Управление доступом в Virtual Private Cloud
Для управления правами доступа в Virtual Private Cloud используются роли.
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
vpc.auditor
Роль vpc.auditor
позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
vpc.viewer
Роль vpc.viewer
позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.auditor
.
vpc.user
Роль vpc.user
позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.externalAddresses.user
Роль vpc.externalAddresses.user
позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.
vpc.admin
Роль vpc.admin
позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.
- просматривать информацию об облачных сетях, а также создавать, изменять и удалять их;
- настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать информацию о подсетях, а также создавать, изменять и удалять их;
- просматривать информацию о таблицах маршрутизации, а также создавать, изменять и удалять их;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- настраивать DHCP в подсетях;
- просматривать информацию об адресах облачных ресурсов, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями vpc.privateAdmin
, vpc.publicAdmin
и vpc.securityGroups.admin
.
vpc.bridgeAdmin
Роль vpc.bridgeAdmin
позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- управлять связностью нескольких облачных сетей;
- просматривать информацию о подсетях и использовать их;
- получать список облачных сетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.privateAdmin
Роль vpc.privateAdmin
позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.
- просматривать информацию об облачных сетях, а также создавать, изменять и удалять их;
- просматривать информацию о подсетях, а также создавать, изменять и удалять их;
- просматривать информацию о таблицах маршрутизации, а также создавать, изменять и удалять их;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о группах безопасности и создавать в облачных сетях группы безопасности по умолчанию;
- настраивать DHCP в подсетях;
- просматривать информацию об адресах облачных ресурсов, а также создавать внутренние IP-адреса;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.publicAdmin
Роль vpc.publicAdmin
позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями
- просматривать информацию об облачных сетях и настраивать внешний доступ к ним;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать информацию о подсетях и изменять них;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать информацию об адресах облачных ресурсов, а также создавать, изменять и удалять публичные IP-адреса;
- просматривать информацию о таблицах маршрутизации, а также привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о группах безопасности;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
Роль можно назначить на облако или каталог. Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin
проверяется на том каталоге, в котором находится сеть.
vpc.gateways.viewer
Роль vpc.gateways.viewer
позволяет просматривать информацию о NAT-шлюзах.
vpc.gateways.user
Роль vpc.gateways.user
позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.
vpc.gateways.editor
Роль vpc.gateways.editor
позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.
vpc.securityGroups.user
Роль vpc.securityGroups.user
позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
- назначать группы безопасности сетевым интерфейсам виртуальных машин;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.securityGroups.admin
Роль vpc.securityGroups.admin
позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor
вместо viewer
или vpc.admin
вместо vpc.publicAdmin
.
Действие | Методы | Необходимые роли |
---|---|---|
Просмотр информации | ||
Просмотр информации о любом ресурсе | get , list , listOperations |
vpc.viewer или viewer на этот ресурс |
Получение списка подсетей в сети | listSubnets |
vpc.viewer или viewer на сеть |
Использование ресурсов | ||
Назначение ресурсов VPC другим ресурсам Yandex Cloud (например, назначение адреса на интерфейс или подключение сетевого интерфейса к подсети) | Различные | vpc.user на ресурс, а также право на изменение принимающего его объекта, если операция назначения ресурса мутирующая |
Назначение/удаление публичного адреса на интерфейсе | различные | vpc.publicAdmin на сеть |
Создание ВМ, подключенной к нескольким сетям | create |
vpc.publicAdmin на каждую сеть, к которой подключается ВМ |
Управление ресурсами | ||
Создание сетей в каталоге | create |
vpc.privateAdmin или editor на каталог |
Изменение, удаление сетей | update , delete |
vpc.privateAdmin или editor на сеть |
Создание подсетей в каталоге | create |
vpc.privateAdmin или editor на каталог и на сеть |
Изменение, удаление подсетей | update , delete |
vpc.privateAdmin или editor на каталог |
Создание таблицы маршрутизации | create |
vpc.privateAdmin или editor на каталог |
Изменение, удаление таблицы маршрутизации | update , delete |
vpc.privateAdmin или editor на таблицу маршрутизации |
Создание публичных адресов | create |
vpc.publicAdmin или editor на каталог |
Удаление публичных адресов | delete |
vpc.publicAdmin или editor на адрес |
Создание шлюзов | create |
vpc.gateways.editor |
Подключение шлюза в таблице маршрутизации | create , update |
vpc.gateways.user |
Создание групп безопасности | create |
vpc.securityGroups.admin или editor на каталог и на сеть |
Изменение, удаление групп безопасности | update , delete |
vpc.securityGroups.admin или editor на сеть и на группу безопасности |
Управление доступом к ресурсам | ||
Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings , updateAccessBindings , listAccessBindings |
admin на этот ресурс |
Чтобы создать NAT-шлюз и подключить его к таблице маршрутизации, вам потребуются роли vpc.gateways.editor
и vpc.gateways.user
. Использовать зарезервированные публичные IP-адреса для шлюзов сейчас нельзя, поэтому роли vpc.admin
будет недостаточно.