Управление доступом Cloud Logging
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
Роль можно назначить на облако, каталог и пользовательскую лог-группу. Роли, назначенные на облако или каталог, действуют и на лог-группы, которые находятся в них.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Cloud Logging.
resource-manager.clouds.member
Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.
Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.
Для облака в организации
Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.
resource-manager.clouds.member — это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:
-
На организации или облаке:
resource-manager.admin;resource-manager.editor;resource-manager.viewer;admin;editor;viewer.
-
На облаке:
resource-manager.clouds.owner.
Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.
Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.
Пример:
Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:
Роль На ресурс Разрешает vpc.adminОрганизация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации resource-manager.clouds.memberВсе облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках
Примечание
Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member ролью resource-manager.viewer — назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.
Для облака без организации
Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
Без этой роли у пользователя не будут работать никакие другие роли.
Роль назначается автоматически при добавлении в облако без организации нового пользователя.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.
У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.
resource-manager.admin
Роль resource-manager.admin назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.
Роль включает все разрешения, которые дают роли resource-manager.viewer и resource-manager.editor.
resource-manager.editor
Роль resource-manager.editor назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.
Роль включает все разрешения, которые дает роль resource-manager.viewer.
resource-manager.viewer
Роль resource-manager.viewer назначается на организацию, облако или каталог.
Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.
logging.viewer
Роль logging.viewer дает право смотреть список лог-групп и информацию о них.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.editor
Роль logging.editor дает право обновлять все настройки лог-группы, кроме прав доступа.
Роль logging.editor включает все разрешения, которые дает роль logging.viewer.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.reader
Роль logging.reader дает право смотреть записи в лог-группе.
Роль logging.reader включает все разрешения, которые дает роль logging.viewer.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.writer
Роль logging.writer дает право добавлять записи в лог-группу.
Роль logging.writer включает все разрешения, которые дает роль logging.viewer.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
logging.admin
Роль logging.admin дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.
Роль logging.admin включает все разрешения, которые дают роли logging.editor, logging.reader и logging.writer.
О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.
viewer
Пользователь с ролью viewer может просматривать информацию о ресурсах, например, посмотреть список лог-групп или записей в них.
editor
Пользователь с ролью editor может управлять лог-группами, например, создать лог-группу, добавить в нее записи или обновить ее настройки.
Помимо этого роль editor включает в себя все разрешения роли viewer.
admin
Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям добавлять записи в лог-группы.
Помимо этого роль admin включает в себя все разрешения роли editor.