Управление доступом в SmartCaptcha

Статья создана

Об управлении доступом
На какие ресурсы можно назначить роль
Какие роли действуют в сервисе
- Сервисные роли
- Примитивные роли
Какие роли мне необходимы

В этом разделе вы узнаете:

на какие ресурсы можно назначить роль;
какие роли действуют в сервисе.

Об управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

Вы можете назначить роль на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на капчи, которые находятся в них.

Какие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе SmartCaptcha.

Сервисные роли

Роль	Разрешения
`resource-manager.clouds.owner`	Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.
`smart-captcha.viewer`	Позволяет просматривать информацию о капче.
`smart-captcha.editor`	Позволяет управлять капчами (создавать, изменять и удалять). Включает все права роли `smart-captcha.viewer`.
`smart-captcha.admin`	Позволяет управлять капчами и доступом к ним. Включает все права роли `smart-captcha.editor`.

Примитивные роли

Роль	Разрешения
`admin`	Позволяет управлять ресурсами и доступом к ним.
`editor`	Позволяет управлять ресурсами (создавать, изменять и удалять их).
`viewer`	Позволяет только просматривать информацию о ресурсах.

Какие роли мне необходимы

В таблице сопоставлены действия и минимальные роли, необходимые для их выполнения. Вы всегда можете назначить роль, которая дает более широкие права, чем указанная в таблице. Например, вместо smart-captcha.viewer можно выдать роль smart-captcha.editor.

Действие	Роль
Просмотр информации о капче	`smart-captcha.viewer`
Создание капчи	`smart-captcha.editor`
Редактирование капчи	`smart-captcha.editor`
Удаление капчи	`smart-captcha.editor`
Управление ролями пользователей на капче	`smart-captcha.admin`