Роли

Роль — это набор разрешений, который определяет допустимые операции с ресурсами в Яндекс.Облаке.

Роли бывают двух типов:

  • Примитивные роли содержат разрешения, действующие для всех типов ресурсов Яндекс.Облака. Это роли admin, editor и viewer.

  • Сервисные роли содержат разрешения только для определенного типа ресурсов в указанном сервисе. Идентификатор сервисной роли указывается в формате service.resources.role. Например, роль compute.images.user позволяет использовать образы в сервисе Yandex Compute Cloud.

    Сервисную роль можно назначить на ресурс, для которого предназначена роль, или на ресурс, от которого наследуются права доступа. Например, роль compute.images.user можно назначить на каталог или облако, так как образ наследует разрешения от них.

На данный момент пользователи не могут создавать новые роли со своим набором разрешений.

Примитивные роли

viewer

Роль viewer дает разрешения на чтение к ресурсам.

Например, роль viewer позволяет выполнять следующие операции:

  • Просмотр информации о ресурсе.
  • Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
  • Просмотр списка операций с ресурсом.

editor

Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.

Например, роль editor позволяет выполнять следующие операции:

  • Создание ресурса;
  • Обновление ресурса;
  • Удаление ресурса.

admin

Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.

Роль admin включает все разрешения, которые дает роль editor.

Например, роль admin позволяет выполнять следующие операции:

  • Установить права доступа к ресурсу;
  • Изменить права доступа к ресурсу.

Сервисные роли

Resource Manager

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например с admin, editor или viewer.

Важная информация

Чтобы пользователь смог работать в облаке через консоль управления, назначьте ему роли resource-manager.clouds.member и viewer на облако. Если назначить на облако только роль участника облака, а остальные роли назначить на вложенные ресурсы, пользователь сможет выполнять операции с ресурсами только с помощью API или CLI.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

Identity and Access Management

iam.serviceAccounts.user

Роль iam.serviceAccounts.user означает, что у пользователя есть права на использование сервисных аккаунтов. Эта роль нужна, когда пользователь просит сервис выполнять операции от имени какого-то сервисного аккаунта.

Например, при создании группы виртуальных машин вы указываете ваш сервисный аккаунт, а IAM проверяет, что у вас есть разрешение на использование этого аккаунта.

В роль iam.serviceAccounts.user входят следующие разрешения:

  • получение списка сервисных аккаунтов;
  • получение информации о сервисном аккаунте;
  • использование сервисного аккаунта при выполнении операций от его имени.

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Compute Cloud

compute.disks.user

В роль compute.disks.user входят следующие разрешения:

  • получение списка дисков;
  • получение информации о диске;
  • использование диска для создания новых ресурсов (образов, снимков, новых дисков и виртуальных машин).

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Примечание

Чтобы при создании виртуальной машины пометить диск автоматически удаляемым, этой роли недостаточно. Для этого используйте роль editor.

Сейчас эту роль можно назначить только на каталог или облако.

compute.images.user

В роль compute.images.user входят следующие разрешения:

  • получение списка образов;
  • получение информации об образе;
  • получение информации о последнем образе в указанном семействе;
  • использование образа при создании новых ресурсов (виртуальных машин, дисков, других образов).

Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.

Сейчас эту роль можно назначить только на каталог или облако.

Data Proc

mdb.dataproc.agent

Роль mdb.dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.

Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.

Сейчас эту роль можно назначить только на каталог или облако.