Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Managed Service for Elasticsearch
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Информация об имеющихся кластерах
    • Создание кластера
    • Подключение к кластеру
    • Остановка и запуск кластера
    • Управление хостами Elasticsearch
    • Управление пользователями Elasticsearch
    • Удаление кластера
  • Концепции
    • Взаимосвязь ресурсов сервиса
    • Индексы
    • Поиск с помощью Elasticsearch
    • Классы хостов
    • Сеть в Managed Service for Elasticsearch
    • Квоты и лимиты
    • Типы хранилища
    • Шардирование и репликация
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • ClusterService
      • OperationService
      • ResourcePresetService
      • UserService
      • OperationService
    • REST
      • Обзор
      • Cluster
        • Обзор
        • addHosts
        • create
        • delete
        • deleteHosts
        • get
        • list
        • listHosts
        • listLogs
        • listOperations
        • move
        • start
        • stop
        • streamLogs
        • update
      • Operation
        • Обзор
        • get
      • ResourcePreset
        • Обзор
        • get
        • list
      • User
        • Обзор
        • get
        • list
  • Вопросы и ответы
  1. Управление доступом

Управление доступом к Managed Service for Elasticsearch

  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • Какие роли мне необходимы
  • Что дальше

В этом разделе вы узнаете:

  • на какие ресурсы можно назначить роль;
  • какие роли действуют в сервисе;
  • какие роли необходимы для того или иного действия.

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for Elasticsearch (кластеры и хосты, резервные копии кластеров, учетные записи), назначьте пользователю нужные роли на каталог или облако, в котором содержатся эти ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Роли, действующие в сервисе:

  • Сервисные роли:
    • resource-manager.clouds.owner — дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.

    • resource-manager.clouds.member — роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

  • Примитивные роли:
    • viewer — позволяет только просматривать информацию о ресурсах.

    • editor — позволяет управлять ресурсами (создавать, изменять и удалять их).

    • admin — позволяет управлять ресурсами и доступом к ним.

Какие роли мне необходимы

В таблице ниже перечислены возможные действия с ресурсами кластера и роли, которые нужны для их выполнения.

Действие Методы Необходимые роли
Просмотр информации
Просмотр информации о кластере и связанных ресурсах get, list viewer, editor или admin на каталог с кластером
Управление ресурсами
Создание кластеров в каталоге create editor или admin на каталог с кластером
Изменение, удаление кластеров и связанных ресурсов update, delete editor или admin на каталог с кластером
Управление доступом к ресурсам
Создание, изменение, удаление учетных записей в кластере create, update, delete editor или admin на каталог с кластером
Назначение роли, отзыв роли и просмотр назначенных ролей на каталог или облако setAccessBindings, updateAccessBindings, listAccessBindings admin на каталог с кластером или облако

Что дальше

  • Как назначить роль.
  • Как отозвать роль.
  • Подробнее об управлении доступом в Yandex.Cloud.
  • Подробнее о наследовании ролей.
В этой статье:
  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • Какие роли мне необходимы
  • Что дальше
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»