Управление доступом в Managed Service for Apache Kafka®

Статья создана

Об управлении доступом
На какие ресурсы можно назначить роль
Какие роли действуют в сервисе
Какие роли необходимы
Что дальше

В этом разделе вы узнаете:

на какие ресурсы можно назначить роль;
какие роли действуют в сервисе;
какие роли необходимы для того или иного действия.

Об управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for Apache Kafka® (кластеры и хосты, резервные копии кластеров, разделы и топики, пользователи), назначьте пользователю нужные роли на каталог или облако, в котором содержатся эти ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

mdb.admin

Роль mdb.admin позволяет создавать и изменять кластеры управляемых баз данных.

mdb.viewer

Роль mdb.viewer позволяет просматривать информацию об управляемых базах данных кластера и логах их работы.

mdb.auditor

Роль mdb.auditor позволяет просматривать информацию об управляемых базах данных кластера (кроме логов их работы).

resource-manager.clouds.member

Сама по себе роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями.

Как сочетать роль с другими ролями зависит от того, входит облако в организацию или нет.

Для облака в организации

Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.

resource-manager.clouds.member — это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:

На организации или облаке:
- resource-manager.admin;
- resource-manager.editor;
- resource-manager.viewer;
- admin;
- editor;
- viewer.
На облаке:
- resource-manager.clouds.owner.

Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.

Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.

Пример:

Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:

Роль На ресурс Разрешает

vpc.admin Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации

resource-manager.clouds.member Все облака организации Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Роль	На ресурс	Разрешает
`vpc.admin`	Организация	Управлять сетями, маршрутами, IP-адресами и другими ресурсами Virtual Private Cloud через CLI, API и Terraform во всех облаках организации
`resource-manager.clouds.member`	Все облака организации	Работать с Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Примечание

Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member ролью resource-manager.viewer — назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.

Для облака без организации

Роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Без этой роли у пользователя не будут работать никакие другие роли.

Роль назначается автоматически при добавлении в облако без организации нового пользователя.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не сможет отнять эту роль у себя.

vpc.publicAdmin

Роль vpc.publicAdmin позволяет создавать и удалять статические публичные IP-адреса. Также она включает все разрешения роли vpc.viewer.

Наличие роли vpc.publicAdmin также необходимо для создания ресурсов с публичными IP-адресами, например: виртуальных машин или кластеров управляемых баз данных.

Сейчас эту роль можно назначить только на каталог или облако.

Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.

viewer

Роль viewer дает разрешения на чтение к ресурсам.

Например, роль viewer позволяет выполнять следующие операции:

Просмотр информации о ресурсе.
Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
Просмотр списка операций с ресурсом.

editor

Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.

Например, роль editor позволяет выполнять следующие операции:

Создание ресурса.
Обновление ресурса.
Удаление ресурса.

admin

Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.

Роль admin включает все разрешения, которые дает роль editor.

Например, роль admin позволяет выполнять следующие операции:

Установить права доступа к ресурсу.
Изменить права доступа к ресурсу.

managed-kafka.admin

Роль managed-kafka.admin позволяет создавать, изменять и удалять кластеры, просматривать информацию о кластерах, логах их работы и квотах, а также управлять доступом к кластерам.

Включает в себя роль managed-kafka.editor.

managed-kafka.auditor

Роль managed-kafka.auditor позволяет просматривать информацию о кластерах и квотах.

managed-kafka.editor

Роль managed-kafka.editor позволяет создавать, изменять и удалять кластеры, а также просматривать информацию о кластерах, логах их работы и квотах.

Включает в себя роль managed-kafka.viewer.

managed-kafka.viewer

Роль managed-kafka.viewer позволяет просматривать информацию о кластерах, логах их работы и квотах.

Какие роли необходимы

Чтобы пользоваться сервисом, необходима роль editor или выше на каталог, в котором создается кластер. Роль viewer позволит только просматривать список кластеров.

Вы всегда можете назначить роль, которая дает более широкие разрешения. Например, назначить admin вместо editor.