Список управления доступом (ACL)

В Yandex Cloud Desktop управление доступом реализовано с помощью разграничения ролей Yandex Identity and Access Management.

ACL Cloud Desktop — список разрешений для конкретной группы рабочих столов.

По умолчанию для каждой новой группы рабочих столов создается пустой ACL. Пользователь, обладающий ролью vdi.admin, может отредактировать ACL.

С помощью ACL можно выдать доступ к группе рабочих столов следующим получателям разрешений:

• Пользователь Yandex Cloud
• Сервисный аккаунт
• Группа пользователей Yandex Identity Hub
• Публичная группа
• Системная группа

За каждым конкретным рабочим столом закрепляется отдельный пользователь Yandex Cloud.

Чтобы подключиться к рабочему столу пользователь получает уникальный RDP-файл, в который интегрирован IAM-токен. Таким образом, рабочий стол доступен только определенному пользователю.

Время жизни IAM-токена — 12 часов. После истечения этого срока RDP-файл становится недействительным. Чтобы подключиться к рабочему столу, пользователю нужно повторно запросить RDP-файл.

Есть получатель RDP-файла по каким-то причинам был удален из списка пользователей Yandex Cloud, например при ротации в другое подразделение или при подозрении на несанкционированную активность, то его RDP-файл становится недействительным независимо от времени выпуска.

Пример использования механизмов доступа в Cloud DesktopПример использования механизмов доступа в Cloud Desktop

1. Администратор организации (пользователь с ролью organization-manager.admin на облако) создает группу пользователей Yandex Identity Hub, для которой будет развернута группа рабочих столов.

2. Администратор Cloud Desktop (пользователь с ролью vdi.admin на каталог) создает группу рабочих столов и выдает к ней доступ для группы пользователей.

   Также у администратора есть возможность подготовить собственный образ для группы рабочих столов.

3. Для каждого участника группы пользователей администратор Cloud Desktop создает собственный рабочий стол.

4. Участник группы пользователей аутентифицируется с помощью Яндекс ID или через систему единого входа (SSO) на странице Витрина пользовательских рабочих столов. На витрине отображаются рабочие столы, доступные конкретному пользователю.

5. На витрине участник группы пользователей скачивает RDP-файл к конкретному рабочему столу и подключается к нему.

См. такжеСм. также

• Как начать работать c сервисом
• Управление доступом
• Изменить права доступа к группе рабочих столов