Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Object Storage

Управление доступом в Object Storage

Статья создана

В этом разделе вы узнаете:

Об управлении доступом

Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.

На какие ресурсы можно назначить роль

В консоли Yandex.Cloud или с помощью YC CLI вы можете назначить роль на облако или каталог. Назначенные роли будут действовать и на вложенные ресурсы.

Об управлении доступом к бакетам и объектам см. раздел Список управления доступом (ACL).

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

storage.admin

Роль storage.admin предназначена для управления сервисом Object Storage. Пользователи с этой ролью могут:

  • создавать бакеты;
  • удалять бакеты;
  • назначать список управления доступом (ACL);

Примечание

Для просмотра или изменения списка управления доступом через консоль также потребуется роль viewer на облако, чтобы загрузить список доступных пользователей.
Роль viewer не требуется для работы с ACL через API.

  • управлять всеми объектами бакета;
  • управлять всеми веб-сайтами бакета;
  • настраивать другие параметры бакета и объектов в нем.

Роль может предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.

Выдать данную роль может администратор облака (роль admin).

storage.configViewer

Пользователь с ролью storage.configViewer может просматривать настройки безопасности бакетов и объектов в них, при этом не имеет доступа к данным внутри бакета.

storage.configurer

Пользователь с ролью storage.configurer может управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.

Не управляет настройками списка управления доступом (ACL) и настройками публичного доступа. Не имеет доступа к данным в бакете.

storage.editor

Пользователь с ролью storage.editor может выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.

Роль не позволяет управлять настройками списка управления доступом (ACL).

storage.uploader

Пользователь с ролью storage.uploader может загружать объекты в бакет, в том числе перезаписывать загруженные ранее.

Роль не позволяет удалять объекты и конфигурировать бакет.

storage.viewer

Роль storage.viewer дает доступ на чтение списка бакетов, их настроек и данных в бакетах.

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например, с admin, editor или viewer.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

viewer

Роль viewer дает разрешения на чтение к ресурсам.

Например, роль viewer позволяет выполнять следующие операции:

  • Просмотр информации о ресурсе.
  • Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
  • Просмотр списка операций с ресурсом.

editor

Роль editor дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor включает все разрешения, которые дает роль viewer.

Например, роль editor позволяет выполнять следующие операции:

  • Создание ресурса;
  • Обновление ресурса;
  • Удаление ресурса.

admin

Роль admin дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner.

Роль admin включает все разрешения, которые дает роль editor.

Например, роль admin позволяет выполнять следующие операции:

  • Установить права доступа к ресурсу;
  • Изменить права доступа к ресурсу.
Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье: