Иерархия ресурсов Yandex Cloud

Статья создана

Ресурсы Yandex Resource Manager
- Облако
- Каталог
Наследование прав доступа

Ресурсная модель Resource Manager представлена на диаграмме. Этой модели следует большинство сервисов Yandex Cloud.

Все ресурсы Yandex Cloud — виртуальные машины, диски, сети и др. — размещаются в каталогах. При создании ресурса указывается каталог, в котором он будет создан.

Каждый каталог принадлежит одному облаку. Не существует каталогов вне облака. Нельзя создать каталог внутри другого каталога.

Облака принадлежат организациям.

Организации не взаимодействуют друг с другом. Ресурсы одной организации не могут взаимодействовать с ресурсами другой организации средствами Yandex Cloud. Сервис Yandex Cloud Organization управляет организациями.

Внутри организации вы можете настроить доступ к ресурсу на уровнях:

организация;
облако;
каталог;
отдельный ресурс, если сервис поддерживает разграничение доступа на этом уровне.

По умолчанию новый пользователь-участник организации не имеет доступа к ресурсам в облаках организации. Права доступа ему необходимо выдать явно: назначить роль непосредственно на ресурс или на каталог, облако или организацию этого ресурса.

Ресурсы Yandex Resource Manager

Облако

Облако — это изолированное пространство, в котором создаются каталоги.

Облака по умолчанию изолированы друг от друга. Для ресурсов, которые поддерживают кросс-облачное взаимодействие, его можно настроить отдельно.

Владелец облака

При создании облака ему назначается владелец. Владелец облака — это пользователь, которому назначена роль resource-manager.clouds.owner на это облако.

Владелец может выполнять любые операции с облаком и ресурсами в нем.

Владелец может выдавать доступ к облаку другим пользователям: назначать им роли и отзывать их. В том числе владелец может назначить других владельцев облака или отозвать роль владельца у себя.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отозвать эту роль у себя.

Участник облака

Роль resource-manager.clouds.member не дает прав на выполнение каких-либо операций с ресурсами. Эта роль используется в сочетании с другими ролями.

Подробное описание роли приведено в документации Identity and Access Management.

Публичный доступ к облаку

Облако и любой ресурс в нем можно сделать публичным, назначив роль системной группе. Тогда для доступа к ресурсу не требуется быть участником облака, а необходимо только знать идентификатор ресурса. Подробнее о системных группах.

Каталог

Каталог — это пространство, в котором создаются и группируются ресурсы Yandex Cloud.

Как и каталоги в файловой системе, каталоги в Yandex Cloud упрощают управление ресурсами. Вы можете группировать ресурсы в каталоги по типу ресурса, по проекту, по отделу, который работает с этими ресурсами, или по любому другому признаку.

Наследование прав доступа

Когда пользователь (субъект) выполняет какую-либо операцию с ресурсом, сервис IAM проверяет права доступа у пользователя на этот ресурс.

Права доступа на ресурсы наследуются:

Права на организацию распространяются на ресурсы организации:
- федерации;
- группы;
- облака организации.
Права на облако распространяются на все каталоги внутри облака.
Права на каталог распространяются на все ресурсы каталога.

Например, для организации myorganization со следующей структурой:

Облако mycloud:

Каталог robots:

сервисный аккаунт Alice;

сервисный аккаунт Bob.

Если пользователю назначить роль resource-manager.viewer на организацию, он увидит список всех облаков, каталогов и ресурсов в организации, но не сможет ими управлять.
Если добавить пользователю роль editor на облако mycloud, он сможет управлять всеми ресурсами облака, включая Alice и Bob, но дать доступ другому пользователю к ним он не сможет.
Роль admin на каталог robots позволит пользователю управлять доступом к ко всем ресурсам каталога, включая Alice и Bob.

На некоторые ресурсы нельзя назначать роль непосредственно, для таких ресурсов роль назначается на каталог, облако или организацию. Например, на данный момент нельзя назначить роль на виртуальную машину. Если пользователь попытается прочитать информацию о виртуальной машине, IAM проверит права пользователя на каталог, которому принадлежит эта виртуальная машина. Если права на каталог отсутствуют, то IAM проверит права доступа на облако и организацию.