Справочник ролей Yandex Cloud
- Примитивные роли
- Служебные роли
- Сервисы искусственного интеллекта
- Yandex API Gateway
- Yandex Application Load Balancer
- Yandex Audit Trails
- Yandex Certificate Manager
- Yandex Cloud Backup
- Yandex Cloud Billing
- Yandex Cloud CDN
- Yandex Cloud DNS
- Yandex Cloud Functions
- Yandex Cloud Logging
- Yandex Cloud Marketplace
- Yandex Cloud Organization
- Yandex Cloud Postbox
- Yandex Compute Cloud
- Yandex Connection Manager
- Yandex Container Registry
- Yandex DataLens
- Yandex Data Proc
- Yandex DataSphere
- Yandex Data Streams
- Yandex Data Transfer
- Yandex Identity and Access Management
- Yandex IoT Core
- Yandex Foundation Models
- Yandex Key Management Service
- Yandex Load Testing
- Yandex Lockbox
- Управляемые базы данных
- Yandex Managed Service for Apache Airflow™
- Yandex Managed Service for Apache Kafka®
- Yandex Managed Service for ClickHouse®
- Yandex Managed Service for GitLab
- Yandex Managed Service for Greenplum®
- Yandex Managed Service for Kubernetes
- Yandex Managed Service for MongoDB
- Yandex Managed Service for MySQL
- Yandex Managed Service for OpenSearch
- Yandex Managed Service for PostgreSQL
- Yandex Managed Service for Redis
- Yandex Managed Service for YDB
- Yandex Message Queue
- Yandex Monitoring
- Yandex Network Load Balancer
- Yandex Object Storage
- Yandex Query
- Yandex Resource Manager
- Yandex Search API
- Yandex Serverless Containers
- Yandex SmartCaptcha
- Yandex Smart Web Security
- Yandex SpeechKit
- Yandex SpeechSense
- Yandex Translate
- Yandex Virtual Private Cloud
- Yandex Vision OCR
- Yandex Wiki
Примитивные роли
На диаграмме показано, какие примитивные роли есть в Yandex Cloud и как они наследуют разрешения друг друга. Например, в роль editor
входят все разрешения роли viewer
. После диаграммы дано описание каждой роли.
auditor
Роль auditor
дает разрешения на чтение конфигурации и метаданных сервисов без возможности доступа к данным.
Например, роль auditor
позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Просмотр метаданных ресурса.
- Просмотр списка операций с ресурсом.
Роль auditor
в настоящее время недоступна в сервисах:
- Yandex Data Streams;
- Yandex Managed Service for YDB;
- Yandex Query.
viewer
Роль viewer
дает разрешения на чтение к ресурсам.
Роль viewer
включает все разрешения, которые дает роль auditor
. В отличие от роли auditor
, роль viewer
предоставляет возможность доступа к данным сервиса в режиме чтения.
Например, роль viewer
позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
- Просмотр списка операций с ресурсом.
editor
Роль editor
дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям.
Роль editor
включает все разрешения, которые дает роль viewer
.
Например, роль editor
позволяет выполнять следующие операции:
- Создание ресурса.
- Обновление ресурса.
- Удаление ресурса.
admin
Роль admin
дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner
.
Роль admin
включает все разрешения, которые дает роль editor
.
Например, роль admin
позволяет выполнять следующие операции:
- Установить права доступа к ресурсу.
- Изменить права доступа к ресурсу.
Служебные роли
quota-manager.requestOperator
Роль quota-manager.requestOperator
позволяет создавать запросы на новые квоты для сервисов. Это разрешение также входит в роли admin
и editor
.
Сервисы искусственного интеллекта
ai.auditor
Роль ai.auditor
позволяет просматривать квоты для сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, а также читать метаинформацию каталогов.
ai.viewer
Роль ai.viewer
позволяет просматривать информацию о квотах сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, а также о каталоге.
Включает разрешения, предоставляемые ролью ai.auditor
.
ai.editor
Роль ai.editor
позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.
Пользователи с этой ролью могут:
- использовать сервис Yandex Translate для перевода текста;
- использовать сервис Yandex Vision OCR для анализа изображений;
- использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
- использовать языковые модели генерации YandexGPT API и модели генерации изображений YandexART в сервисе Yandex Foundation Models;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.
Включает разрешения, предоставляемые ролями ai.viewer
, ai.translate.user
, ai.vision.user
, ai.speechkit-stt.user
, ai.speechkit-tts.user
, ai.languageModels.user
и ai.imageGeneration.user
.
ai.admin
Роль ai.admin
позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.
Пользователи с этой ролью могут:
- использовать сервис Yandex Translate для перевода текста;
- использовать сервис Yandex Vision OCR для анализа изображений;
- использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
- использовать языковые модели генерации YandexGPT API и модели генерации изображений YandexART в сервисе Yandex Foundation Models;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.
Включает разрешения, предоставляемые ролью ai.editor
.
Yandex API Gateway
api-gateway.auditor
Роль api-gateway.auditor
позволяет просматривать список API-шлюзов и информацию о привязках прав доступа к ним, а также метаинформацию каталога.
api-gateway.viewer
Роль api-gateway.viewer
позволяет просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним, а также информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.auditor
.
api-gateway.editor
Роль api-gateway.editor
позволяет просматривать информацию об API-шлюзах и управлять ими, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним, а также создавать, изменять и удалять API-шлюзы;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.websocketWriter
.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API WebSocket, а также просматривать список API-шлюзов, информацию о них и о привязках прав доступа ним.
Пользователи с этой ролью могут:
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать список API-шлюзов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.viewer
.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять API-шлюзами и доступом к ним, просматривать информацию об API-шлюзах, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать информацию о привязках прав доступа к API-шлюзам и изменять такие привязки;
- просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.editor
.
Подробнее см. Управление доступом в API Gateway.
Yandex Application Load Balancer
alb.auditor
Роль alb.auditor
предоставляет доступ к списку ресурсов Application Load Balancer и их метаданным.
Пользователи с этой ролью могут просматривать список L7-балансировщиков, HTTP-роутеров, групп бэкендов и целевых групп, а также их метаданные.
alb.viewer
Роль alb.viewer
позволяет просматривать список ресурсов Application Load Balancer и их метаданные.
Включает разрешения, предоставляемые ролью alb.auditor
.
alb.user
Роль alb.user
позволяет использовать ресурсы Application Load Balancer. Например, с помощью этой роли можно использовать в ресурсах Application Load Balancer одного каталога ресурсы Application Load Balancer другого каталога.
Включает разрешения, предоставляемые ролью alb.viewer
.
Роль можно назначить на каталог.
alb.editor
Роль alb.editor
позволяет просматривать, создавать, изменять и удалять объекты ресурсной модели.
Включает разрешения, предоставляемые ролью alb.user
.
alb.admin
Роль alb.admin
позволяет управлять сервисом Application Load Balancer: просматривать, создавать, изменять, удалять ресурсы, а также управлять доступом к ним (сейчас эта возможность не реализована).
Включает разрешения, предоставляемые ролью alb.editor
.
Подробнее см. Управление доступом в Application Load Balancer.
Yandex Audit Trails
audit-trails.auditor
Роль audit-trails.auditor
позволяет просматривать информацию о трейлах.
audit-trails.viewer
Роль audit-trails.viewer
дает доступ к аудитным логам трейлов. Включает все права роли audit-trails.auditor
.
audit-trails.editor
Роль audit-trails.editor
позволяет управлять трейлами (создавать, изменять и удалять). Включает все права роли audit-trails.viewer
.
audit-trails.admin
Роль audit-trails.admin
позволяет управлять трейлами и доступом к ним. Включает все права роли audit-trails.editor
.
audit-trails.configViewer
Роль audit-trails.configViewer
(deprecated) позволяет просматривать информацию о трейлах. Используйте роль audit-trails.auditor
вместо этой роли.
Подробнее см. Управление доступом Audit Trails.
Yandex Certificate Manager
certificate-manager.auditor
Роль certificate-manager.auditor
предоставляет доступ к информации о сертификатах, доменах, квотах и к списку отозванных сертификатов.
Пользователь с этой ролью может получать информацию о действующих и отозванных сертификатах, получать список сертификатов, их версий и прав доступа к ним, информацию о доменах, список доменов и прав доступа к ним, информацию о квотах.
certificate-manager.viewer
Роль certificate-manager.viewer
предоставляет доступ к информации о сертификатах, доменах, квотах и к списку отозванных сертификатов.
Пользователь с этой ролью может получать информацию о действующих и отозванных сертификатах, получать список сертификатов, их версий и прав доступа к ним, информацию о доменах, список доменов и прав доступа к ним, информацию о квотах.
Роль предоставляет такие же разрешения, как и роль certificate-manager.auditor
.
certificate-manager.editor
Роль certificate-manager.editor
предоставляет полный доступ к управлению сертификатами и доменами.
Пользователь с этой ролью может добавлять, изменять, обновлять, перевыпускать, удалять и отзывать сертификаты, привязывать сертификаты к доменам, а также создавать, обновлять и удалять домены. Кроме того, пользователь с этой ролью может получать информацию о действующих и отозванных сертификатах, получать список сертификатов, их версий и прав доступа к ним, информацию о доменах, список доменов и прав доступа к ним, информацию о квотах.
Включает разрешения, предоставляемые ролью certificate-manager.viewer
.
certificate-manager.admin
Роль certificate-manager.admin
позволяет управлять сертификатами и доступом к ним.
certificate-manager.certificates.downloader
Роль certificate-manager.certificates.downloader
позволяет получать содержимое сертификата.
Подробнее см. Управление доступом в Certificate Manager.
Yandex Cloud Backup
backup.viewer
Роль backup.viewer
позволяет просматривать информацию о виртуальных машинах, подключенных к сервису Cloud Backup, о политиках резервного копирования и резервных копиях, а также о квотах сервиса, облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о подключенных провайдерах резервного копирования;
- просматривать информацию о привязках прав доступа к политикам резервного копирования;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
- просматривать информацию о подключенных к сервису виртуальных машинах;
- просматривать информацию о резервных копиях;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Назначить роль backup.viewer
может пользователь с ролью admin
в облаке или backup.admin
в каталоге.
backup.editor
Роль backup.editor
позволяет управлять подключением виртуальных машин к сервису Cloud Backup, управлять политиками резервного копирования, выполнять резервное копирование и восстанавливать ВМ из резервных копий.
Пользователи с этой ролью могут:
- просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
- создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах;
- просматривать информацию о привязках прав доступа к политикам резервного копирования;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
- просматривать информацию о подключенных к Cloud Backup виртуальных машинах, а также подключать и отключать виртуальные машины от сервиса;
- просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Включает разрешения, предоставляемые ролью backup.viewer
.
Назначить роль backup.editor
может пользователь с ролью admin
в облаке или backup.admin
в каталоге.
backup.admin
Роль backup.admin
позволяет управлять политиками резервного копирования и доступом к ним, управлять подключением виртуальных машин к сервису Cloud Backup, выполнять резервное копирование и восстанавливать ВМ из резервных копий.
Пользователи с этой ролью могут:
- просматривать информацию о привязках прав доступа к политикам резервного копирования и изменять такие привязки;
- просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
- создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
- просматривать информацию о подключенных к Cloud Backup виртуальных машинах, а также подключать и отключать виртуальные машины от сервиса;
- просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Включает разрешения, предоставляемые ролью backup.editor
.
Назначить роль backup.admin
может пользователь с ролью admin
в облаке.
Подробнее см. Управление доступом в Cloud Backup.
Yandex Cloud Billing
billing.accounts.member
Роль billing.accounts.member
автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.
billing.accounts.owner
Роль billing.accounts.owner
автоматически выдается при создании платежного аккаунта. Роль, выданную при создании, нельзя отозвать, но можно выдать такую же роль другим пользователям и отозвать ее у них.
billing.accounts.viewer
Роль billing.accounts.viewer
назначается на платежный аккаунт. Дает право просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.
billing.accounts.accountant
Роль billing.accounts.accountant
назначается на платежный аккаунт. Дает право просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.
billing.accounts.editor
Роль billing.accounts.editor
назначается на платежный аккаунт. Роль дает право получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы. Включает в себя роль billing.accounts.viewer
.
billing.accounts.admin
Роль billing.accounts.admin
назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner
). Включает в себя роль billing.accounts.editor
.
billing.accounts.varWithoutDiscounts
Роль billing.accounts.varWithoutDiscounts
назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках. Включает в себя роль billing.partners.editor
.
billing.partners.editor
Роль billing.partners.editor
назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.
Подробнее см. Управление доступом в сервисе Yandex Cloud Billing.
Yandex Cloud CDN
cdn.viewer
Роль cdn.viewer
позволяет просматривать информацию о каталоге, группах источников, CDN-ресурсах и квотах сервиса Cloud CDN.
cdn.editor
Роль cdn.editor
позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о группах источников, а также создавать, изменять и удалять их;
- просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
- управлять выгрузкой логов запросов к CDN-серверам;
- управлять экранированием источников;
- просматривать информацию о квотах сервиса Cloud CDN;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью cdn.viewer
.
cdn.admin
Роль cdn.admin
позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о группах источников, а также создавать, изменять и удалять их;
- просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
- управлять выгрузкой логов запросов к CDN-серверам;
- управлять экранированием источников;
- просматривать информацию о квотах сервиса Cloud CDN;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью cdn.editor
.
Позже роль получит дополнительные возможности.
Подробнее см. Управление доступом в Cloud CDN.
Yandex Cloud DNS
dns.auditor
Роль dns.auditor
позволяет просматривать информацию о DNS-зонах и привязках прав доступа к ним, а также о каталоге и квотах сервиса Cloud DNS. Роль не дает доступа к ресурсным записям.
dns.viewer
Роль dns.viewer
позволяет просматривать информацию о DNS-зонах и привязках прав доступа к ним, о ресурсных записях, а также о каталоге и квотах сервиса Cloud DNS.
Включает разрешения, предоставляемые ролью dns.auditor
.
dns.editor
Роль dns.editor
позволяет управлять DNS-зонами и ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.
Пользователи с этой ролью могут:
- просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
- создавать вложенные публичные DNS-зоны;
- просматривать информацию о привязках прав доступа к DNS-зонам;
- просматривать информацию о квотах сервиса Cloud DNS;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dns.viewer
.
dns.admin
Роль dns.admin
позволяет управлять DNS-зонами и доступом к ним, ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.
Пользователи с этой ролью могут:
- просматривать информацию о привязках прав доступа к DNS-зонам, а также создавать, изменять и удалять такие привязки;
- просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
- создавать вложенные публичные DNS-зоны;
- просматривать информацию о квотах сервиса Cloud DNS;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dns.editor
.
Подробнее см. Управление доступом в Cloud DNS.
Yandex Cloud Functions
functions.auditor
Роль functions.auditor
позволяет смотреть список функций и всю информацию о них, кроме кода и переменных окружения версии.
functions.viewer
Роль functions.viewer
позволяет смотреть список функций и информацию о них.
functions.functionInvoker
Роль functions.functionInvoker
позволяет вызывать функцию.
functions.editor
Роль functions.editor
позволяет создавать, редактировать и удалять функции, а также создавать версии функции.
functions.mdbProxiesUser
Роль functions.mdbProxiesUser
позволяет подключаться к управляемым БД из функции.
functions.admin
Роль functions.admin
позволяет управлять настройками доступа к функции.
Подробнее см. Управление доступом в Cloud Functions.
Yandex Cloud Logging
logging.viewer
Роль logging.viewer
дает право смотреть список лог-групп и информацию о них.
logging.editor
Роль logging.editor
дает право обновлять все настройки лог-группы, кроме прав доступа.
Роль logging.editor
включает все разрешения, которые дает роль logging.viewer
.
logging.reader
Роль logging.reader
дает право смотреть записи в лог-группе.
Роль logging.reader
включает все разрешения, которые дает роль logging.viewer
.
logging.writer
Роль logging.writer
дает право добавлять записи в лог-группу.
Роль logging.writer
включает все разрешения, которые дает роль logging.viewer
.
logging.admin
Роль logging.admin
дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.
Роль logging.admin
включает все разрешения, которые дают роли logging.editor
, logging.reader
и logging.writer
.
Подробнее см. Управление доступом в Cloud Logging.
Yandex Cloud Marketplace
marketplace.meteringAgent
Роль marketplace.meteringAgent
предоставляет возможность регистрировать потребление продуктов маркетплейса.
Роль позволяет авторизовать приложения в Metering API и отслеживать установленные партнером метрики приложений в целях их тарификации.
Роль можно назначить на сервисный аккаунт.
license-manager.auditor
Роль license-manager.auditor
позволяет получать информацию о подписках.
license-manager.viewer
Роль license-manager.viewer
позволяет получать информацию о подписках и их привязках к ресурсу, приложению или сервису.
Включает разрешения, предоставляемые ролью license-manager.auditor
.
license-manager.user
Роль license-manager.user
позволяет управлять подписками, а также получать информацию о них и их привязках к ресурсам, приложениям или сервисам.
Пользователи с этой ролью могут:
- получать информацию о подписках и их привязках к ресурсам, приложениям или сервисам;
- покупать подписки;
- отключать автопродление подписок;
- привязывать подписки к ресурсам, приложениям или сервисам и отвязывать подписки от них;
- перемещать подписки между каталогами.
Включает разрешения, предоставляемые ролью license-manager.viewer
.
Подробнее см. Управление доступом в Marketplace.
Yandex Cloud Organization
organization-manager.viewer
Роль organization-manager.viewer
дает возможность просматривать настройки организации, но не редактировать их.
organization-manager.admin
Роль organization-manager.admin
дает возможность редактировать настройки организации, создавать федерации удостоверений, добавлять и удалять пользователей, назначать других администраторов.
organization-manager.organizations.owner
Роль organization-manager.organizations.owner
дает возможность назначать владельцев организации, а также пользоваться всеми полномочиями администратора.
organization-manager.federations.viewer
Роль organization-manager.federations.viewer
предоставляет доступ к информации об организациях и федерациях.
Пользователь с этой ролью может просматривать настройки организации, получать список организаций и федераций, а также список сопоставлений групп.
organization-manager.federations.admin
Роль organization-manager.federations.admin
предоставляет полный доступ к управлению федерациями, а также к информации об организациях.
Пользователь с этой ролью может создавать, изменять и удалять федерации, сертификаты и пользователей в них, просматривать настройки организации, получать список организаций и федераций, а также список сопоставлений групп.
Включает разрешения, предоставляемые ролью organization-manager.federations.viewer
.
organization-manager.osLogins.viewer
Роль organization-manager.osLogins.viewer
позволяет просматривать профили и ключи пользователей организации.
organization-manager.osLogins.admin
Роль organization-manager.osLogins.admin
позволяет редактировать профили, ключи и создавать сертификаты для пользователей организации.
organization-manager.groups.memberAdmin
Роль organization-manager.groups.memberAdmin
дает возможность просматривать информацию о группе, добавлять и удалять участников.
Подробнее см. Управление доступом в Yandex Cloud Organization.
Yandex Cloud Postbox
postbox.sender
Роль postbox.sender
позволяет отправлять письма.
Пользователи с этой ролью могут отправлять письма из Yandex Cloud Postbox.
postbox.auditor
Роль postbox.auditor
позволяет получать информацию об адресах Yandex Cloud Postbox.
Пользователи с этой ролью могут просматривать информацию об адресах и получать список адресов Yandex Cloud Postbox.
postbox.viewer
Роль postbox.viewer
позволяет получать информацию об адресах Yandex Cloud Postbox.
Пользователи с этой ролью могут просматривать информацию об адресах и получать список адресов Yandex Cloud Postbox.
Роль предоставляет такие же разрешения, как и роль postbox.auditor
.
postbox.editor
Роль postbox.editor
позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.
Пользователи с этой ролью могут создавать, изменять и удалять адреса, просматривать информацию об адресах и получать список адресов Yandex Cloud Postbox, а также отправлять письма.
Включает разрешения, предоставляемые ролью postbox.viewer
.
postbox.admin
Роль postbox.admin
позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.
Пользователи с этой ролью могут создавать, изменять и удалять адреса, просматривать информацию об адресах и получать список адресов Yandex Cloud Postbox, а также отправлять письма.
Роль предоставляет такие же разрешения, как и роль postbox.editor
.
Подробнее см. Управление доступом в Yandex Cloud Postbox.
Yandex Compute Cloud
compute.auditor
Роль compute.auditor
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.
- просматривать список виртуальных машин и информацию о них;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин и информацию о них;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов и информацию о них;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
- просматривать список дисков и информацию о них;
- просматривать список файловых хранилищ и информацию о них;
- просматривать список групп размещения нереплицируемых дисков и информацию о них;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов и информацию о них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков и информацию о них;
- просматривать информацию о расписаниях создания снимков дисков;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности и информацию о них.
compute.viewer
Роль compute.viewer
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о привязках прав доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним.
Включает разрешения, предоставляемые ролью compute.auditor
.
compute.editor
Роль compute.editor
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
- просматривать список групп виртуальных машин, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать кластеры GPU, а также создавать, изменять и удалять их;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
- создавать зашифрованные диски;
- просматривать и обновлять ссылки на диски;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять образы;
- создавать, изменять и удалять семейства образов, обновлять образы в них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям, а также создавать, изменять и удалять их;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.viewer
, compute.osLogin
и vpc.user
.
compute.admin
Роль compute.admin
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (
sudo
); - использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
- просматривать список групп виртуальных машин, информацию о них и о привязках прав доступа к ним;
- использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки виртуальных машин, входящих в группы размещения;
- использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
- создавать зашифрованные диски;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать и обновлять ссылки на диски;
- использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.editor
и compute.osAdminLogin
.
compute.osLogin
Роль compute.osLogin
позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.
compute.osAdminLogin
Роль compute.osAdminLogin
позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo
).
compute.disks.user
Роль compute.disks.user
позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.
compute.images.user
Роль compute.images.user
позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.
compute.operator
Роль compute.operator
позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о привязках прав доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.
- запускать, перезапускать и останавливать виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о привязках прав доступа к ним;
- запускать и останавливать группы виртуальных машин;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список групп размещения виртуальных машин, информацию о них и о привязках прав доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о привязках прав доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о привязках прав доступа к таким кластерам;
- просматривать список дисков, информацию о них и о привязках прав доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о привязках прав доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о привязках прав доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о привязках прав доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о привязках прав доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о привязках прав доступа к ним.
Включает разрешения, предоставляемые ролью compute.viewer
.
compute.snapshotSchedules.viewer
Роль compute.snapshotSchedules.viewer
позволяет просматривать информацию о создании снимков дисков по расписаниям.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям;
- просматривать списки дисков;
- просматривать списки снимков дисков;
- просматривать список операций со снимками дисков.
compute.snapshotSchedules.editor
Роль compute.snapshotSchedules.editor
позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о привязках прав доступа к расписаниям, а также создавать, изменять и удалять расписания;
- просматривать списки дисков и использовать диски для создания снимков;
- просматривать списки снимков дисков, создавать и удалять снимки;
- просматривать список операций со снимками дисков и информацию об этих операциях.
Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer
.
Подробнее см. Управление доступом в Compute Cloud.
Yandex Connection Manager
connection-manager.auditor
Роль connection-manager.auditor
позволяет просматривать несекретную информацию о подключениях и привязках прав доступа к ним. Если роль выдана на облако, то она позволяет просматривать квоты сервиса Connection Manager.
connection-manager.viewer
Роль connection-manager.viewer
позволяет просматривать информацию о подключениях и привязках прав доступа к ним, а также о квотах сервиса Connection Manager. Роль не позволяет просматривать секретные данные, такие как пароли доступа к БД.
Включает разрешения, предоставляемые ролью connection-manager.auditor
.
connection-manager.editor
Роль connection-manager.editor
позволяет управлять подключениями, а также просматривать информацию о них, в том числе секретные данные, такие как пароли доступа к БД.
Пользователи с этой ролью могут:
- создавать, использовать, изменять и удалять подключения;
- просматривать информацию о подключениях, в том числе секретные данные и информацию о привязках прав доступа к подключениям;
- просматривать информацию о квотах сервиса Connection Manager.
Включает разрешения, предоставляемые ролью connection-manager.viewer
.
connection-manager.admin
Роль connection-manager.admin
позволяет управлять подключениями и доступом к ним, а также просматривать информацию о подключениях, в том числе секретные данные, такие как пароли доступа к БД.
Пользователи с этой ролью могут:
- создавать, использовать, изменять и удалять подключения, а также управлять доступом к ним;
- просматривать информацию о подключениях, в том числе секретные данные и информацию о привязках прав доступа к подключениям;
- просматривать информацию о квотах сервиса Connection Manager.
Включает разрешения, предоставляемые ролью connection-manager.editor
.
Подробнее см. Управление доступом в Connection Manager.
Yandex Container Registry
container-registry.viewer
Роль container-registry.viewer
позволяет читать информацию о реестрах, Docker-образах и репозиториях.
container-registry.editor
Роль container-registry.editor
позволяет создавать, редактировать и удалять реестры, Docker-образы и репозитории. Включает все разрешения, которые дает роль container-registry.viewer
.
container-registry.admin
Роль container-registry.admin
позволяет управлять доступом к реестрам, Docker-образам и репозиториям. Включает все разрешения, которые дают роли container-registry.viewer
и container-registry.editor
.
container-registry.images.pusher
Роль container-registry.images.pusher
позволяет управлять Docker-образами и просматривать информацию о ресурсах сервиса (реестрах, Docker-образах, репозиториях).
container-registry.images.puller
Роль container-registry.images.puller
позволяет скачивать Docker-образы, а также просматривать информацию о ресурсах сервиса (реестрах, Docker-образах, репозиториях).
container-registry.images.scanner
Роль container-registry.images.scanner
позволяет сканировать Docker-образы на наличие уязвимостей, просматривать информацию о ресурсах сервиса (реестрах, Docker-образах, репозиториях).
Подробнее см. Управление доступом в Container Registry.
Yandex DataLens
datalens.visitor
Роль datalens.visitor
предоставляет доступ к сервису DataLens. Просмотр или редактирование воркбуков и коллекций возможны при наличии соответствующих ролей для доступа к этим воркбукам и коллекциям.
datalens.creator
Роль datalens.creator
предоставляет доступ к сервису DataLens с правами на создание воркбуков и коллекций в корне DataLens. Просмотр или редактирование воркбуков и коллекций, созданных другими пользователями, возможны только при наличии прав доступа к этим воркбукам и коллекциям.
datalens.admin
Роль datalens.admin
предоставляет полный доступ к сервису DataLens и всем воркбукам и коллекциям в нем.
datalens.instances.user
Роль datalens.instances.user
предоставляет доступ к сервису DataLens в качестве пользователя с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
После назначения сервисной роли вы можете назначить пользователю права доступа на объекты и папки в сервисе DataLens.
Совет
Рекомендуем использовать роль datalens.creator
вместо datalens.instances.user
. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.
datalens.instances.admin
Роль datalens.instances.admin
предоставляет доступ к сервису DataLens в качестве администратора экземпляра DataLens. Администратор получает полные права на все объекты и папки в сервисе DataLens, а также доступ к настройкам DataLens.
Совет
Рекомендуем использовать роль datalens.admin
вместо datalens.instances.admin
. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.
Подробнее см. Роли в DataLens.
Yandex Data Proc
dataproc.agent
Роль dataproc.agent
позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Proc, сообщать сервису о состоянии каждого хоста в кластере.
Эту роль необходимо назначить тому сервисному аккаунту, который вы указали при создании кластера.
Сейчас эту роль можно назначить только на каталог или облако.
mdb.dataproc.agent
Роль mdb.dataproc.agent
скоро будет удалена. Пользователям с этой ролью автоматически назначится роль dataproc.agent
с аналогичными правами. Не рекомендуется использовать эту роль.
Сейчас эту роль можно назначить только на каталог или облако.
dataproc.auditor
Роль dataproc.auditor
позволяет просматривать информацию о кластерах и заданиях (без доступа к содержимому заданий).
dataproc.viewer
Роль dataproc.viewer
позволяет просматривать информацию о кластерах и заданиях.
dataproc.user
Роль dataproc.user
предоставляет доступ к веб-интерфейсам компонентов Yandex Data Proc и позволяет создавать задания. Включает в себя роль dataproc.viewer
.
dataproc.provisioner
Роль dataproc.provisioner
предоставляет доступ к API для создания, изменения и удаления объектов кластера Yandex Data Proc.
dataproc.editor
Роль dataproc.editor
позволяет создавать, изменять и удалять кластеры и задания, просматривать информацию о них и предоставляет доступ к веб-интерфейсам компонентов Yandex Data Proc. Включает в себя роль dataproc.viewer
.
dataproc.admin
Роль dataproc.admin
позволяет создавать, изменять и удалять кластеры и задания, просматривать информацию о них, предоставляет доступ к веб-интерфейсам компонентов Yandex Data Proc, а также управляет доступом к кластерам. Включает в себя роль dataproc.editor
.
managed-metastore.auditor
Роль managed-metastore.auditor
позволяет просматривать информацию о кластерах и квотах.
managed-metastore.viewer
Роль managed-metastore.viewer
позволяет просматривать информацию о кластерах, логах их работы и квотах.
managed-metastore.editor
Роль managed-metastore.editor
позволяет изменять и удалять кластеры, просматривать информацию о них, логах их работы и квотах. Включает в себя роль managed-metastore.viewer
. Для создания кластеров дополнительно необходима роль vpc.user
.
managed-metastore.admin
Роль managed-metastore.admin
позволяет изменять, удалять кластеры, просматривать информацию о них, логах их работы и квотах, а также управлять доступом к кластерам. Включает в себя роль managed-metastore.editor
. Для создания кластеров дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Yandex Data Proc.
Yandex DataSphere
datasphere.community-projects.viewer
Роль datasphere.community-projects.viewer
позволяет просматривать список и настройки проектов и закрепленных за ними ресурсов, а также список участников проекта.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer
имеют роль Viewer
на вкладке Участники на странице проекта.
datasphere.community-projects.developer
Роль datasphere.community-projects.developer
позволяет работать в проекте. Пользователь с этой ролью может управлять ресурсами, которые закреплены за проектом, но не может делиться ими в сообществе. Пользователь может запускать IDE и исполнение ячеек с кодом.
Помимо этого роль datasphere.community-projects.developer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer
имеют роль Developer
на вкладке Участники на странице проекта.
datasphere.community-projects.editor
Роль datasphere.community-projects.editor
позволяет изменять настройки проекта, а также дает возможность его удалить.
Пользователь с ролью datasphere.community-projects.editor
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.editor
включает в себя все разрешения роли datasphere.community-projects.developer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor
имеют роль Editor
на вкладке Участники на странице проекта.
datasphere.community-projects.admin
Роль datasphere.community-projects.admin
позволяет управлять правами доступа к проекту.
Пользователь с ролью datasphere.community-projects.admin
может поделиться ресурсами этого проекта с сообществом, на которое имеет права Developer
(роль datasphere.communities.developer
).
Помимо этого роль datasphere.community-projects.admin
включает в себя все разрешения роли datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin
имеют роль Admin
на вкладке Участники на странице проекта.
datasphere.communities.viewer
Роль datasphere.communities.viewer
позволяет просматривать список сообществ и их настройки, но не дает возможности создавать, удалять и изменять ресурсы. Эта роль не позволяет запускать IDE.
Помимо этого роль datasphere.communities.viewer
включает в себя все разрешения роли datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer
имеют роль Viewer
на вкладке Участники на странице сообщества.
datasphere.communities.developer
Роль datasphere.communities.developer
позволяет создавать новые проекты и публиковать ресурсы проектов в сообществе.
Помимо этого роль datasphere.communities.developer
включает в себя все разрешения роли datasphere.communities.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer
имеют роль Developer
на вкладке Участники на странице сообщества.
datasphere.communities.editor
Роль datasphere.communities.editor
позволяет редактировать настройки сообщества, управлять его проектами и ресурсами, а также дает возможность его удалить. Пользователь с этой ролью может привязать к сообществу платежный аккаунт.
Помимо этого роль datasphere.communities.editor
включает в себя все разрешения ролей datasphere.communities.developer
и datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor
имеют роль Editor
на вкладке Участники на странице сообщества.
datasphere.communities.admin
Роль datasphere.communities.admin
позволяет управлять правами доступа к сообществу и его проектам и ресурсам.
Помимо этого роль datasphere.communities.admin
включает в себя все разрешения ролей datasphere.communities.editor
и datasphere.community-projects.admin
.
Пользователь с ролью datasphere.communities.admin
может делиться ресурсами с сообществами, в которых также имеет эту роль.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin
имеют роль Admin
на вкладке Участники на странице сообщества.
datasphere.user
Роль datasphere.user
устарела и больше не используется.
datasphere.admin
Роль datasphere.admin
устарела и больше не используется.
Подробнее см. Управление доступом в DataSphere.
Yandex Data Streams
yds.viewer
Пользователь с ролью yds.viewer
может читать данные из потоков данных Data Streams и просматривать их настройки. Помимо этого роль yds.viewer
включает в себя все разрешения роли ydb.viewer
.
yds.writer
Роль yds.writer
разрешает запись в поток Data Streams.
yds.editor
Роль yds.editor
разрешает создание, изменение и удаление потока, а также чтение и запись в поток Data Streams.
yds.admin
Пользователь с ролью yds.admin
может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать потоки данных Data Streams или просматривать информацию о них.
Помимо этого роль yds.admin
включает в себя все разрешения роли ydb.admin
.
Подробнее см. Управление доступом в Data Streams.
Yandex Data Transfer
data-transfer.auditor
Роль data-transfer.auditor
позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.viewer
Роль data-transfer.viewer
позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.auditor
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.privateAdmin
Роль data-transfer.privateAdmin
позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.viewer
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.admin
Роль data-transfer.admin
позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.privateAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
Подробнее см. Управление доступом в Data Transfer.
Yandex Identity and Access Management
iam.serviceAccounts.user
Роль iam.serviceAccounts.user
позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.
Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.
iam.serviceAccounts.admin
Роль iam.serviceAccounts.admin
позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять сервисные аккаунты;
- просматривать информацию о привязках прав доступа к сервисным аккаунтам и изменять такие привязки;
- получать IAM-токен для сервисного аккаунта;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о каталоге и его настройки.
iam.serviceAccounts.accessKeyAdmin
Роль iam.serviceAccounts.accessKeyAdmin
позволяет управлять статическими ключами доступа сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- создавать, изменять и удалять статические ключи доступа сервисных аккаунтов.
iam.serviceAccounts.apiKeyAdmin
Роль iam.serviceAccounts.apiKeyAdmin
позволяет управлять API-ключами сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- создавать, изменять и удалять API-ключи сервисных аккаунтов.
iam.serviceAccounts.authorizedKeyAdmin
Роль iam.serviceAccounts.authorizedKeyAdmin
позволяет просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.
iam.serviceAccounts.keyAdmin
Роль iam.serviceAccounts.keyAdmin
позволяет управлять статическими ключами доступа, API-ключами и авторизованными ключами сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять статические ключи доступа;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять API-ключи;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.
Включает разрешения, предоставляемые ролями iam.serviceAccounts.accessKeyAdmin
, iam.serviceAccounts.apiKeyAdmin
и iam.serviceAccounts.authorizedKeyAdmin
.
iam.serviceAccounts.tokenCreator
Роль iam.serviceAccounts.tokenCreator
позволяет пользователю получать IAM-токен для сервисного аккаунта.
C помощью такого IAM-токена пользователь сможет имперсонироваться в сервисный аккаунт и выполнять действия, разрешенные для этого сервисного аккаунта.
Роль не позволяет пользователю изменять права доступа или удалять сервисный аккаунт.
iam.auditor
Роль iam.auditor
позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них;
- просматривать информацию о привязках прав доступа к сервисным аккаунтам;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- просматривать информацию об авторизованных ключах сервисных аккаунтов;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталоге и его настройки.
iam.viewer
Роль iam.viewer
позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них;
- просматривать информацию о привязках прав доступа к сервисным аккаунтам;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- просматривать информацию об авторизованных ключах сервисных аккаунтов;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталоге и его настройки.
Включает разрешения, предоставляемые ролью iam.auditor
.
iam.editor
Роль iam.editor
позволяет управлять сервисными аккаунтами и их ключами, управлять каталогами, а также просматривать информацию об операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о привязках прав доступа к сервисным аккаунтам;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталогах и их настройки;
- создавать, изменять, удалять и настраивать каталоги.
Включает разрешения, предоставляемые ролью iam.viewer
.
iam.admin
Роль iam.admin
позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, управлять каталогами, просматривать информацию о квотах и операциях с ресурсами сервиса, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о привязках прав доступа к сервисным аккаунтам и изменять такие привязки;
- получать IAM-токен для сервисного аккаунта;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о федерациях удостоверений;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталогах и их настройки;
- создавать, изменять, удалять и настраивать каталоги.
Включает разрешения, предоставляемые ролями iam.editor
и iam.serviceAccounts.admin
.
Подробнее см. Управление доступом в сервисе Identity and Access Management.
Yandex IoT Core
iot.devices.writer
Роль iot.devices.writer
позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.
iot.registries.writer
Роль iot.registries.writer
позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.
iot.auditor
Роль iot.auditor
позволяет просматривать метаинформацию об устройствах и реестрах устройств, а также брокерах и квотах в Yandex IoT Core.
iot.viewer
Роль iot.viewer
позволяет просматривать все ресурсы Yandex IoT Core.
iot.editor
Роль iot.editor
позволяет создавать, редактировать и удалять все ресурсы Yandex IoT Core.
Подробнее см. Управление доступом в Yandex IoT Core.
Yandex Foundation Models
ai.languageModels.user
Роль ai.languageModels.user
позволяет использовать языковые модели генерации YandexGPT API в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.
ai.imageGeneration.user
Роль ai.imageGeneration.user
позволяет использовать модели генерации изображений YandexART в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Yandex Foundation Models.
Yandex Key Management Service
kms.keys.encrypter
Роль kms.keys.encrypter
позволяет шифровать данные, а также просматривать информацию о ключах.
kms.keys.decrypter
Роль kms.keys.decrypter
позволяет расшифровывать данные, а также просматривать информацию о ключах.
kms.keys.encrypterDecrypter
Роль kms.keys.encrypterDecrypter
позволяет шифровать и расшифровывать данные, а также просматривать информацию о ключах. Включает все права ролей kms.keys.encrypter
и kms.keys.decrypter
.
kms.asymmetricEncryptionKeys.publicKeyViewer
Роль kms.asymmetricEncryptionKeys.publicKeyViewer
позволяет получать открытый ключ асимметричной ключевой пары шифрования.
kms.asymmetricSignatureKeys.publicKeyViewer
Роль kms.asymmetricSignatureKeys.publicKeyViewer
позволяет получать открытый ключ асимметричной ключевой пары подписи.
kms.asymmetricSignatureKeys.signer
Роль kms.asymmetricSignatureKeys.signer
позволяет подписывать данные с помощью закрытого ключа асимметричной ключевой пары подписи.
kms.asymmetricEncryptionKeys.decrypter
Роль kms.asymmetricEncryptionKeys.decrypter
позволяет расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования.
kms.auditor
Роль kms.auditor
дает право просматривать список ключей подписи и шифрования и получать информацию о правах доступа к подписи и шифрованию. Роль не позволяет получить публичный ключ.
kms.viewer
Роль kms.viewer
позволяет читать информацию о ключах.
kms.editor
Роль kms.editor
позволяет управлять ключами (просмотр, создание, изменение, ротация, шифрование и расшифровка данных). Включает все права ролей kms.viewer
и kms.keys.encrypterDecrypter
.
kms.admin
Роль kms.admin
позволяет назначать произвольные роли на ключи с помощью CLI и API, удалять ключи и версии ключей, изменять основную версию. Включает все права роли kms.editor
.
Подробнее см. Управление доступом в Key Management Service.
Yandex Load Testing
loadtesting.viewer
Роль loadtesting.viewer
позволяет просматривать информацию о генераторах нагрузки и нагрузочных тестах, а также метаданные каталога.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- просматривать информацию о конфигурации нагрузочных тестов;
- просматривать информацию о дашбордах регрессий нагрузочных тестов;
- просматривать информацию об агентах;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах;
- просматривать информацию о каталоге.
loadtesting.editor
Роль loadtesting.editor
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями loadtesting.viewer
, loadtesting.loadTester
и loadtesting.externalAgent
.
loadtesting.admin
Роль loadtesting.admin
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью loadtesting.editor
.
loadtesting.loadTester
Роль loadtesting.loadTester
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
loadtesting.generatorClient
Роль loadtesting.generatorClient
позволяет создавать, изменять и выполнять нагрузочные тесты на агенте, а также дает возможность загружать результаты тестов в хранилище.
Пользователи с этой ролью могут:
- создавать, изменять и запускать нагрузочные тесты;
- создавать и изменять конфигурацию нагрузочных тестов;
- загружать данные результатов тестов в хранилище.
Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.
loadtesting.externalAgent
Роль loadtesting.externalAgent
позволяет регистрировать в сервисе агентов, созданных вне Load Testing, а также создавать, изменять и выполнять нагрузочные тесты на агенте.
Пользователи с этой ролью могут:
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- создавать, изменять и запускать нагрузочные тесты;
- создавать и изменять конфигурацию нагрузочных тестов;
- загружать данные результатов тестов в хранилище.
Включает разрешения, предоставляемые ролью loadtesting.generatorClient
.
Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.
Подробнее см. Управление доступом в Load Testing.
Yandex Lockbox
lockbox.auditor
Роль lockbox.auditor
предоставляет доступ к метаданным секретов, к информации о каталоге и о квотах сервиса. Роль не предоставляет доступа к содержимому секретов.
Пользователь с этой ролью может получать информацию о секретах и правах доступа к ним, о каталоге и о квотах Yandex Lockbox.
lockbox.viewer
Роль lockbox.viewer
позволяет читать метаданные секрета.
Включает разрешения, предоставляемые ролью lockbox.auditor
.
lockbox.editor
Роль lockbox.editor
позволяет управлять секретом и изменять его содержимое.
lockbox.admin
Роль lockbox.admin
позволяет управлять секретами и доступами к ним.
lockbox.payloadViewer
Роль lockbox.payloadViewer
предназначена для сервисных аккаунтов и позволяет получить доступ к содержимому секрета.
Подробнее см. Управление доступом в Yandex Lockbox.
Управляемые базы данных
mdb.auditor
Роль mdb.auditor
предоставляет минимально необходимые разрешения для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).
Пользователи с этой ролью могут просматривать информацию о кластерах управляемых баз данных, квотах и каталогах.
Включает разрешения, предоставляемые ролями managed-elasticsearch.auditor
, managed-opensearch.auditor
, managed-kafka.auditor
, managed-mysql.auditor
, managed-sqlserver.auditor
, managed-postgresql.auditor
, managed-greenplum.auditor
, managed-clickhouse.auditor
, managed-redis.auditor
и managed-mongodb.auditor
.
mdb.viewer
Роль mdb.viewer
предоставляет доступ к чтению информации из кластеров управляемых баз данных и к логам работы кластеров.
Пользователи с этой ролью могут читать информацию из баз данных и просматривать логи кластеров управляемых баз данных, а также просматривать информацию о кластерах, квотах и каталогах.
Включает разрешения, предоставляемые ролями mdb.auditor
, managed-elasticsearch.viewer
, managed-opensearch.viewer
, managed-kafka.viewer
, managed-mysql.viewer
, managed-sqlserver.viewer
, managed-postgresql.viewer
, managed-greenplum.viewer
, managed-clickhouse.viewer
, managed-redis.viewer
, managed-mongodb.viewer
и dataproc.viewer
.
mdb.admin
Роль mdb.admin
предоставляет полный доступ к кластерам управляемых баз данных.
Пользователи с этой ролью могут могут создавать, изменять, удалять, запускать и останавливать кластеры управляемых баз данных, управлять доступом к кластерам, читать и сохранять информацию в базах данных, а также просматривать информацию о кластерах, логах их работы, квотах и каталогах.
Включает разрешения, предоставляемые ролями mdb.viewer
, vpc.user
, managed-elasticsearch.admin
, managed-opensearch.admin
, managed-kafka.admin
, managed-mysql.admin
, managed-sqlserver.admin
, managed-postgresql.admin
, managed-greenplum.admin
, managed-clickhouse.admin
, managed-redis.admin
, managed-mongodb.admin
и dataproc.admin
.
Yandex Managed Service for Apache Airflow™
managed-airflow.viewer
Роль managed-airflow.viewer
позволяет просматривать информацию о кластерах Apache Airflow™.
managed-airflow.editor
Роль managed-airflow.editor
позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
- использовать веб-интерфейс для доступа к компонентам Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.viewer
.
Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user
.
managed-airflow.admin
Роль managed-airflow.admin
позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Apache Airflow™;
- просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
- использовать веб-интерфейс для доступа к компонентам Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.editor
.
Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Apache Airflow™.
Yandex Managed Service for Apache Kafka®
managed-kafka.auditor
Роль managed-kafka.auditor
позволяет просматривать информацию о кластерах Apache Kafka®, а также о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.
managed-kafka.viewer
Роль managed-kafka.viewer
позволяет просматривать информацию о кластерах Apache Kafka® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.auditor
.
managed-kafka.editor
Роль managed-kafka.editor
позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров Apache Kafka®;
- просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.viewer
.
Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user
.
managed-kafka.admin
Роль managed-kafka.admin
позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Apache Kafka®;
- просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров Apache Kafka®;
- просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.editor
.
Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Apache Kafka®.
Yandex Managed Service for ClickHouse®
managed-clickhouse.auditor
Роль managed-clickhouse.auditor
позволяет просматривать информацию о кластерах ClickHouse®, а также о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.
managed-clickhouse.viewer
Роль managed-clickhouse.viewer
позволяет просматривать информацию о кластерах ClickHouse® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.auditor
.
managed-clickhouse.editor
Роль managed-clickhouse.editor
позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров ClickHouse®;
- просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.viewer
.
Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user
.
managed-clickhouse.admin
Роль managed-clickhouse.admin
позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам ClickHouse®;
- просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров ClickHouse®;
- просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.editor
.
Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for ClickHouse®.
Yandex Managed Service for GitLab
gitlab.auditor
Роль gitlab.auditor
позволяет просматривать список инстансов Managed Service for GitLab, информацию о каждом инстансе и его резервных копиях.
gitlab.viewer
Роль gitlab.viewer
позволяет просматривать список инстансов Managed Service for GitLab, информацию о каждом инстансе и его резервных копиях.
Включает в себя роль gitlab.auditor
.
gitlab.editor
Роль gitlab.editor
позволяет создавать, редактировать и удалять инстансы, создавать и восстанавливать резервные копии, а также переносить и запускать запланированное обслуживание.
gitlab.admin
Роль gitlab.admin
позволяет создавать, редактировать и удалять инстансы, а также выдавать права другим пользователям.
Эта роль назначается по умолчанию. Включает в себя роль gitlab.editor
.
Подробнее см. Управление доступом в Managed Service for GitLab.
Yandex Managed Service for Greenplum®
managed-greenplum.auditor
Роль managed-greenplum.auditor
позволяет просматривать информацию о кластерах и хостах Greenplum®, а также о квотах и операциях с ресурсами сервиса Managed Service for Greenplum®.
managed-greenplum.viewer
Роль managed-greenplum.viewer
позволяет просматривать информацию о кластерах и хостах Greenplum®, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Greenplum®;
- просматривать информацию о хостах кластеров Greenplum®;
- просматривать информацию о резервных копиях Greenplum®;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.auditor
.
managed-greenplum.editor
Роль managed-greenplum.editor
позволяет управлять кластерами Greenplum® и просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.viewer
.
Для создания кластеров Greenplum® дополнительно необходима роль vpc.user
.
managed-greenplum.admin
Роль managed-greenplum.admin
позволяет управлять кластерами Greenplum® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Greenplum®;
- просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.editor
.
Для создания кластеров Greenplum® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Greenplum®.
Yandex Managed Service for Kubernetes
k8s.viewer
Роль k8s.viewer
позволяет просматривать информацию о кластерах и группах узлов Kubernetes.
k8s.editor
Роль k8s.editor
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
Включает в себя роль k8s.viewer
.
k8s.admin
Роль k8s.admin
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
Включает в себя роль k8s.editor
.
k8s.cluster-api.viewer
Пользователь с ролью k8s.cluster-api.viewer
получает группу yc:view
и роль view
в Kubernetes RBAC для всех пространств имен в кластере.
k8s.cluster-api.editor
Пользователь с ролью k8s.cluster-api.editor
получает группу yc:edit
и роль edit
в Kubernetes RBAC для всех пространств имен в кластере.
k8s.cluster-api.cluster-admin
Пользователь с ролью k8s.cluster-api.cluster-admin
получает группу yc:cluster-admin
и роль cluster-admin
в Kubernetes RBAC.
k8s.tunnelClusters.agent
k8s.tunnelClusters.agent
— специальная роль для создания кластера Kubernetes с туннельным режимом. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов. Включает роли:
compute.admin
iam.serviceAccounts.user
k8s.viewer
kms.keys.encrypterDecrypter
load-balancer.privateAdmin
k8s.clusters.agent
k8s.clusters.agent
— специальная роль для сервисного аккаунта кластера Kubernetes. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов, а также подключать заранее созданные группы безопасности. В комбинации с ролью load-balancer.admin
позволяет создать сетевой балансировщик нагрузки с публичным IP-адресом. Включает роли:
k8s.tunnelClusters.agent
vpc.privateAdmin
Подробнее см. Управление доступом в Managed Service for Kubernetes.
Yandex Managed Service for MongoDB
managed-mongodb.auditor
Роль managed-mongodb.auditor
позволяет просматривать информацию о хостах и кластерах MongoDB, а также о квотах и операциях с ресурсами сервиса Managed Service for MongoDB.
managed-mongodb.viewer
Роль managed-mongodb.viewer
позволяет просматривать информацию о кластерах, хостах, шардах, базах данных и пользователях MongoDB, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MongoDB;
- просматривать информацию о хостах кластеров MongoDB;
- просматривать информацию о шардах кластеров MongoDB;
- просматривать информацию о базах данных MongoDB;
- просматривать информацию о пользователях MongoDB;
- просматривать информацию о резервных копиях MongoDB;
- просматривать информацию об алертах MongoDB;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.auditor
.
managed-mongodb.editor
Роль managed-mongodb.editor
позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
- создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
- создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
- создавать и удалять базы данных MongoDB и просматривать информацию о них;
- создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
- создавать резервные копии MongoDB и просматривать информацию о них;
- создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.viewer
.
Для создания кластеров MongoDB дополнительно необходима роль vpc.user
.
managed-mongodb.admin
Роль managed-mongodb.admin
позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам MongoDB;
- создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
- создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
- создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
- создавать и удалять базы данных MongoDB и просматривать информацию о них;
- создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
- создавать резервные копии MongoDB и просматривать информацию о них;
- создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.editor
.
Для создания кластеров MongoDB дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for MongoDB.
Yandex Managed Service for MySQL
managed-mysql.auditor
Роль managed-mysql.auditor
позволяет просматривать информацию о хостах и кластерах MySQL®, а также о квотах и операциях с ресурсами сервиса Managed Service for MySQL®.
managed-mysql.viewer
Роль managed-mysql.viewer
позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях MySQL®, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MySQL®;
- просматривать информацию о хостах кластеров MySQL®;
- просматривать информацию о базах данных MySQL®;
- просматривать информацию о пользователях MySQL®;
- просматривать информацию о резервных копиях БД MySQL®;
- просматривать информацию об алертах MySQL®;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.auditor
.
managed-mysql.editor
Роль managed-mysql.editor
позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
- просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.viewer
.
Для создания кластеров MySQL® дополнительно необходима роль vpc.user
.
managed-mysql.admin
Роль managed-mysql.admin
позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам MySQL®;
- просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
- просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.editor
.
Для создания кластеров MySQL® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for MySQL.
Yandex Managed Service for OpenSearch
managed-opensearch.auditor
Роль managed-opensearch.auditor
позволяет просматривать информацию о кластерах OpenSearch, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.
managed-opensearch.viewer
Роль managed-opensearch.viewer
позволяет просматривать информацию о кластерах OpenSearch и логи их работы, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.auditor
.
managed-opensearch.editor
Роль managed-opensearch.editor
позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров OpenSearch;
- просматривать информацию о квотах сервиса Managed Service for OpenSearch;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.viewer
.
Для создания кластеров OpenSearch дополнительно необходима роль vpc.user
.
managed-opensearch.admin
Роль managed-opensearch.admin
позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам OpenSearch;
- просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров OpenSearch;
- просматривать информацию о квотах сервиса Managed Service for OpenSearch;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.editor
.
Для создания кластеров OpenSearch дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом к Managed Service for OpenSearch.
Yandex Managed Service for PostgreSQL
managed-postgresql.auditor
Роль managed-postgresql.auditor
позволяет просматривать информацию о хостах и кластерах PostgreSQL, а также о квотах и операциях с ресурсами сервиса Managed Service for PostgreSQL.
managed-postgresql.viewer
Роль managed-postgresql.viewer
позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах PostgreSQL;
- просматривать информацию о хостах кластеров PostgreSQL;
- просматривать информацию о базах данных PostgreSQL;
- просматривать информацию о пользователях PostgreSQL;
- просматривать информацию о резервных копиях БД PostgreSQL;
- просматривать информацию об алертах PostgreSQL;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.auditor
.
managed-postgresql.editor
Роль managed-postgresql.editor
позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
- просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.viewer
.
Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user
.
managed-postgresql.admin
Роль managed-postgresql.admin
позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам PostgreSQL;
- просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
- просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.editor
.
Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for PostgreSQL.
Yandex Managed Service for Redis
managed-redis.auditor
Роль managed-redis.auditor
позволяет просматривать информацию о хостах и кластерах Redis, а также о квотах и операциях с ресурсами сервиса Managed Service for Redis.
managed-redis.viewer
Роль managed-redis.viewer
позволяет просматривать информацию о хостах и кластерах Redis, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Redis;
- просматривать информацию о хостах кластеров Redis;
- просматривать информацию о шардах кластеров Redis;
- просматривать информацию о резервных копиях БД Redis;
- просматривать информацию об алертах Redis;
- просматривать логи работы кластеров Redis;
- просматривать информацию о квотах сервиса Managed Service for Redis;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.
Включает разрешения, предоставляемые ролью managed-redis.auditor
.
managed-redis.editor
Роль managed-redis.editor
позволяет управлять кластерами Redis и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Redis, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Redis, а также создавать, изменять и удалять их;
- просматривать информацию о шардах кластеров Redis, а также создавать и удалять их;
- просматривать информацию о резервных копиях БД Redis и создавать резервные копии;
- просматривать информацию об алертах Redis, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров Redis;
- просматривать информацию о квотах сервиса Managed Service for Redis;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.
Включает разрешения, предоставляемые ролью managed-redis.viewer
.
Для создания кластеров Redis дополнительно необходима роль vpc.user
.
managed-redis.admin
Роль managed-redis.admin
позволяет управлять кластерами Redis и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Redis;
- просматривать информацию о кластерах Redis, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Redis, а также создавать, изменять и удалять их;
- просматривать информацию о шардах кластеров Redis, а также создавать и удалять их;
- просматривать информацию о резервных копиях БД Redis и создавать резервные копии;
- просматривать информацию об алертах Redis, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров Redis;
- просматривать информацию о квотах сервиса Managed Service for Redis;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.
Включает разрешения, предоставляемые ролью managed-redis.editor
.
Для создания кластеров Redis дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Redis.
Yandex Managed Service for YDB
ydb.auditor
Роль ydb.auditor
позволяет выполнять следующие действия:
- Устанавливать соединения c БД.
- Просматривать список схемных объектов (таблиц, индексов и каталогов).
- Просматривать описание схемных объектов (таблиц, индексов и каталогов).
- Просматривать информацию о БД.
Также пользователю с данной ролью доступно получение списка каталогов в облаке и списка ресурсов в каталоге облака.
ydb.viewer
Роль ydb.viewer
позволяет выполнять следующие действия:
- Устанавливать соединения c БД.
- Просматривать список схемных объектов (таблиц, индексов и каталогов).
- Просматривать описание схемных объектов (таблиц, индексов и каталогов).
- Просматривать информацию о БД.
- Выполнять запросы на чтение данных.
Роль также позволяет получать список каталогов в облаке и список ресурсов в каталоге облака.
Все полномочия роли ydb.viewer
включены в состав роли viewer
.
ydb.editor
Роль ydb.editor
позволяет выполнять следующие действия:
- Управлять БД, например создать БД или изменить ее параметры.
- Создавать, изменять и удалять объекты схемы в БД (таблицы, индексы и каталоги).
- Выполнять запросы на запись данных.
Помимо этого роль ydb.editor
включает в себя все разрешения роли viewer
.
Все полномочия роли ydb.editor
включены в состав роли editor
.
ydb.admin
Состав полномочий роли ydb.admin
идентичен составу полномочий роли ydb.editor
.
ydb.kafkaApi.client
Роль ydb.kafkaApi.client
позволяет работать с ydb
по протоколу Kafka API с использованием plain-аутентификации через SSL-соединение.
Подробнее см. Управление доступом в Managed Service for YDB.
Yandex Message Queue
ymq.reader
Роль ymq.reader
дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.
ymq.writer
Роль ymq.writer
дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.
ymq.admin
Роль ymq.admin
включает права ролей ymq.reader
и ymq.writer
, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.
Подробнее см. Управление доступом в Message Queue.
Yandex Monitoring
monitoring.viewer
Роль monitoring.viewer
позволяет просматривать созданные дашборды и виджеты, а также загруженные метрики.
monitoring.editor
Роль monitoring.editor
позволяет создавать дашборды и виджеты, загружать метрики и управлять алертами.
Помимо этого роль monitoring.editor
включает в себя все разрешения роли monitoring.viewer
.
monitoring.admin
Роль monitoring.admin
позволяет создавать дашборды и виджеты, загружать метрики и управлять алертами.
Помимо этого роль monitoring.admin
включает в себя все разрешения роли monitoring.editor
.
Подробнее см. Управление доступом в Monitoring.
Yandex Network Load Balancer
load-balancer.auditor
Роль load-balancer.auditor
позволяет просматривать конфигурацию и операции сетевого балансировщика.
Пользователь с этой ролью может получать списки целевых групп и сетевых балансировщиков, информацию о них и об их операциях, а также просматривать информацию об облаке, лимитах облака и о каталоге.
load-balancer.viewer
Роль load-balancer.viewer
позволяет просматривать объекты ресурсной модели.
load-balancer.privateAdmin
Роль load-balancer.privateAdmin
позволяет создавать, изменять и удалять балансировщики нагрузки и целевые группы, не открывая к ним доступ из интернета.
load-balancer.admin
Роль load-balancer.admin
позволяет создавать балансировщики нагрузки, как внутренние, так и доступные через интернет.
Подробнее см. Управление доступом в Network Load Balancer.
Yandex Object Storage
storage.viewer
Роль storage.viewer
дает доступ на чтение списка бакетов, их настроек и данных в бакетах.
storage.configViewer
Роль storage.configViewer
позволяет просматривать настройки безопасности бакетов и объектов в них, но не дает доступа к данным внутри бакета.
storage.configurer
Роль storage.configurer
позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.
Не позволяет управлять настройками списка управления доступом (ACL) и настройками публичного доступа. Не предоставляет доступа к данным в бакете.
storage.uploader
Роль storage.uploader
позволяет загружать объекты в бакет, в том числе перезаписывать загруженные ранее. Также роль позволяет просматривать список объектов в бакете и скачивать их, поскольку роль storage.uploader
наследует права роли storage.viewer
.
Роль не позволяет удалять объекты и конфигурировать бакет.
storage.editor
Роль storage.editor
позволяет выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.
Роль не позволяет управлять настройками списка управления доступом (ACL).
storage.admin
Роль storage.admin
предназначена для управления сервисом Object Storage. Пользователи с этой ролью могут:
- создавать бакеты;
- удалять бакеты;
- назначать список управления доступом (ACL);
- управлять всеми объектами бакета;
- управлять всеми веб-сайтами бакета;
- настраивать другие параметры бакета и объектов в нем.
Роль позволяет предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.
Выдать данную роль может администратор облака (роль admin
).
Подробнее см. Управление доступом с помощью Yandex Identity and Access Management.
Yandex Query
yq.viewer
Пользователь с ролью yq.viewer
может просматривать запросы и результаты.
yq.editor
Пользователь с ролью yq.editor
может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor
включает в себя все разрешения роли yq.viewer
.
yq.admin
Роль yq.admin
разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin
включает в себя все разрешения роли yq.editor
.
yq.invoker
Пользователь с ролью yq.invoker
может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.
Подробнее см. Управление доступом в Query.
Yandex Resource Manager
resource-manager.auditor
Роль resource-manager.auditor
дает право читать метаинформацию об облаке или каталоге, а также читать список ролей, которые назначены на облако или каталог. Назначается на организацию, облако или каталог.
resource-manager.viewer
Роль resource-manager.viewer
дает право читать информацию об облаке или каталоге, а также читать список прав доступа, которые назначены на облако или каталог. Назначается на организацию, облако или каталог.
resource-manager.editor
Роль resource-manager.editor
дает право создавать, редактировать и удалять облака или каталоги. Назначается на организацию, облако или каталог.
resource-manager.admin
Роль resource-manager.admin
дает право создавать, редактировать и удалять облака и каталоги, а также управлять доступом к ним. Назначается на организацию, облако или каталог.
resource-manager.clouds.member
Роль resource-manager.clouds.member
необходима для доступа к ресурсам в облаке, которое не принадлежит организации, всем, кроме владельцев облака и сервисных аккаунтов.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако.
Подробнее см. Управление доступом в Resource Manager.
Yandex Search API
search-api.executor
Роль search-api.executor
позволяет использовать сервис Search API.
Подробнее см. Управление доступом в Search API.
Yandex Serverless Containers
serverless-containers.auditor
Роль serverless-containers.auditor
позволяет смотреть список контейнеров и всю информацию о них, кроме переменных окружения ревизии.
serverless-containers.viewer
Роль serverless-containers.viewer
позволяет смотреть список контейнеров и информацию о них.
serverless-containers.editor
Роль serverless-containers.editor
позволяет создавать, редактировать и удалять контейнеры, а также создавать ревизии контейнера.
serverless-containers.admin
Роль serverless-containers.admin
позволяет управлять настройками доступа к контейнеру.
serverless-containers.containerInvoker
Роль serverless-containers.containerInvoker
позволяет вызывать контейнер.
Подробнее см. Управление доступом в Serverless Containers.
Yandex SmartCaptcha
smart-captcha.auditor
Роль smart-captcha.auditor
предоставляет доступ к информации о капчах и правах доступа к ним. Роль не позволяет получить ключи капчи.
Пользователь с этой ролью может просматривать информацию о капчах и правах доступа к ним.
smart-captcha.viewer
Роль smart-captcha.viewer
позволяет просматривать информацию о капче.
Включает разрешения, предоставляемые ролью smart-captcha.auditor
.
smart-captcha.editor
Роль smart-captcha.editor
позволяет управлять капчами (создавать, изменять и удалять). Включает все права роли smart-captcha.viewer
.
smart-captcha.admin
Роль smart-captcha.admin
позволяет управлять капчами и доступом к ним. Включает все права роли smart-captcha.editor
.
Подробнее см. Управление доступом в SmartCaptcha.
Yandex Smart Web Security
smart-web-security.auditor
Роль smart-web-security.auditor
позволяет просматривать информацию о профилях безопасности Smart Web Security и метаинформацию облака и каталога.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security;
- просматривать информацию о привязках прав доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Назначить роль smart-web-security.auditor
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.viewer
Роль smart-web-security.viewer
позволяет просматривать информацию о профилях безопасности Smart Web Security, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security;
- просматривать информацию о привязках прав доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.auditor
.
Назначить роль smart-web-security.viewer
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.user
Роль smart-web-security.user
позволяет просматривать информацию о профилях безопасности Smart Web Security и использовать их.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security и использовать их в других сервисах Yandex Cloud;
- просматривать информацию о привязках прав доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.viewer
.
Назначить роль smart-web-security.user
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.editor
Роль smart-web-security.editor
позволяет использовать профили безопасности Smart Web Security и управлять ими.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
- просматривать информацию о привязках прав доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.user
.
Назначить роль smart-web-security.editor
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.admin
Роль smart-web-security.admin
позволяет использовать профили безопасности Smart Web Security, управлять ими и доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о привязках прав доступа к профилям безопасности и изменять такие привязки;
- просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.editor
.
Назначить роль smart-web-security.admin
может пользователь с ролью admin
в облаке.
Подробнее см. Управление доступом в Smart Web Security.
Yandex SpeechKit
ai.speechkit-stt.user
Роль ai.speechkit-stt.user
позволяет использовать сервис Yandex SpeechKit для распознавания речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.
ai.speechkit-tts.user
Роль ai.speechkit-tts.user
позволяет использовать сервис Yandex SpeechKit для синтеза речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в SpeechKit.
Yandex SpeechSense
speech-sense.auditor
Роль speech-sense.auditor
позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.
speech-sense.viewer
Роль speech-sense.viewer
позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.
Роль speech-sense.viewer
включает в себя все разрешения роли speech-sense.auditor
.
speech-sense.editor
Роль speech-sense.editor
позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство, роль позволяет редактировать пространство и создавать в нем проекты и подключения.
Роль speech-sense.editor
включает в себя все разрешения роли speech-sense.viewer
.
speech-sense.admin
Роль speech-sense.admin
, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.
Роль speech-sense.admin
включает в себя все разрешения ролей speech-sense.editor
и speech-sense.data.editor
.
speech-sense.spaces.creator
Роль speech-sense.spaces.creator
позволяет создавать пространства в SpeechSense.
speech-sense.data.viewer
Роль speech-sense.data.viewer
позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.
speech-sense.data.editor
Роль speech-sense.data.editor
позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.
Роль speech-sense.data.editor
включает в себя все разрешения роли speech-sense.data.viewer
.
Подробнее см. Управление доступом в SpeechSense.
Yandex Translate
ai.translate.user
Роль ai.translate.user
позволяет использовать сервис Yandex Translate для перевода текста, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Translate.
Yandex Virtual Private Cloud
vpc.auditor
Роль vpc.auditor
позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
vpc.viewer
Роль vpc.viewer
позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.auditor
.
vpc.user
Роль vpc.user
позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.externalAddresses.user
Роль vpc.externalAddresses.user
позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.
vpc.admin
Роль vpc.admin
позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.
- просматривать информацию об облачных сетях, а также создавать, изменять и удалять их;
- настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать информацию о подсетях, а также создавать, изменять и удалять их;
- просматривать информацию о таблицах маршрутизации, а также создавать, изменять и удалять их;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- настраивать DHCP в подсетях;
- просматривать информацию об адресах облачных ресурсов, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями vpc.privateAdmin
, vpc.publicAdmin
и vpc.securityGroups.admin
.
vpc.bridgeAdmin
Роль vpc.bridgeAdmin
позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
- управлять связностью нескольких облачных сетей;
- просматривать информацию о подсетях и использовать их;
- получать список облачных сетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.privateAdmin
Роль vpc.privateAdmin
позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.
- просматривать информацию об облачных сетях, а также создавать, изменять и удалять их;
- просматривать информацию о подсетях, а также создавать, изменять и удалять их;
- просматривать информацию о таблицах маршрутизации, а также создавать, изменять и удалять их;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о группах безопасности и создавать в облачных сетях группы безопасности по умолчанию;
- настраивать DHCP в подсетях;
- просматривать информацию об адресах облачных ресурсов, а также создавать внутренние IP-адреса;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.publicAdmin
Роль vpc.publicAdmin
позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями
- просматривать информацию об облачных сетях и настраивать внешний доступ к ним;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать информацию о подсетях и изменять них;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать информацию об адресах облачных ресурсов, а также создавать, изменять и удалять публичные IP-адреса;
- просматривать информацию о таблицах маршрутизации, а также привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о группах безопасности;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
Роль можно назначить на облако или каталог. Важно: если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin
проверяется на том каталоге, в котором находится сеть.
vpc.gateways.viewer
Роль vpc.gateways.viewer
позволяет просматривать информацию о NAT-шлюзах.
vpc.gateways.user
Роль vpc.gateways.user
позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.
vpc.gateways.editor
Роль vpc.gateways.editor
позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.
vpc.securityGroups.user
Роль vpc.securityGroups.user
позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
- назначать группы безопасности сетевым интерфейсам виртуальных машин;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.securityGroups.admin
Роль vpc.securityGroups.admin
позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
Подробнее см. Управление доступом в Virtual Private Cloud.
Yandex Vision OCR
ai.vision.user
Роль ai.vision.user
позволяет использовать сервис Yandex Vision OCR для анализа изображений, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Vision OCR.
Yandex Wiki
wiki.viewer
Роль wiki.viewer
назначается на организацию.
Дает право читать страницы в Yandex Wiki организации.
wiki.admin
Роль wiki.admin
назначается на организацию.
Дает право редактировать страницы, настраивать права доступа для других пользователей, изменять список авторов и назначать владельца страницы.
ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc