Управление доступом в Yandex Lockbox
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
На секрет роль можно назначить в консоли управления, через YC CLI или API Yandex Cloud.
Какие роли действуют в сервисе
Управлять доступом к секретам можно как с помощью сервисных, так и с помощью примитивных ролей.
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
lockbox.auditor
Роль lockbox.auditor
предоставляет доступ к метаданным секретов, к информации о каталоге и о квотах сервиса. Роль не предоставляет доступа к содержимому секретов.
Пользователь с этой ролью может получать информацию о секретах и правах доступа к ним, о каталоге и о квотах Yandex Lockbox.
lockbox.viewer
Роль lockbox.viewer
позволяет читать метаданные секрета.
Включает разрешения, предоставляемые ролью lockbox.auditor
.
lockbox.editor
Роль lockbox.editor
позволяет управлять секретом и изменять его содержимое.
lockbox.admin
Роль lockbox.admin
позволяет управлять секретами и доступами к ним.
lockbox.payloadViewer
Роль lockbox.payloadViewer
предназначена для сервисных аккаунтов и позволяет получить доступ к содержимому секрета.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor
вместо viewer
.
Действие | lockbox.admin |
lockbox.editor |
lockbox.viewer |
lockbox.payloadViewer |
kms.keys.encrypterDecrypter |
---|---|---|---|---|---|
Создание и удаление секретов | - | - | - | ||
Изменение метаданных секрета | - | - | - | ||
Чтение метаданных секрета | - | - | |||
Изменение содержимого версии секрета | - | - | - | ||
Чтение содержимого версии секрета | - | - | - | ||
Управление доступом к секрету | - | - | - | - | |
Операции шифрования и расшифровки секрета | - | - | - | - |