Системные группы
Системная группа — это идентификатор, обозначающий какую-то группу пользователей (субъектов), на которую можно назначать роли.
В Яндекс.Облаке существует два типа системных групп: allAuthenticatedUsers и allUsers. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять эта роль.
Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner и resource-manager.clouds.member.
Ошибка
Не назначайте системной группе роли editor и admin на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться Яндекс.Облаком за ваш счет.
allAuthenticatedUsers
allAuthenticatedUsers — все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи Яндекс.Облака или сервисные аккаунты.
Например, у вас есть образ диска с операционной системой и вы хотите им поделиться со всеми пользователями Яндекс.Облака. Для этого назначьте субъекту allAuthenticatedUsers роль compute.images.user на каталог с образом.
allUsers
allUsers — любой пользователь, прохождение аутентификации не требуется. Например, при запросе через API не надо будет указывать IAM-токен.
Важная информация
Сейчас allUsers поддерживается только в сервисе Object Storage при управлении доступом с помощью ACL.
В остальных сервисах назначение роли для группы allUsers эквивалентно назначению роли для allAuthenticatedUsers.