serviceAccounts.user

Роль iam.serviceAccounts.user означает, что у пользователя есть права на использование сервисных аккаунтов.
Эта роль нужна, когда пользователь просит сервис выполнять операции от имени какого-то сервисного аккаунта.

Например, при создании группы виртуальных машин вы указываете ваш сервисный аккаунт, а IAM проверяет, что у вас есть разрешение на использование этого аккаунта.

В роль iam.serviceAccounts.user входят следующие разрешения:

получение списка сервисных аккаунтов;
получение информации о сервисном аккаунте;
использование сервисного аккаунта при выполнении операций от его имени.

Эти разрешения также входят в роли editor, admin и resource-manager.clouds.owner.

Yandex IoT Core

iot.devices.writer

Пользователь с ролью iot.devices.writer может отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.

iot.registries.writer

Пользователь с ролью iot.registries.writer может отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.

Cloud Logging

logging.viewer

Роль logging.viewer дает право смотреть список лог-групп и информацию о них.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.editor

Роль logging.editor дает право обновлять все настройки лог-группы, кроме прав доступа.

Роль logging.editor включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.reader

Роль logging.reader дает право смотреть записи в лог-группе.

Роль logging.reader включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.writer

Роль logging.writer дает право добавлять записи в лог-группу.

Роль logging.writer включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.admin

Роль logging.admin дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.

Роль logging.admin включает все разрешения, которые дают роли logging.editor, logging.reader и logging.writer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

Key Management Service

kms.admin

В роль администратора ключей kms.admin входят следующие разрешения:

получение списка ключей в каталоге;
создание и изменение ключа;
шифрование и расшифровка данных;
ротация ключа и смена основной версии;
удаление ключей и удаление версий;
назначение роли, отзыв роли и просмотр назначенных ролей на ключ.

Эти разрешения также входят в роли admin и resource-manager.clouds.owner.

Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.

kms.keys.encrypterDecrypter

В роль пользователя ключей kms.keys.encrypterDecrypter входят следующие разрешения:

получение информации о ключах и версиях;
шифрование и расшифровка данных.

Эти разрешения также входят в роли editor, admin и resource-manager.clouds.owner.

Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.

Выдать роль может администратор KMS (роль kms.admin).

Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.

kms.editor

В роль kms.editor входят следующие разрешения:

получение списка ключей в каталоге;
создание и изменение ключа;
шифрование и расшифровка данных;
ротация ключа.

Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.

Выдать роль может администратор KMS (роль kms.admin).

Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.

kms.viewer

Роль kms.viewer дает право смотреть список ключей и информацию о них.

Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.

Выдать роль может администратор KMS (роль kms.admin).

Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.

Managed Service for Elasticsearch

managed-elasticsearch.viewer

Роль managed-elasticsearch.viewer позволяет просматривать информацию о кластерах, логах их работы и квотах.

managed-elasticsearch.editor

Роль managed-elasticsearch.editor позволяет создавать, изменять и удалять кластеры, а так же просматривать информацию о кластерах, логах их работы и квотах.

Включает в себя роль managed-elasticsearch.viewer.

managed-elasticsearch.admin

Роль managed-elasticsearch.admin позволяет создавать, изменять и удалять кластеры, просматривать информацию о кластерах, логах их работы и квотах, а так же управлять доступом к кластерам.

Включает в себя роль managed-elasticsearch.editor.

managed-elasticsearch.auditor

Роль managed-elasticsearch.auditor позволяет просматривать информацию о кластерах и квотах.

Yandex Monitoring

monitoring.viewer

Пользователь с ролью monitoring.viewer может просматривать созданные дашборды и виджеты, а также загруженные метрики.

Сейчас эту роль можно назначить только на каталог или облако.

monitoring.editor

Пользователь с ролью monitoring.editor может создавать дашборды и виджеты, загружать метрики и управлять алертами.

Помимо этого роль monitoring.editor включает в себя все разрешения роли monitoring.viewer.

Сейчас эту роль можно назначить только на каталог или облако.

monitoring.admin

Пользователь с ролью monitoring.admin может создавать дашборды и виджеты, загружать метрики и управлять алертами.

Помимо этого роль monitoring.admin включает в себя все разрешения роли monitoring.editor.

Сейчас эту роль можно назначить только на каталог или облако.

Network Load Balancer

load-balancer.viewer

Роль load-balancer.viewer позволяет просматривать объекты ресурсной модели:

Сейчас эту роль можно назначить только на каталог или облако.

load-balancer.privateAdmin

Роль load-balancer.privateAdmin позволяет создавать, изменять и удалять балансировщики нагрузки и целевые группы. Однако наличие этой роли не позволит сделать балансировщик нагрузки доступным из интернета. Для последнего потребуется роль load-balancer.admin.

Сейчас эту роль можно назначить только на каталог или облако.

load-balancer.admin

Роль load-balancer.admin позволяет:

создавать, изменять и удалять балансировщики нагрузки и целевые группы;
назначать балансировщику нагрузки публичный IP-адрес.

Примечание

Обладание ролью load-balancer.admin одновременно с разрешением на создание виртуальных машин позволяет создавать виртуальные машины с публичным IP-адресом. В случае если это нежелательно, используйте роль load-balancer.privateAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

Object Storage

storage.admin

Роль storage.admin предназначена для управления сервисом Object Storage. Пользователи с этой ролью могут:

создавать бакеты;
удалять бакеты;
назначать список управления доступом (ACL);

Примечание

Для просмотра или изменения списка управления доступом через консоль также потребуется роль viewer на облако, чтобы загрузить список доступных пользователей.
Роль viewer не требуется для работы с ACL через API.

управлять всеми объектами бакета;
управлять всеми веб-сайтами бакета;
настраивать другие параметры бакета и объектов в нем.

Роль может предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.

Выдать данную роль может администратор облака (роль admin).

storage.configViewer

Пользователь с ролью storage.configViewer может просматривать настройки безопасности бакетов и объектов в них, при этом не имеет доступа к данным внутри бакета.

storage.configurer

Пользователь с ролью storage.configurer может управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.

Не управляет настройками списка управления доступом (ACL) и настройками публичного доступа. Не имеет доступа к данным в бакете.

storage.editor

Пользователь с ролью storage.editor может выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.

Роль не позволяет управлять настройками списка управления доступом (ACL).

storage.uploader

Пользователь с ролью storage.uploader может загружать объекты в бакет, в том числе перезаписывать загруженные ранее.

Роль не позволяет удалять объекты и конфигурировать бакет.

storage.viewer

Роль storage.viewer дает доступ на чтение списка бакетов, их настроек и данных в бакетах.

Resource Manager

resource-manager.clouds.member

Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.

Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.

Для облака в организации

Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.

resource-manager.clouds.member — это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:

На организации или облаке:
- resource-manager.admin;
- resource-manager.editor;
- resource-manager.viewer;
- admin;
- editor;
- viewer.
На облаке:
- resource-manager.clouds.owner.

Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.

Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.

Пример:

Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:

Роль На ресурс Разрешает

vpc.admin Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации

resource-manager.clouds.member Все облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Роль	На ресурс	Разрешает
`vpc.admin`	Организация	Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации
`resource-manager.clouds.member`	Все облака организации	Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Примечание

Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member ролью resource-manager.viewer — назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.

Для облака без организации

Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Без этой роли у пользователя не будут работать никакие другие роли.

Роль назначается автоматически при добавлении в облако без организации нового пользователя.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.

resource-manager.admin

Роль resource-manager.admin назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.

Роль включает все разрешения, которые дают роли resource-manager.viewer и resource-manager.editor.

resource-manager.editor

Роль resource-manager.editor назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.

Роль включает все разрешения, которые дает роль resource-manager.viewer.

resource-manager.viewer

Роль resource-manager.viewer назначается на организацию, облако или каталог.

Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.

Serverless Containers

serverless.containers.viewer

Роль serverless.containers.viewer дает право смотреть список контейнеров и информацию о них.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к контейнеру.

serverless.containers.invoker

Роль serverless.containers.invoker дает право вызывать контейнер.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к контейнеру.

serverless.containers.editor

Роль serverless.containers.editor дает право создавать, редактировать и удалять контейнеры, а также создавать ревизии контейнера.

Роль serverless.containers.editor включает все разрешения, которые дают роли serverless.containers.viewer и serverless.containers.invoker.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к контейнеру.

serverless.containers.admin

Роль serverless.containers.admin дает право управлять настройками доступа к контейнеру.

Роль serverless.containers.admin включает все разрешения, которые дает роль serverless.containers.editor.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к контейнеру.

SmartCaptcha

smart-captcha.viewer

В роль smart-captcha.viewer входят следующие разрешения:

просмотр настроек капчи;
просмотр прав доступа к капче.

Роль можно назначить на организацию, облако или каталог.

smart-captcha.editor

В роль smart-captcha.editor входят следующие разрешения:

просмотр настроек капчи;
просмотр прав доступа к капче;
создание капчи;
изменение капчи;
удаление капчи.

Роль можно назначить на организацию, облако или каталог.

smart-captcha.admin

В роль smart-captcha.admin входят следующие разрешения:

просмотр настроек капчи;
просмотр прав доступа к капче;
создание капчи;
изменение капчи;
удаление капчи;
изменение прав доступа к капче.

Роль можно назначить на организацию, облако или каталог.

SpeechKit

ai.speechkit-stt.user

Роль ai.speechkit-stt.user позволяет использовать сервис SpeechKit для распознавания речи.

ai.speechkit-tts.user

Роль ai.speechkit-tts.user позволяет использовать сервис SpeechKit для синтеза речи.

Virtual Private Cloud

vpc.viewer

Роль vpc.viewer позволяет просматривать объекты ресурсной модели:

Сейчас эту роль можно назначить только на каталог или облако.

vpc.user

Роль vpc.user предоставляет возможность подключаться к сетевым ресурсам VPC и использовать их. Она включает в себя все разрешения роли vpc.viewer, а также разрешение на:

использование сетей и подсетей;
применение статических маршрутов;
присвоение виртуальным машинам статических адресов;
назначение групп безопасности сетевым интерфейсам виртуальных машин.

Сейчас эту роль можно назначить только на каталог или облако.

vpc.privateAdmin

Роль vpc.privateAdmin позволяет управлять связностью между виртуальными машинами и кластерами управляемых баз данных внутри Yandex Cloud:

создавать, удалять, изменять сети и подсети;
настраивать статические маршруты и внутренние адреса.

Данная роль не позволяет сделать виртуальную машину или кластер доступной вне сети, которой они принадлежат. Для управления внешним доступом используйте роль vpc.publicAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

vpc.publicAdmin

Роль vpc.publicAdmin позволяет управлять внешней связностью:

создавать и удалять статические публичные IP-адреса;
включать и выключать функцию NAT в интернет.
Также она включает все разрешения роли vpc.viewer.

Наличие роли vpc.publicAdmin также необходимо для создания ресурсов с публичными IP-адресами, например: виртуальных машин или кластеров управляемых баз данных.

Сейчас эту роль можно назначить только на каталог или облако.

Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.

vpc.securityGroups.admin

Роль vpc.securityGroups.admin предназначена для управления группами безопасности. Она позволяет создавать, изменять, удалять группы безопасности, а также правила в них.

Сейчас эту роль можно назначить только на каталог или облако.

vpc.admin

Роль сетевого администратора, предоставляющая полный контроль над ресурсами VPC. Включает в себя роли vpc.privateAdmin, vpc.publicAdmin и vpc.securityGroups.admin.

Сейчас эту роль можно назначить только на каталог или облако.