Управление доступом
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex.Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
или resource-manager.clouds.owner
на этот ресурс.
На какие ресурсы можно назначить роль
В консоли Yandex.Cloud вы можете назначить роль на облако или каталог. С помощью YC CLI – на облако, каталог или бакет. Эти роли будут действовать и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
Роль | Разрешения |
---|---|
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов. |
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. |
storage.admin |
Дает право на управление сервисом Object Storage. |
storage.configurer |
Позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS. |
storage.editor |
Разрешает любые операции с бакетами и объектами в них. |
storage.uploader |
Дает право на загрузку объектов в бакет. |
storage.viewer |
Дает доступ на чтение списка бакетов, их настроек и данных в бакетах. |
Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.
Примитивные роли
Роль | Разрешения |
---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |