Системные группы
Системная группа — группа пользователей (субъектов), на которую можно назначать роли. В Yandex Cloud существует два типа системных групп: allAuthenticatedUsers
и allUsers
. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять эта роль.
Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner
и resource-manager.clouds.member
.
Внимание
Не назначайте системной группе роли editor
и admin
на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться ресурсами Yandex Cloud за ваш счет.
allAuthenticatedUsers
allAuthenticatedUsers
— все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи или сервисные аккаунты Yandex Cloud: как из ваших облаков, так и из облаков других пользователей.
Например, у вас есть образ диска с операционной системой и вы хотите поделиться им со всеми пользователями Yandex Cloud. Для этого назначьте субъекту
allAuthenticatedUsers
рольcompute.images.user
на каталог с образом.
Внимание
Назначение роли системной группе allAuthenticatedUsers
открывает публичный доступ к вашим ресурсам. Данная роль дает права на ваши ресурсы всем пользователям, прошедшим аутентификацию в Yandex Cloud, а не только пользователям из вашего облака.
allUsers
allUsers
— любой пользователь, прохождение аутентификации не требуется.
Например, при запросе через API к вашему ресурсу пользователю не надо будет указывать IAM-токен.
Важно
Сейчас allUsers
поддерживается только в сервисе Object Storage при управлении доступом с помощью ACL, в сервисе Container Registry и в сервисе Cloud Functions.
В остальных сервисах назначение роли для группы allUsers
эквивалентно назначению роли для allAuthenticatedUsers
.