Роли
Роль — это набор разрешений, который определяет допустимые операции с ресурсами в Яндекс.Облаке.
Роли бывают двух типов:
-
Примитивные роли содержат разрешения, действующие для всех типов ресурсов Яндекс.Облака. Это роли
admin,editorиviewer. -
Сервисные роли содержат разрешения только для определенного типа ресурсов в указанном сервисе. Идентификатор сервисной роли указывается в формате
service.resources.role. Например, рольcompute.images.userпозволяет использовать образы в сервисе Yandex Compute Cloud.Сервисную роль можно назначить на ресурс, для которого предназначена роль, или на ресурс, от которого наследуются права доступа. Например, роль
compute.images.userможно назначить на каталог или облако, так как образ наследует разрешения от них.
На данный момент пользователи не могут создавать новые роли со своим набором разрешений.
Примитивные роли
viewer
Роль viewer дает разрешения на чтение к ресурсам.
Например, роль viewer позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
- Просмотр списка операций с ресурсом.
editor
Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.
Например, роль editor позволяет выполнять следующие операции:
- Создание ресурса;
- Обновление ресурса;
- Удаление ресурса.
admin
Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.
Роль admin включает все разрешения, которые дает роль editor.
Например, роль admin позволяет выполнять следующие операции:
- Установить права доступа к ресурсу;
- Изменить права доступа к ресурсу.
Resource Manager
resource-manager.clouds.member
При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.
Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.
У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.
Identity and Access Management
iam.serviceAccounts.user
Роль iam.serviceAccounts.user означает, что у пользователя есть права на использование сервисных аккаунтов.
Эта роль нужна, когда пользователь просит сервис выполнять операции от имени какого-то сервисного аккаунта.
Например, при создании группы виртуальных машин вы указываете ваш сервисный аккаунт, а IAM проверяет, что у вас есть разрешение на использование этого аккаунта.
В роль iam.serviceAccounts.user входят следующие разрешения:
- получение списка сервисных аккаунтов;
- получение информации о сервисном аккаунте;
- использование сервисного аккаунта при выполнении операций от его имени.
Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.
Compute Cloud
compute.disks.user
В роль compute.disks.user входят следующие разрешения:
- получение списка дисков;
- получение информации о диске;
- использование диска для создания новых ресурсов (образов, снимков, новых дисков и виртуальных машин).
Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.
Примечание
Чтобы при создании виртуальной машины пометить диск автоматически удаляемым, этой роли недостаточно. Для этого используйте роль editor.
Сейчас эту роль можно назначить только на каталог или облако.
compute.images.user
В роль compute.images.user входят следующие разрешения:
- получение списка образов;
- получение информации об образе;
- получение информации о последнем образе в указанном семействе;
- использование образа при создании новых ресурсов (виртуальных машин, дисков, других образов).
Эти разрешения также входят в роли editor, admin и resource-manager.cloud.owner.
Сейчас эту роль можно назначить только на каталог или облако.
Data Proc
mdb.dataproc.agent
Роль mdb.dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Data Proc, сообщать сервису о состоянии каждого хоста в кластере.
Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.
Сейчас эту роль можно назначить только на каталог или облако.
Functions
serverless.functions.invoker
Роль serverless.functions.invoker дает право выполнять функции.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к функции.
Container Registry
container-registry.images.puller
В роль container-registry.images.puller входят следующие разрешения:
- получение списка реестров;
- получение информации о реестре;
- получение списка Docker-образов;
- получение информации о Docker-образе.
Сейчас эту роль можно назначить только на каталог или облако.
container-registry.images.pusher
В роль container-registry.images.pusher входят следующие разрешения:
- получение списка реестров;
- получение информации о реестре;
- получение списка Docker-образов;
- получение информации о Docker-образе;
- создание Docker-образа;
- изменение Docker-образа;
- удаление Docker-образа.
Сейчас эту роль можно назначить только на каталог или облако.
DataLens
datalens.instances.user
Роль datalens.instances.user предоставляет доступ к сервису DataLens.
После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens.
Подробнее об управлении доступом в сервисе DataLens в разделе Управление доступом к DataLens.
Сейчас эту роль можно назначить только на каталог или облако.