Системные группы
Системная группа — это идентификатор, обозначающий какую-то группу пользователей (субъектов), на которую можно назначать роли.
В Yandex.Cloud существует два типа системных групп: allAuthenticatedUsers
и allUsers
. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять эта роль.
Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner
и resource-manager.clouds.member
.
Внимание
Не назначайте системной группе роли editor
и admin
на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться ресурсами Yandex.Cloud за ваш счет.
allAuthenticatedUsers
allAuthenticatedUsers
— все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи или сервисные аккаунты Yandex.Cloud: как из ваших облаков, так и из облаков других пользователей.
Например, у вас есть образ диска с операционной системой и вы хотите поделиться им со всеми пользователями Yandex.Cloud. Для этого назначьте субъекту
allAuthenticatedUsers
рольcompute.images.user
на каталог с образом.
Внимание
Назначение роли системной группе allAuthenticatedUsers
открывает публичный доступ к вашим ресурсам. Данная роль дает права на ваши ресурсы всем пользователям, прошедшим аутентификацию в Yandex.Cloud, а не только пользователям из вашего облака.
allUsers
allUsers
— любой пользователь, прохождение аутентификации не требуется.
Например, при запросе через API к вашему ресурсу пользователю не надо будет указывать IAM-токен.
Важно
Сейчас allUsers
поддерживается только в сервисе Object Storage при управлении доступом с помощью ACL, в сервисе Container Registry и в сервисе Cloud Functions.
В остальных сервисах назначение роли для группы allUsers
эквивалентно назначению роли для allAuthenticatedUsers
.