Роли
- Примитивные роли
- Роль для запроса на увеличение квот
- Yandex API Gateway
- Yandex Application Load Balancer
- Yandex Certificate Manager
- Yandex Cloud Backup
- Yandex Cloud CDN
- Yandex Cloud DNS
- Yandex Compute Cloud
- Yandex Container Registry
- Yandex Managed Service for Kubernetes
- Управляемые базы данных
- Yandex Data Proc
- Yandex Data Transfer
- Yandex DataLens
- DataSphere
- Yandex Cloud Functions
- Yandex Identity and Access Management
- Yandex IoT Core
- Yandex Cloud Logging
- Yandex Key Management Service
- Yandex Managed Service for Elasticsearch
- Yandex Message Queue
- Yandex Monitoring
- Yandex Network Load Balancer
- Yandex Object Storage
- Yandex Resource Manager
- Yandex Serverless Containers
- Yandex SmartCaptcha
- Yandex SpeechKit
- Yandex Translate
- Yandex Vision
- Yandex Virtual Private Cloud
Роль — это набор разрешений, который определяет допустимые операции с ресурсами в Yandex Cloud.
Роли бывают двух типов:
-
Примитивные роли содержат разрешения, действующие для всех типов ресурсов Yandex Cloud. Это роли
admin
,editor
иviewer
. -
Сервисные роли содержат разрешения только для определенного типа ресурсов в указанном сервисе. Идентификатор сервисной роли указывается в формате
service.resources.role
. Например, рольcompute.images.user
позволяет использовать образы в сервисе Yandex Compute Cloud.Сервисную роль можно назначить на ресурс, для которого предназначена роль, или на ресурс, от которого наследуются права доступа. Например, роль
compute.images.user
можно назначить на каталог или облако, так как образ наследует разрешения от них.
На данный момент пользователи не могут создавать новые роли со своим набором разрешений.
Примитивные роли
viewer
Роль viewer
дает разрешения на чтение к ресурсам.
Например, роль viewer
позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
- Просмотр списка операций с ресурсом.
editor
Роль editor
дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor
включает все разрешения, которые дает роль viewer
.
Например, роль editor
позволяет выполнять следующие операции:
- Создание ресурса.
- Обновление ресурса.
- Удаление ресурса.
admin
Роль admin
дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner
.
Роль admin
включает все разрешения, которые дает роль editor
.
Например, роль admin
позволяет выполнять следующие операции:
- Установить права доступа к ресурсу.
- Изменить права доступа к ресурсу.
Роль для запроса на увеличение квот
quota-manager.requestOperator
Роль quota-manager.requestOperator
позволяет создавать запросы на новые квоты для сервисов.
Это разрешение также входит в роли admin
и editor
.
Yandex API Gateway
api-gateway.viewer
Роль api-gateway.viewer
позволяет смотреть список API-шлюзов и информацию о них.
api-gateway.editor
Роль api-gateway.editor
позволяет создавать, редактировать и удалять API-шлюзы.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API Websocket.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять настройками доступа к API-шлюзу.
Yandex Application Load Balancer
alb.viewer
Роль alb.viewer
позволяет просматривать объекты ресурсной модели:
Сейчас эту роль можно назначить только на каталог или облако.
alb.editor
Роль alb.editor
позволяет создавать, изменять и удалять объекты ресурсной модели:
Примечание
Обладание ролью alb.admin
одновременно с ролью vpc.publicAdmin
на сеть, в которой находится балансировщик, позволяет создавать L7-балансировщик с публичным IP-адресом.
Сейчас эту роль можно назначить только на каталог или облако.
alb.admin
Роль alb.admin
позволяет управлять сервисом Application Load Balancer: просматривать, создавать, изменять, удалять ресурсы, а также управлять доступом к ним (сейчас эта возможность не реализована).
Сейчас эту роль можно назначить только на каталог или облако.
Yandex Certificate Manager
certificate-manager.admin
Роль certificate-manager.admin
позволяет управлять сертификатами и доступом к ним.
certificate-manager.certificates.downloader
Роль certificate-manager.certificates.downloader
позволяет получать содержимое сертификата: цепочку и частный ключ.
Yandex Cloud Backup
backup.viewer
Роль backup.viewer
предназначена для просмотра ресурсов сервиса Cloud Backup. Пользователи с этой ролью могут просматривать:
- политики резервного копирования, в том числе права доступа к ним, и их список;
- базовую информацию о ресурсах Yandex Cloud, привязанных к политикам (например, идентификаторы виртуальных машин), и статусы их резервного копирования;
- информацию о резервных копиях;
- список подключенных провайдеров резервного копирования;
- квоты сервиса.
Выдать данную роль в облаке может администратор облака (роль admin
), в каталоге — администратор облака или пользователь с ролью backup.admin
в каталоге.
backup.editor
Роль backup.editor
предназначена для управления ресурсами сервиса Cloud Backup. Пользователи с этой ролью могут:
- просматривать все ресурсы и их списки, как с ролью
backup.viewer
; - создавать, изменять и удалять политики резервного копирования;
- изменять список ресурсов Yandex Cloud, привязанных к политике;
- восстанавливать ресурсы из резервных копий;
- удалять копии;
- подключать провайдеров резервного копирования, доступных в Cloud Backup.
Выдать данную роль в облаке может администратор облака (роль admin
), в каталоге — администратор облака или пользователь с ролью backup.admin
в каталоге.
backup.admin
Роль backup.admin
предназначена для управления сервисом Cloud Backup. Пользователи с этой ролью могут:
- выполнять все действия, входящие в роль
backup.editor
; - управлять доступом других пользователей к политикам резервного копирования.
Выдать данную роль может администратор облака (роль admin
).
Yandex Cloud CDN
cdn.viewer
Роль cdn.viewer
позволяет просматривать CDN-ресурсы и группы источников.
cdn.editor
В роль cdn.editor
входят следующие разрешения:
- просмотр, создание, изменение и удаление CDN-ресурсов и групп источников;
- включение экранирования источников для CDN-ресурсов;
- включение выгрузки логов.
cdn.admin
В роль cdn.admin
входят следующие разрешения:
- просмотр, создание, изменение и удаление CDN-ресурсов и групп источников;
- включение экранирования источников для CDN-ресурсов;
- включение выгрузки логов.
Yandex Cloud DNS
dns.auditor
Роль dns.auditor
предоставляет минимально необходимые права для просмотра информации о DNS-зонах (без доступа к ресурсным записям).
dns.viewer
Роль dns.viewer
позволяет просматривать DNS-зоны и ресурсные записи.
dns.editor
В роль dns.editor
входят разрешения на просмотр, создание, изменение и удаление DNS-зон и ресурсных записей.
dns.admin
В роль dns.admin
входят следующие разрешения:
- просмотр, создание, изменение и удаление DNS-зон и ресурсных записей;
- управление доступом к DNS-зонам.
Yandex Compute Cloud
compute.admin
В роль compute.admin
входят следующие разрешения:
- создание и изменение виртуальных машин;
- создание и изменение дисков и снимков дисков;
- создание и изменение образов;
- управление группами виртуальных машин;
- применение сетевых ресурсов на виртуальные машины и группы виртуальных машин (подключение в подсети, использование групп безопасности).
Сейчас эту роль можно назначить только на каталог или облако.
compute.viewer
В роль compute.viewer
входят разрешения на получение информации о таких ресурсах, как:
- виртуальные машины;
- группы размещения;
- диски;
- снимки дисков;
- группы размещения нереплицируемых дисков;
- образы;
- группы виртуальных машин;
- зоны доступности.
Сейчас эту роль можно назначить только на каталог или облако.
compute.disks.user
В роль compute.disks.user
входят следующие разрешения:
- получение списка дисков;
- получение информации о диске;
- использование диска для создания новых ресурсов (образов, снимков, новых дисков и виртуальных машин).
Эти разрешения также входят в роли editor
, admin
и resource-manager.clouds.owner
.
Примечание
Чтобы при создании виртуальной машины пометить диск автоматически удаляемым, этой роли недостаточно. Для этого используйте роль editor
.
Сейчас эту роль можно назначить только на каталог или облако.
compute.images.user
В роль compute.images.user
входят следующие разрешения:
- получение списка образов;
- получение информации об образе;
- получение информации о последнем образе в указанном семействе;
- использование образа при создании новых ресурсов (виртуальных машин, дисков, других образов).
Эти разрешения также входят в роли editor
, admin
и resource-manager.clouds.owner
.
Сейчас эту роль можно назначить только на каталог или облако.
compute.operator
В роль compute.operator
входят следующие разрешения:
Роль compute.operator
не содержит разрешения на создание и удаление виртуальных машин.
Сейчас эту роль можно назначить только на каталог или облако.
Yandex Container Registry
container-registry.admin
В роль container-registry.admin
входят следующие разрешения:
Сейчас эту роль можно назначить только на каталог или облако.
container-registry.images.puller
В роль container-registry.images.puller
входят следующие разрешения:
- получение списка реестров;
- получение информации о реестре;
- получение списка Docker-образов;
- получение информации о Docker-образе.
Сейчас эту роль можно назначить только на каталог или облако.
container-registry.images.pusher
В роль container-registry.images.pusher
входят следующие разрешения:
- получение списка реестров;
- получение информации о реестре;
- получение списка Docker-образов;
- получение информации о Docker-образе;
- создание Docker-образа;
- изменение Docker-образа;
- удаление Docker-образа.
Сейчас эту роль можно назначить только на каталог или облако.
Yandex Managed Service for Kubernetes
k8s.admin
Роль k8s.admin
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
k8s.editor
Роль k8s.editor
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
k8s.viewer
Роль k8s.viewer
позволяет просматривать информацию о кластерах и группах узлов Kubernetes.
k8s.clusters.agent
k8s.clusters.agent
— специальная роль для сервисного аккаунта кластера Kubernetes. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов, а также подключать заранее созданные группы безопасности. В комбинации с ролью load-balancer.admin
позволяет создать сетевой балансировщик нагрузки с публичным IP-адресом. Включает роли:
compute.admin
iam.serviceAccounts.user
kms.keys.encrypterDecrypter
load-balancer.privateAdmin
vpc.privateAdmin
k8s.cluster-api.cluster-admin
Пользователь с ролью Identity and Access Management k8s.cluster-api.cluster-admin
получает группу yc:cluster-admin
и роль cluster-admin
в Kubernetes RBAC.
k8s.cluster-api.editor
Пользователь с ролью Identity and Access Management k8s.cluster-api.editor
получает группу yc:edit
и роль edit
в Kubernetes RBAC для всех пространств имен в кластере.
k8s.cluster-api.viewer
Пользователь с ролью Identity and Access Management k8s.cluster-api.viewer
получает группу yc:view
и роль view
в Kubernetes RBAC для всех пространств имен в кластере.
Подробнее см. в разделе Управление доступом в Managed Service for Kubernetes.
Управляемые базы данных
mdb.admin
Роль mdb.admin
позволяет создавать и изменять кластеры управляемых баз данных.
mdb.viewer
Роль mdb.viewer
позволяет просматривать информацию об управляемых базах данных кластеров и логах их работы.
mdb.auditor
Роль mdb.auditor
предоставляет минимально необходимые права для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).
Yandex Data Proc
dataproc.agent
Роль dataproc.agent
позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.
Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.
Сейчас эту роль можно назначить только на каталог или облако.
mdb.dataproc.agent
Важно
Роль mdb.dataproc.agent
скоро будет удалена. Пользователям с этой ролью автоматически назначится роль dataproc.agent с аналогичными правами. Не рекомендуется использовать эту роль.
Сейчас эту роль можно назначить только на каталог или облако.
dataproc.viewer
Роль dataproc.viewer
позволяет просматривать информацию о кластерах и заданиях.
dataproc.user
Роль dataproc.user
предоставляет доступ к веб-интерфейсам компонентов Data Proc.
Включает в себя роль dataproc.viewer
.
dataproc.provisioner
Роль dataproc.provisioner
предоставляет доступ к API для создания, изменения и удаления объектов кластера Data Proc.
Yandex Data Transfer
data-transfer.viewer
Роль data-transfer.viewer
позволяет просматривать информацию о ресурсах сервиса Data Transfer.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.privateAdmin
Роль data-transfer.privateAdmin
позволяет создавать, активировать и деактивировать трансферы с передачей данных только в сетях Yandex Cloud.
Если вы хотите запретить пользователям создавать или активировать трансферы, передающие данные через интернет, отзовите роль data-transfer.admin
и назначьте роль data-transfer.privateAdmin
.
Эта роль включает в себя роль data-transfer.editor
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.admin
Роль data-transfer.admin
позволяет создавать, изменять и удалять эндпоинты, а также создавать, активировать и деактивировать трансферы с передачей данных и через интернет, и в сетях Yandex Cloud.
Эта роль назначается по умолчанию. Включает в себя роль data-transfer.privateAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
Yandex DataLens
datalens.instances.user
Роль datalens.instances.user
предоставляет доступ к сервису DataLens в качестве пользователя с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens.
Сейчас эту роль можно назначить только на каталог или облако.
datalens.instances.admin
Роль datalens.instances.admin
предоставляет доступ к сервису DataLens в качестве администратора экземпляра DataLens. Администратор получает права доступа на все объекты и папки в сервисе DataLens.
Администратор обладает правами datalens.instances.user
. Ему доступны настройки DataLens.
После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens.
Сейчас эту роль можно назначить только на каталог или облако.
DataSphere
datasphere.user
Роль datasphere.user
позволяет просматривать список проектов, а также работать с уже существующими проектами. Пользователь не может создавать или удалять проекты.
datasphere.admin
Роль datasphere.admin
позволяет создавать, редактировать и удалять проекты в DataSphere, а также просматривать список каталогов в облаке.
Помимо этого роль datasphere.admin
включает в себя все разрешения роли datasphere.user
.
Yandex Cloud Functions
functions.viewer
Роль functions.viewer
позволяет смотреть список функций и информацию о них.
functions.auditor
Роль functions.auditor
позволяет смотреть список функций и всю информацию о них, кроме кода и переменных окружения версии.
functions.functionInvoker
Роль functions.functionInvoker
позволяет вызывать функцию.
functions.editor
Роль functions.editor
позволяет создавать, редактировать и удалять функции, а также создавать версии функции.
functions.mdbProxiesUser
Роль functions.mdbProxiesUser
позволяет подключаться к управляемым БД из функции.
functions.admin
Роль functions.admin
позволяет управлять настройками доступа к функции.
Yandex Identity and Access Management
iam.serviceAccounts.user
Роль iam.serviceAccounts.user
означает, что у пользователя есть права на использование сервисных аккаунтов.
Эта роль нужна, когда пользователь просит сервис выполнять операции от имени какого-то сервисного аккаунта.
Например, при создании группы виртуальных машин вы указываете ваш сервисный аккаунт, а IAM проверяет, что у вас есть разрешение на использование этого аккаунта.
В роль iam.serviceAccounts.user
входят следующие разрешения:
- получение списка сервисных аккаунтов;
- получение информации о сервисном аккаунте;
- использование сервисного аккаунта при выполнении операций от его имени.
Эти разрешения также входят в роли editor
, admin
и resource-manager.clouds.owner
.
iam.serviceAccounts.accessKeyAdmin
Роль iam.serviceAccounts.accessKeyAdmin
позволяет создавать, изменять и удалять статические ключи доступа для сервисного аккаунта.
iam.serviceAccounts.apiKeyAdmin
Роль iam.serviceAccounts.apiKeyAdmin
позволяет создавать, изменять и удалять API-ключи для сервисного аккаунта.
iam.serviceAccounts.authorizedKeyAdmin
Роль iam.serviceAccounts.authorizedKeyAdmin
позволяет создавать, изменять и удалять авторизованные ключи для сервисного аккаунта.
iam.serviceAccounts.keyAdmin
Роль iam.serviceAccounts.keyAdmin
позволяет создавать, изменять и удалять:
Роль назначается на сервисный аккаунт.
iam.serviceAccounts.tokenCreator
Роль iam.serviceAccounts.tokenCreator
позволяет пользователю получить токен для сервисного аккаунта.
Пользователь сможет имперсонироваться в сервисный аккаунт и выполнять с токеном действия, разрешенные для этого сервисного аккаунта.
Пользователь не сможет изменить права доступа или удалить сервисный аккаунт.
iam.auditor
В роль iam.auditor
входят разрешения на получение метаинформации об объектах, операциях и ресурсах:
- федерация;
- операции и списки операций;
- квоты;
- пользователи;
- списки доступных ролей;
- сервисные аккаунты;
- права на сервисный аккаунт;
- каталог;
- облако;
- ключи для JWT авторизации, авторизованные ключи и SSH-ключи;
- API-ключи и списки API-ключей для сервисного аккаунта;
- статические ключи и списки статических ключей для сервисного аккаунта.
Yandex IoT Core
iot.devices.writer
Пользователь с ролью iot.devices.writer
может отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.
iot.registries.writer
Пользователь с ролью iot.registries.writer
может отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.
Yandex Cloud Logging
logging.viewer
Роль logging.viewer
дает право смотреть список лог-групп и информацию о них.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.editor
Роль logging.editor
дает право обновлять все настройки лог-группы, кроме прав доступа.
Роль logging.editor
включает все разрешения, которые дает роль logging.viewer
.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.reader
Роль logging.reader
дает право смотреть записи в лог-группе.
Роль logging.reader
включает все разрешения, которые дает роль logging.viewer
.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.writer
Роль logging.writer
дает право добавлять записи в лог-группу.
Роль logging.writer
включает все разрешения, которые дает роль logging.viewer
.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.admin
Роль logging.admin
дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.
Роль logging.admin
включает все разрешения, которые дают роли logging.editor
, logging.reader
и logging.writer
.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
Yandex Key Management Service
kms.admin
В роль администратора ключей kms.admin
входят следующие разрешения:
- получение списка ключей в каталоге;
- создание и изменение ключа;
- шифрование и расшифровка данных;
- ротация ключа и смена основной версии;
- удаление ключей и удаление версий;
- назначение роли, отзыв роли и просмотр назначенных ролей на ключ.
Эти разрешения также входят в роли admin
и resource-manager.clouds.owner
.
Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.
kms.keys.encrypterDecrypter
В роль пользователя ключей kms.keys.encrypterDecrypter
входят следующие разрешения:
- получение информации о ключах и версиях;
- шифрование и расшифровка данных.
Эти разрешения также входят в роли editor
, admin
и resource-manager.clouds.owner
.
Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.
Выдать роль может администратор KMS (роль kms.admin
).
Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.
kms.editor
В роль kms.editor
входят следующие разрешения:
- получение списка ключей в каталоге;
- создание и изменение ключа;
- шифрование и расшифровка данных;
- ротация ключа.
Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.
Выдать роль может администратор KMS (роль kms.admin
).
Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.
kms.viewer
Роль kms.viewer
дает право смотреть список ключей и информацию о них.
Сейчас эту роль можно назначить на организацию, облако, каталог или ключ.
Выдать роль может администратор KMS (роль kms.admin
).
Подробнее о том, как работать с ролями в Key Management Service, читайте в разделе Управление доступом в Key Management Service.
Yandex Managed Service for Elasticsearch
managed-elasticsearch.viewer
Роль managed-elasticsearch.viewer
позволяет просматривать информацию о кластерах, логах их работы и квотах.
managed-elasticsearch.editor
Роль managed-elasticsearch.editor
позволяет создавать, изменять и удалять кластеры, а также просматривать информацию о кластерах, логах их работы и квотах.
Включает в себя роль managed-elasticsearch.viewer
.
managed-elasticsearch.admin
Роль managed-elasticsearch.admin
позволяет создавать, изменять и удалять кластеры, просматривать информацию о кластерах, логах их работы и квотах, а также управлять доступом к кластерам.
Включает в себя роль managed-elasticsearch.editor
.
managed-elasticsearch.auditor
Роль managed-elasticsearch.auditor
позволяет просматривать информацию о кластерах и квотах.
Yandex Message Queue
ymq.reader
Роль ymq.reader
дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.
ymq.writer
Роль ymq.writer
дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.
ymq.admin
Роль ymq.admin
включает права ролей ymq.reader
и ymq.writer
, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.
Yandex Monitoring
monitoring.viewer
Пользователь с ролью monitoring.viewer
может просматривать созданные дашборды и виджеты, а также загруженные метрики.
Сейчас эту роль можно назначить только на каталог или облако.
monitoring.editor
Пользователь с ролью monitoring.editor
может создавать дашборды и виджеты, загружать метрики и управлять алертами.
Помимо этого роль monitoring.editor
включает в себя все разрешения роли monitoring.viewer
.
Сейчас эту роль можно назначить только на каталог или облако.
monitoring.admin
Пользователь с ролью monitoring.admin
может создавать дашборды и виджеты, загружать метрики и управлять алертами.
Помимо этого роль monitoring.admin
включает в себя все разрешения роли monitoring.editor
.
Сейчас эту роль можно назначить только на каталог или облако.
Yandex Network Load Balancer
load-balancer.viewer
Роль load-balancer.viewer
позволяет просматривать объекты ресурсной модели:
Сейчас эту роль можно назначить только на каталог или облако.
load-balancer.privateAdmin
Роль load-balancer.privateAdmin
позволяет создавать, изменять и удалять балансировщики нагрузки и целевые группы. Однако наличие этой роли не позволит сделать балансировщик нагрузки доступным из интернета. Для последнего потребуется роль load-balancer.admin
.
Сейчас эту роль можно назначить только на каталог или облако.
load-balancer.admin
Роль load-balancer.admin
позволяет:
- создавать, изменять и удалять балансировщики нагрузки и целевые группы;
- назначать балансировщику нагрузки публичный IP-адрес.
Примечание
Обладание ролью load-balancer.admin
одновременно с разрешением на создание виртуальных машин позволяет создавать виртуальные машины с публичным IP-адресом. В случае если это нежелательно, используйте роль load-balancer.privateAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
Yandex Object Storage
storage.admin
Роль storage.admin
предназначена для управления сервисом Object Storage. Пользователи с этой ролью могут:
Примечание
Для просмотра или изменения списка управления доступом через консоль также потребуется роль viewer
на облако, чтобы загрузить список доступных пользователей.
Роль viewer
не требуется для работы с ACL через API.
- управлять всеми объектами бакета;
- управлять всеми веб-сайтами бакета;
- настраивать другие параметры бакета и объектов в нем.
Роль может предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.
Выдать данную роль может администратор облака (роль admin
).
storage.configViewer
Пользователь с ролью storage.configViewer
может просматривать настройки безопасности бакетов и объектов в них, при этом не имеет доступа к данным внутри бакета.
storage.configurer
Пользователь с ролью storage.configurer
может управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.
Не управляет настройками списка управления доступом (ACL) и настройками публичного доступа. Не имеет доступа к данным в бакете.
storage.editor
Пользователь с ролью storage.editor
может выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.
Роль не позволяет управлять настройками списка управления доступом (ACL).
storage.uploader
Пользователь с ролью storage.uploader
может загружать объекты в бакет, в том числе перезаписывать загруженные ранее. Также можно просматривать список объектов в бакете и скачивать их, поскольку роль storage.uploader
наследует права роли storage.viewer
.
Роль не позволяет удалять объекты и конфигурировать бакет.
storage.viewer
Роль storage.viewer
дает доступ на чтение списка бакетов, их настроек и данных в бакетах.
Yandex Resource Manager
resource-manager.clouds.member
Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.
Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.
Для облака в организации
Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.
resource-manager.clouds.member
— это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:
-
На организации или облаке:
resource-manager.admin
;resource-manager.editor
;resource-manager.viewer
;admin
;editor
;viewer
.
-
На облаке:
resource-manager.clouds.owner
.
Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.
Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member
. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.
Пример:
Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:
Роль На ресурс Разрешает vpc.admin
Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации resource-manager.clouds.member
Все облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках
Примечание
Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member
на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member
ролью resource-manager.viewer
— назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.
Для облака без организации
Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Без этой роли у пользователя не будут работать никакие другие роли.
Роль назначается автоматически при добавлении в облако без организации нового пользователя.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner
.
У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.
resource-manager.admin
Роль resource-manager.admin
назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.
Роль включает все разрешения, которые дают роли resource-manager.viewer
и resource-manager.editor
.
resource-manager.editor
Роль resource-manager.editor
назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.
Роль включает все разрешения, которые дает роль resource-manager.viewer
.
resource-manager.viewer
Роль resource-manager.viewer
назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.
resource-manager.auditor
Роль resource-manager.auditor
назначается на организацию, облако или каталог.
Дает право читать метаинформацию об облаке или каталоге, а также читать список ролей, которые назначены на облако или каталог.
Yandex Serverless Containers
serverless-containers.viewer
Роль serverless-containers.viewer
позволяет смотреть список контейнеров и информацию о них.
serverless-containers.auditor
Роль serverless-containers.auditor
позволяет смотреть список контейнеров и всю информацию о них, кроме переменных окружения ревизии.
serverless-containers.containerInvoker
Роль serverless-containers.containerInvoker
позволяет вызывать контейнер.
serverless-containers.editor
Роль serverless-containers.editor
позволяет создавать, редактировать и удалять контейнеры, а также создавать ревизии контейнера.
serverless-containers.admin
Роль serverless-containers.admin
позволяет управлять настройками доступа к контейнеру.
Yandex SmartCaptcha
smart-captcha.viewer
В роль smart-captcha.viewer
входят следующие разрешения:
- просмотр настроек капчи;
- просмотр прав доступа к капче.
Роль можно назначить на организацию, облако или каталог.
smart-captcha.editor
В роль smart-captcha.editor
входят следующие разрешения:
- просмотр настроек капчи;
- просмотр прав доступа к капче;
- создание капчи;
- изменение капчи;
- удаление капчи.
Роль можно назначить на организацию, облако или каталог.
smart-captcha.admin
В роль smart-captcha.admin
входят следующие разрешения:
- просмотр настроек капчи;
- просмотр прав доступа к капче;
- создание капчи;
- изменение капчи;
- удаление капчи;
- изменение прав доступа к капче.
Роль можно назначить на организацию, облако или каталог.
Yandex SpeechKit
ai.speechkit-stt.user
Роль ai.speechkit-stt.user
позволяет использовать сервис SpeechKit для распознавания речи.
ai.speechkit-tts.user
Роль ai.speechkit-tts.user
позволяет использовать сервис SpeechKit для синтеза речи.
Yandex Translate
ai.translate.user
Роль ai.translate.user
позволяет использовать сервис Translate для перевода текста.
Yandex Vision
ai.vision.user
Роль ai.vision.user
позволяет использовать сервис Vision для анализа изображений.
Yandex Virtual Private Cloud
vpc.viewer
Роль vpc.viewer
позволяет просматривать объекты ресурсной модели:
- сети и подсети;
- таблицы статических маршрутов;
- адреса;
- группы безопасности.
Сейчас эту роль можно назначить только на каталог или облако.
vpc.user
Роль vpc.user
предоставляет возможность подключаться к сетевым ресурсам VPC и использовать их. Она включает в себя все разрешения роли vpc.viewer
, а также разрешение на:
- использование сетей и подсетей;
- применение статических маршрутов;
- присвоение виртуальным машинам статических адресов;
- назначение групп безопасности сетевым интерфейсам виртуальных машин.
Сейчас эту роль можно назначить только на каталог или облако.
vpc.privateAdmin
Роль vpc.privateAdmin
позволяет управлять связностью между виртуальными машинами и кластерами управляемых баз данных внутри Yandex Cloud:
- создавать, удалять, изменять сети и подсети;
- настраивать статические маршруты и внутренние адреса.
Данная роль не позволяет сделать виртуальную машину или кластер доступной вне сети, которой они принадлежат. Для управления внешним доступом используйте роль vpc.publicAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
vpc.publicAdmin
Роль vpc.publicAdmin
позволяет создавать и удалять статические публичные IP-адреса. Также она включает все разрешения роли vpc.viewer
.
Наличие роли vpc.publicAdmin
также необходимо для создания ресурсов с публичными IP-адресами, например: виртуальных машин или кластеров управляемых баз данных.
Сейчас эту роль можно назначить только на каталог или облако.
Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin
проверяется на том каталоге, в котором находится сеть.
vpc.gateways.editor
Роль vpc.gateways.editor
предназначена для управления NAT-шлюзами. Она позволяет создать и настроить NAT-шлюз.
Сейчас эту роль можно назначить только на каталог или облако.
vpc.gateways.user
Роль vpc.gateways.user
предназначена для подключения NAT-шлюза к таблице маршрутизации.
vpc.securityGroups.admin
Роль vpc.securityGroups.admin
предназначена для управления группами безопасности. Она позволяет создавать, изменять, удалять группы безопасности, а также правила в них.
Сейчас эту роль можно назначить только на каталог или облако.
vpc.admin
Роль сетевого администратора, предоставляющая полный контроль над ресурсами VPC. Включает в себя роли vpc.privateAdmin
, vpc.publicAdmin
и vpc.securityGroups.admin
.
Сейчас эту роль можно назначить только на каталог или облако.