Управление доступом в Object Storage

Статья создана

Об управлении доступом
На какие ресурсы можно назначить роль
Какие роли действуют в сервисе
- Сервисные роли
- Примитивные роли

В этом разделе вы узнаете:

на какие ресурсы можно назначить роль;
какие роли действуют в сервисе.

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

В консоли Yandex.Cloud вы можете назначить роль на облако или каталог. С помощью YC CLI – на облако, каталог или бакет. Эти роли будут действовать и на вложенные ресурсы.

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные роли

Роль	Разрешения
`resource-manager.clouds.member`	Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.
`resource-manager.clouds.owner`	Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.
`storage.admin`	Дает право на управление сервисом Object Storage.
`storage.configViewer`	Роль дает права просматривать настройки безопасности бакетов и объектов в них, при этом не дает доступ к данным внутри бакета.
`storage.configurer`	Позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.
`storage.editor`	Разрешает любые операции с бакетами и объектами в них, кроме изменения настроек версионирования и политики доступа, для которых нужна роль `storage.admin`.
`storage.uploader`	Дает право на загрузку объектов в бакет.
`storage.viewer`	Дает доступ на чтение списка бакетов, их настроек и данных в бакетах.

Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.

Примитивные роли

Роль	Разрешения
`admin`	Позволяет управлять ресурсами и доступом к ним.
`editor`	Позволяет управлять ресурсами (создавать, изменять и удалять их).
`viewer`	Позволяет только просматривать информацию о ресурсах.