Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Cloud Logging
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Добавление записей
    • Чтение записей
    • Управление лог-группой
      • Создание лог-группы
      • Управление правами доступа к лог-группе
      • Изменение срока хранения записей
      • Получение списка лог-групп
      • Мониторинг
      • Удаление лог-группы
  • Практические руководства
    • Все руководства
    • Передача логов кластера Yandex Managed Service for Kubernetes в Cloud Logging
    • Передача логов с ВМ в Cloud Logging
    • Передача логов с COI в Cloud Logging
  • Концепции
    • Лог-группа
    • Язык фильтрующих выражений
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • LogGroupService
      • LogIngestionService
      • LogReadingService
      • OperationService
    • REST (англ.)
      • Overview
      • LogGroup
        • Overview
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • listResources
        • setAccessBindings
        • stats
        • update
        • updateAccessBindings
  • Вопросы и ответы
  1. Управление доступом

Управление доступом Cloud Logging

Статья создана
Yandex Cloud
  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
    • resource-manager.clouds.member
    • resource-manager.clouds.owner
    • resource-manager.admin
    • resource-manager.editor
    • resource-manager.viewer
    • logging.viewer
    • logging.editor
    • logging.reader
    • logging.writer
    • logging.admin
    • viewer
    • editor
    • admin

В этом разделе вы узнаете:

  • на какие ресурсы можно назначить роль;
  • какие роли действуют в сервисе.

Об управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Роль можно назначить на облако, каталог и пользовательскую лог-группу. Роли, назначенные на облако или каталог, действуют и на лог-группы, которые находятся в них.

Какие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Cloud Logging.

resource-manager.clouds.member

При добавлении нового пользователя в облако, которое не принадлежит организации, ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Роль актуальна только для облака, которое не принадлежит организации.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.

resource-manager.admin

Роль resource-manager.admin назначается на организацию, облако или каталог. Дает право управлять доступом к облаку или каталогу.

Роль включает все разрешения, которые дают роли resource-manager.viewer и resource-manager.editor.

resource-manager.editor

Роль resource-manager.editor назначается на организацию, облако или каталог.
Дает право создавать, редактировать и удалять облака или каталоги.

Роль включает все разрешения, которые дает роль resource-manager.viewer.

resource-manager.viewer

Роль resource-manager.viewer назначается на организацию, облако или каталог.

Дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог.

logging.viewer

Роль logging.viewer дает право смотреть список лог-групп и информацию о них.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.editor

Роль logging.editor дает право обновлять все настройки лог-группы, кроме прав доступа.

Роль logging.editor включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.reader

Роль logging.reader дает право смотреть записи в лог-группе.

Роль logging.reader включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.writer

Роль logging.writer дает право добавлять записи в лог-группу.

Роль logging.writer включает все разрешения, которые дает роль logging.viewer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

logging.admin

Роль logging.admin дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.

Роль logging.admin включает все разрешения, которые дают роли logging.editor, logging.reader и logging.writer.

О том, как назначить данную роль, читайте в разделе Управление правами доступа к лог-группе.

viewer

Пользователь с ролью viewer может просматривать информацию о ресурсах, например, посмотреть список лог-групп или записей в них.

editor

Пользователь с ролью editor может управлять лог-группами, например, создать лог-группу, добавить в нее записи или обновить ее настройки.

Помимо этого роль editor включает в себя все разрешения роли viewer.

admin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например, разрешить другим пользователям добавлять записи в лог-группы.

Помимо этого роль admin включает в себя все разрешения роли editor.

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • resource-manager.clouds.member
  • resource-manager.clouds.owner
  • resource-manager.admin
  • resource-manager.editor
  • resource-manager.viewer
  • logging.viewer
  • logging.editor
  • logging.reader
  • logging.writer
  • logging.admin
  • viewer
  • editor
  • admin