Управление доступом

В этом разделе перечислены необходимые роли, которыми должен обладать аккаунт для выполнения операций с ресурсами Object Storage. Доступ к Object Storage могут получить следующие категории пользователей:

  • пользователи с зарегистрированным аккаунтом в Яндекс.Паспорте;
  • сервисные аккаунты Yandex Identity and Access Management.

Примечание

Права доступа к ресурсам наследуются от облака и каталога.

Назначение ролей

Для управления бакетами и объектами пользователь должен иметь соответствующие полномочия в облаке и каталогах, в которых будут выполняться операции.

Чтобы назначить нужные роли пользователю:

  1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. В строке с нужным пользователем нажмите Настроить роли.

  3. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  4. Выберите необходимую роль из списка. Подробнее о ролях в разделе Роли документации сервиса Yandex Identity and Access Management.

Разрешения в Object Storage

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака, сервисных аккаунтов и системной группы allAuthenticatedUsers.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например с admin, editor или viewer.

Важная информация

Чтобы пользователь смог работать в облаке через консоль управления, назначьте ему роли resource-manager.clouds.member и viewer на облако. Если назначить на облако только роль участника облака, а остальные роли назначить на вложенные ресурсы, пользователь сможет выполнять операции с ресурсами только с помощью API или CLI.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

admin

Пользователь с ролью admin может:

  • выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их;
  • назначать роли другим пользователям.

editor

Пользователь с ролью editor может выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их.

viewer

Пользователь с ролью viewer может смотреть списки бакетов и объектов в каталоге.