Управление доступом в DataSphere
Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.
Список операций, доступных пользователю DataSphere, определяется его ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсам для всех пользователей сообщества. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.
Как назначить роль
Вы можете назначить роль пользователю в интерфейсе DataSphere:
- Добавить пользователя в сообщество.
- Добавить пользователя в проект.
- Поделиться ресурсами с участниками сообщества.
Также вы можете назначить права доступа через интерфейс Cloud Organization.
Какие роли действуют в сервисе
Сервисные роли
datasphere.community-projects.viewer
Роль datasphere.community-projects.viewer
позволяет просматривать список и настройки проектов и закрепленных за ними ресурсов, а также список участников проекта.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer
имеют роль Viewer
на вкладке Участники на странице проекта.
datasphere.community-projects.developer
Роль datasphere.community-projects.developer
позволяет работать в проекте. Пользователь с этой ролью может управлять ресурсами, которые закреплены за проектом, но не может делиться ими в сообществе. Пользователь может запускать IDE и исполнение ячеек с кодом.
Помимо этого роль datasphere.community-projects.developer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer
имеют роль Developer
на вкладке Участники на странице проекта.
datasphere.community-projects.editor
Роль datasphere.community-projects.editor
позволяет изменять настройки проекта, а также дает возможность его удалить.
Пользователь с ролью datasphere.community-projects.editor
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.editor
включает в себя все разрешения роли datasphere.community-projects.developer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor
имеют роль Editor
на вкладке Участники на странице проекта.
datasphere.community-projects.admin
Роль datasphere.community-projects.admin
позволяет управлять правами доступа к проекту.
Пользователь с ролью datasphere.community-projects.admin
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.admin
включает в себя все разрешения роли datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin
имеют роль Admin
на вкладке Участники на странице проекта.
datasphere.communities.viewer
Роль datasphere.communities.viewer
позволяет просматривать список сообществ и их настройки, но не дает возможности создавать, удалять и изменять ресурсы. Эта роль не позволяет запускать IDE.
Помимо этого роль datasphere.communities.viewer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer
имеют роль Viewer
на вкладке Участники на странице сообщества.
datasphere.communities.developer
Роль datasphere.communities.developer
позволяет создавать новые проекты и публиковать ресурсы проектов в сообществе.
Помимо этого роль datasphere.communities.developer
включает в себя все разрешения роли datasphere.communities.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer
имеют роль Developer
на вкладке Участники на странице сообщества.
datasphere.communities.editor
Роль datasphere.communities.editor
позволяет редактировать настройки сообщества, управлять его проектами и ресурсами, а также дает возможность его удалить. Пользователь с этой ролью может привязать к сообществу платежный аккаунт.
Помимо этого роль datasphere.communities.editor
включает в себя все разрешения ролей datasphere.communities.developer
и datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor
имеют роль Editor
на вкладке Участники на странице сообщества.
datasphere.communities.admin
Роль datasphere.communities.admin
позволяет управлять правами доступа к сообществу и его проектам и ресурсам.
Помимо этого роль datasphere.communities.admin
включает в себя все разрешения ролей datasphere.communities.editor
и datasphere.community-projects.admin
.
Пользователь с ролью datasphere.communities.admin
может делиться ресурсами с сообществами, в которых также имеет эту роль.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin
имеют роль Admin
на вкладке Участники на странице сообщества.
datasphere.user
Роль datasphere.user
устарела и больше не используется.
datasphere.admin
Роль datasphere.admin
устарела и больше не используется.
Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:
- в сообществе
Любители котиков—Admin
(рольdatasphere.communities.admin
);- в сообществе
Считаем заборы—Developer
(рольdatasphere.communities.developer
);- в сообществе
Совершенно секретно—Viewer
(рольdatasphere.communities.viewer
), но имеет праваEditor
в проектеProject_111этого сообщества (рольdatasphere.community-projects.editor
).Валя может:
- поделиться ресурсами любого проекта из сообщества
Любители котиковв этом сообществе.- поделиться ресурсами любого проекта из сообщества
Любители котиковв сообществеСчитаем заборы.- опубликовать ресурсы проекта
Project_111в сообществахЛюбители котиковиСчитаем заборы, но не сможет поделиться ими в сообществеСовершенно секретно.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить Editor
вместо Viewer
.
Действие |
Необходимые роли |
Просмотр информации |
|
Просмотр проекта, его настроек и пользователей |
|
Просмотр сообщества, его настроек и пользователей |
|
Управление проектом |
|
|
|
Запуск IDE |
|
Использование ресурсов |
|
Создание ресурсов |
|
Удаление ресурсов |
|
Публикация ресурсов в сообществе |
|
|
|
|
|
Выдача роли в проекте |
|
Управление сообществом |
|
Изменение настроек сообщества |
|
|
|
|
|
Выдача роли в сообществе |
|