Системные группы
Системная группа — это идентификатор, обозначающий какую-то группу пользователей (субъектов), на которую можно назначать роли.
В Yandex.Cloud существует два типа системных групп: allAuthenticatedUsers и allUsers. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять эта роль.
Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner и resource-manager.clouds.member.
Внимание
Не назначайте системной группе роли editor и admin на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться ресурсами Yandex.Cloud за ваш счет.
allAuthenticatedUsers
allAuthenticatedUsers — все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи или сервисные аккаунты Yandex.Cloud: как из ваших облаков, так и из облаков других пользователей.
Например, у вас есть образ диска с операционной системой и вы хотите поделиться им со всеми пользователями Yandex.Cloud. Для этого назначьте субъекту
allAuthenticatedUsersрольcompute.images.userна каталог с образом.
Внимание
Назначение роли системной группе allAuthenticatedUsers открывает публичный доступ к вашим ресурсам. Данная роль дает права на ваши ресурсы всем пользователям, прошедшим аутентификацию в Yandex.Cloud, а не только пользователям из вашего облака.
allUsers
allUsers — любой пользователь, прохождение аутентификации не требуется.
Например, при запросе через API к вашему ресурсу пользователю не надо будет указывать IAM-токен.
Важно
Сейчас allUsers поддерживается только в сервисе Object Storage при управлении доступом с помощью ACL, в сервисе Container Registry и в сервисе Cloud Functions.
В остальных сервисах назначение роли для группы allUsers эквивалентно назначению роли для allAuthenticatedUsers.