Управление доступом к Managed Service for Elasticsearch

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе;
• какие роли необходимы для того или иного действия.

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for Elasticsearch (кластеры и хосты, резервные копии кластеров, учетные записи), назначьте пользователю нужные роли на каталог или облако, в котором содержатся эти ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Роли, действующие в сервисе:

• Сервисные роли:

  • resource-manager.clouds.owner — дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.

  • resource-manager.clouds.member — роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

  • vpc.publicAdmin — позволяет управлять внешней связностью. Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.

  • mdb.admin — позволяет создавать и изменять кластеры управляемых баз данных.

• Примитивные роли:

  • viewer — позволяет только просматривать информацию о ресурсах.

  • editor — позволяет управлять ресурсами (создавать, изменять и удалять их).

  • admin — позволяет управлять ресурсами и доступом к ним.

Какие роли мне необходимы

В таблице ниже перечислены возможные действия с ресурсами кластера и роли, которые нужны для их выполнения.

Действие	Методы	Необходимые роли
Просмотр информации
Просмотр информации о кластере и связанных ресурсах	get, list	viewer на каталог с кластером
Управление ресурсами
Создание кластеров в каталоге	create	mdb.admin или editor на каталог
Создание кластеров с хостами, для которых включен публичный доступ	create	Либо vpc.publicAdmin вместе с mdb.admin, либо editor на каталог
Изменение, удаление кластеров и связанных ресурсов	update, delete	mdb.admin или editor на каталог с кластером
Управление доступом к ресурсам
Создание, изменение, удаление учетных записей в кластере	create, update, delete	editor или admin на каталог с кластером
Назначение роли, отзыв роли и просмотр назначенных ролей на каталог или облако	setAccessBindings, updateAccessBindings, listAccessBindings	admin на каталог с кластером или облако

Что дальше

• Как назначить роль.
• Как отозвать роль.
• Подробнее об управлении доступом в Yandex.Cloud.
• Подробнее о наследовании ролей.