Управление доступом в Key Management Service
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
Роль можно назначить на облако, каталог или ключ. Эти роли будут действовать и на вложенные ресурсы.
Какие роли действуют в сервисе
Управлять доступом к ключам KMS можно как с помощью сервисных, так и с помощью примитивных ролей. На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
Сервисные роли обеспечивают более гранулярный, учитывающий специфику сервиса, контроль над ключами KMS: предполагают строгое разделение субъектов на администраторов ключей (роль kms.admin) и пользователей (роль kms.keys.encrypterDecrypter).
Пользователи, у которых отсутствует роль resource-manager.clouds.owner или роль admin, не могут назначать роли через консоль управления.
Список сервисных ролей:
kms.keys.encrypterDecrypter– позволяет осуществлять операции шифрования и расшифровки данных, а также просматривать информацию о ключах.kms.admin– позволяет управлять ключами (просмотр, создание, изменение, удаление, ротация, шифрование и расшифровка данных). Также позволяет назначать рольkms.keys.encrypterDecrypterна ключи с помощью CLI и API.
Примитивные роли
Примитивные роли – общие для всех ресурсов Yandex.Cloud. Назначение любой из них дает некоторые разрешения как в KMS, так и в других облачных сервисах. Например, роль admin, назначенная на каталог, позволяет удалять любые ключи KMS в каталоге, а также дает возможность изменять сам каталог или ресурсы в нем. Управлять примитивными ролями можно с помощью консоли управления.
Список примитивных ролей:
viewer— позволяет только просматривать информацию о ресурсах.editor— позволяет управлять ресурсами (создавать и изменять их).admin— позволяет управлять доступом к ресурсам и самими ресурсами (создавать, изменять и удалять их).
Какие роли мне необходимы
Пример разграничения доступа к ключам
С ролями рекомендуется работать следующим образом:
- Владелец (роль
resource-manager.clouds.owner) или администратор (рольadmin) облака назначает рольkms.adminадминистратору KMS. - Администратор KMS создает необходимое количество ключей и назначает (с помощью CLI или API) роли для их использования: субъекты, представляющие разные команды, получают роль
kms.keys.encrypterDecrypterна необходимые им ключи.
Хорошей практикой является хранение ключей KMS в выделенном каталоге, отдельно от других ресурсов Yandex.Cloud.
| Действие | Методы | Необходимые роли |
|---|---|---|
| KMS | ||
| Получение информации о ключах и версиях | get, listVersions |
kms.keys.encrypterDecrypter на ключ |
| Операции шифрования и расшифровки | encrypt, decrypt, reEncrypt, generateDataKey |
kms.keys.encrypterDecrypter на ключ |
| Получение списка ключей в каталоге | list |
kms.admin на ключ |
| Создание и изменение ключа | create, update |
kms.admin на ключ |
| Ротация ключа и смена основной версии | rotate, setPrimaryVersion |
kms.admin на ключ |
| Удаление ключей и удаление версий | delete, scheduleVersionDestruction, cancelVersionDestruction |
kms.admin на ключ |
| Назначение роли, отзыв роли и просмотр назначенных ролей на ключ | setAccessBindings, updateAccessBindings, listAccessBindings |
kms.admin на ключ |