Роли

Роль — это набор разрешений, который определяет допустимые операции с ресурсами в Яндекс.Облаке.

Роли бывают двух типов:

• Примитивные роли содержат разрешения, действующие для всех типов ресурсов Яндекс.Облака. Это роли admin, editor и viewer.

• Сервисные роли содержат разрешения только для определенного типа ресурсов в указанном сервисе. Идентификатор сервисной роли указывается в формате service.resources.role. Например, роль compute.images.user позволяет использовать образы в сервисе Yandex Compute Cloud.

  Сервисную роль можно назначить на ресурс, для которого предназначена роль, или на ресурс, от которого наследуются права доступа. Например, роль compute.images.user можно назначить на каталог или облако, так как образ наследует разрешения от них.

На данный момент пользователи не могут создавать новые роли со своим набором разрешений.

Примитивные роли

viewer

Роль viewer дает разрешения на чтение к ресурсам.

Например, роль viewer позволяет выполнять следующие операции:

• Просмотр информации о ресурсе.
• Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
• Просмотр списка операций с ресурсом.

editor

Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.

Например, роль editor позволяет выполнять следующие операции:

• Создание ресурса;
• Обновление ресурса;
• Удаление ресурса.

admin

Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.

Роль admin включает все разрешения, которые дает роль editor.

Например, роль admin позволяет выполнять следующие операции:

• Установить права доступа к ресурсу;
• Изменить права доступа к ресурсу.

Сервисные роли

Resource Manager

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например с admin, editor или viewer.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

Identity and Access Management

iam.serviceAccounts.user

Роль iam.serviceAccounts.user означает, что у пользователя есть права на использование сервисных аккаунтов. Эта роль нужна, когда пользователь просит сервис выполнять операции от имени какого-то сервисного аккаунта.

Например, при создании группы виртуальных машин вы указываете ваш сервисный аккаунт, а IAM проверяет, что у вас есть разрешение на использование этого аккаунта.

В роль iam.serviceAccounts.user входят следующие разрешения:

• получение списка сервисных аккаунтов;
• получение информации о сервисном аккаунте;
• использование сервисного аккаунта при выполнении операций от его имени.

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Compute Cloud

compute.disks.user

В роль compute.disks.user входят следующие разрешения:

• получение списка дисков;
• получение информации о диске;
• использование диска для создания новых ресурсов (образов, снимков, новых дисков и виртуальных машин).

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Сейчас эту роль можно назначить только на каталог или облако.

compute.images.user

В роль compute.images.user входят следующие разрешения:

• получение списка образов;
• получение информации об образе;
• получение информации о последнем образе в указанном семействе;
• использование образа при создании новых ресурсов (виртуальных машин, дисков, других образов).

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Сейчас эту роль можно назначить только на каталог или облако.

Data Proc

mdb.dataproc.agent

Роль mdb.dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.

Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.

Сейчас эту роль можно назначить только на каталог или облако.

Functions

serverless.functions.invoker

Роль serverless.functions.invoker дает право выполнять функции.

На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

О том, как назначить данную роль, читайте в разделе Управление правами на запуск функции.

Container Registry

container-registry.images.puller

В роль container-registry.images.puller входят следующие разрешения:

• получение списка реестров;
• получение информации о реестре;
• получение списка Docker-образов;
• получение информации о Docker-образе.

Сейчас эту роль можно назначить только на каталог или облако.

container-registry.images.pusher

В роль container-registry.images.pusher входят следующие разрешения:

• получение списка реестров;
• получение информации о реестре;
• получение списка Docker-образов;
• получение информации о Docker-образе;
• создание Docker-образа;
• изменение Docker-образа;
• удаление Docker-образа.

Сейчас эту роль можно назначить только на каталог или облако.

DataLens

datalens.instances.user

Роль datalens.instances.user предоставляет доступ к сервису DataLens.

После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens. Подробнее об управлении доступом в сервисе DataLens в разделе Управление доступом.

Сейчас эту роль можно назначить только на каталог или облако.