Управление доступом в Message Queue
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса Yandex Message Queue, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Resource Manager.
Назначение ролей
Для управления очередями пользователь должен иметь соответствующие полномочия в облаке и каталогах, в которых будут выполняться операции.
Чтобы дать пользователю полномочия:
- При необходимости добавьте нужного пользователя.
- В консоли управления
в списке слева выберите нужное облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Назначить роли.
- В окне Настройка прав доступа нажмите кнопку
- Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
- Нажмите кнопку
- Выберите роль в облаке.
- Нажмите кнопку Сохранить.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе YMQ.
Сервисные роли
ymq.reader
Роль ymq.reader
дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.
ymq.writer
Роль ymq.writer
дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.
ymq.admin
Роль ymq.admin
включает права ролей ymq.reader
и ymq.writer
, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.