Управление доступом
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
Роль можно назначить на облако или каталог. Эти роли будут действовать и на вложенные ресурсы.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Yandex IoT Core.
Сервисные роли
| Роль | Разрешения |
|---|---|
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов. |
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. |
iot.devices.writer |
Роль для отправки gRPC-сообщений в Yandex IoT Core от имени устройства. |
iot.registries.writer |
Роль для отправки gRPC-сообщений в Yandex IoT Core от имени реестра. |
Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.
Примитивные роли
| Роль | Разрешения |
|---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |