Управление доступом в API Gateway
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса API Gateway (API-шлюзам), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена на родительский ресурс (каталог или облако) и на организацию.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль на облако:
- При необходимости добавьте нужного пользователя.
- В консоли управления
в списке слева выберите нужное облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Назначить роли.
- В окне Настройка прав доступа нажмите кнопку
Выбрать пользователя. - Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
- Нажмите кнопку
Добавить роль. - Выберите роль в облаке.
- Нажмите кнопку Сохранить.
Подробнее о назначении ролей см. в документации сервиса Yandex Identity and Access Management.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
На API-шлюз роль можно назначить через YC CLI или API Yandex Cloud.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе API Gateway.
Сервисные роли
api-gateway.auditor
Роль api-gateway.auditor
позволяет просматривать список API-шлюзов и информацию о привязках прав доступа к ним, а также метаинформацию каталога.
api-gateway.viewer
Роль api-gateway.viewer
позволяет просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним, а также информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.auditor
.
api-gateway.editor
Роль api-gateway.editor
позволяет просматривать информацию об API-шлюзах и управлять ими, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним, а также создавать, изменять и удалять API-шлюзы;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.websocketWriter
.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API WebSocket, а также просматривать список API-шлюзов, информацию о них и о привязках прав доступа ним.
Пользователи с этой ролью могут:
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.viewer
.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять API-шлюзами и доступом к ним, просматривать информацию об API-шлюзах, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать информацию о привязках прав доступа к API-шлюзам и изменять такие привязки;
- просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.editor
.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.