Системные группы

    Системная группа — это идентификатор, обозначающий какую-то группу пользователей (субъектов), на которую можно назначать роли.

    В Яндекс.Облаке существует два типа системных групп: allAuthenticatedUsers и allUsers. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять эта роль.

    Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner и resource-manager.clouds.member.

    Предупреждение

    Не назначайте системной группе роли editor и admin на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться Яндекс.Облаком за ваш счет.

    allAuthenticatedUsers

    allAuthenticatedUsers — все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи Яндекс.Облака или сервисные аккаунты.

    Например, у вас есть образ диска с операционной системой и вы хотите им поделиться со всеми пользователями Яндекс.Облака. Для этого назначьте субъекту allAuthenticatedUsers роль compute.images.user на каталог с образом.

    allUsers

    allUsers — любой пользователь, прохождение аутентификации не требуется. Например, при запросе через API не надо будет указывать IAM-токен.

    Важная информация

    Сейчас allUsers поддерживается только в сервисе Object Storage при управлении доступом с помощью ACL.

    В остальных сервисах назначение роли для группы allUsers эквивалентно назначению роли для allAuthenticatedUsers.