Управление доступом

Пользователь Яндекс.Облака может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены. Независимо от назначенных ролей, пользователь может просматривать справочные списки зон доступности.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for Kubernetes (кластеры Kubernetes и группы узлов), назначьте пользователю нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль:

  1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. Выберите пользователя, которому хотите назначить роль, нажмите значок image и выберите Настроить роли.

  3. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  4. Выберите роль из списка.

Роли

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Managed Service for Kubernetes.

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

Примитивные роли

Примитивные роли можно назначать на любой ресурс в любом сервисе.

Kubernetes имеет собственную ролевую модель. При аутентификации пользователю присваивается группа и username, для которых можно назначить права доступа.

Примечание

Username — идентификатор пользователя в сервисе IAM. Как узнать идентификатор пользователя, читайте в разделе Получить идентификатор или почту пользователя.

В таблице ниже описано соотношение ролей в Облаке и групп и ролей в Kubernetes, которое настроено по умолчанию при аутентификации в Kubernetes.

Важная информация

Пользователь может изменить то, какие роли будут получать члены группы Kubernetes в кластере Kubernetes по своему усмотрению.

Роль в Облаке Группа в Kubernetes Роль в Kubernetes Описание роли в Облаке
viewer yc:viewer view Пользователь может просматривать информацию о ресурсах, например посмотреть список узлов или получить информацию о кластере Kubernetes.
editor yc:editor cluster-admin Пользователь может управлять любыми ресурсами, например создать кластер Kubernetes, создать или удалить узлы в кластере Kubernetes.
Включает в себя все разрешения роли viewer.
admin yc:admin cluster-admin Пользователь может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать кластеры Kubernetes или просматривать информацию о них.
Включает в себя все разрешения роли editor.