Управление доступом

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе;
• какие роли необходимы для того или иного действия.

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Роль можно назначить на облако, каталог или ключ. Эти роли будут действовать и на вложенные ресурсы.

Какие роли действуют в сервисе

Управлять доступом к ключам KMS можно как с помощью сервисных, так и с помощью примитивных ролей. На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные роли

Сервисные роли обеспечивают более гранулярный, учитывающий специфику сервиса, контроль над ключами KMS: предполагают строгое разделение субъектов на администраторов ключей (роль kms.admin) и пользователей (роль kms.keys.encrypterDecrypter).

Пользователи, у которых отсутствует роль resource-manager.clouds.owner или роль admin, не могут назначать роли через консоль управления.

Список сервисных ролей:

• kms.keys.encrypterDecrypter – позволяет осуществлять операции шифрования и расшифровки данных, а также просматривать информацию о ключах.
• kms.admin – позволяет управлять ключами (просмотр, создание, изменение, удаление, ротация, шифрование и расшифровка данных). Также позволяет назначать роль kms.keys.encrypterDecrypter на ключи с помощью CLI и API.

Примитивные роли

Примитивные роли – общие для всех ресурсов Yandex.Cloud. Назначение любой из них дает некоторые разрешения как в KMS, так и в других облачных сервисах. Например, роль admin, назначенная на каталог, позволяет удалять любые ключи KMS в каталоге, а также дает возможность изменять сам каталог или ресурсы в нем. Управлять примитивными ролями можно с помощью консоли управления.

Список примитивных ролей:

• viewer — позволяет только просматривать информацию о ресурсах.

• editor — позволяет управлять ресурсами (создавать, изменять и удалять их).

• admin — позволяет управлять ресурсами и доступом к ним.

Какие роли мне необходимы

Пример разграничения доступа к ключам

С ролями рекомендуется работать следующим образом:

1. Владелец (роль resource-manager.clouds.owner) или администратор (роль admin) облака назначает роль kms.admin администратору KMS.
2. Администратор KMS создает необходимое количество ключей и назначает (с помощью CLI или API) роли для их использования: субъекты, представляющие разные команды, получают роль kms.keys.encrypterDecrypter на необходимые им ключи.

Хорошей практикой является хранение ключей KMS в выделенном каталоге, отдельно от других ресурсов Yandex.Cloud.

Действие	Методы	Необходимые роли
KMS
Получение информации о ключах и версиях	get, listVersions	kms.keys.encrypterDecrypter на ключ
Операции шифрования и расшифровки	encrypt, decrypt, reEncrypt, generateDataKey	kms.keys.encrypterDecrypter на ключ
Получение списка ключей в каталоге	list	kms.admin на ключ
Создание и изменение ключа	create, update	kms.admin на ключ
Ротация ключа и смена основной версии	rotate, setPrimaryVersion	kms.admin на ключ
Удаление ключей и удаление версий	delete, scheduleVersionDestruction, cancelVersionDestruction	kms.admin на ключ
Назначение роли, отзыв роли и просмотр назначенных ролей на ключ	setAccessBindings, updateAccessBindings, listAccessBindings	kms.admin на ключ

Что дальше

• Безопасное использование Yandex.Cloud
• Как назначить роль.
• Как отозвать роль.
• Подробнее об управлении доступом в Yandex.Cloud.
• Подробнее о наследовании ролей.