Политики авторизации

Политики авторизации (политики) — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики дополняют систему ролей и позволяют сделать управление доступом более гибким.

Политики авторизации создаются для ресурсов на основе шаблонов политик авторизации.

Взаимосвязь политик авторизации и ролейВзаимосвязь политик авторизации и ролей

Политики авторизации работают по принципу явного запрета (в отличие от ролей, которые работают по принципу явных разрешений). При этом политики и роли взаимосвязаны следующим образом:

• Чтобы операция могла быть выполнена, она должна быть одновременно разрешена ролью и не запрещена политикой авторизации. При этом проверка прав доступа выполняется в следующей последовательности:

  1. Система проверяет наличие роли, необходимой для выполнения операции. Если такая роль отсутствует, то операция блокируется, а дальнейшие проверки не выполняются.
  2. Если необходимая роль найдена, то проверяется наличие явного запрета на выполнение операции в политиках авторизации. Если запрет найден, то операция блокируется, в противном случае — выполняется.

• Политики авторизации не заменяют роли, а дополняют их. Независимо от заданных политик авторизации, для выполнения операций требуются соответствующие роли.

• Управлять политиками авторизации может пользователь, которому назначена одна из следующих ролей:

  • resource-manager.admin или admin на каталог или облако, чтобы управлять политиками авторизации соответственно на уровне каталога или облака;
  • organization-manager.admin или admin на организацию, чтобы управлять политиками авторизации на уровне организации.

Ресурсы, для которых создаются политики авторизацииРесурсы, для которых создаются политики авторизации

Политики авторизации можно создать для следующих ресурсов:

• организация — политика применяется к ресурсам во всех облаках и каталогах в пределах организации;
• облако — политика применяется к ресурсам во всех каталогах в пределах облака;
• каталог — политика применяется только к ресурсам в определенном каталоге.

Политики авторизации, созданные на верхних уровнях иерархии ресурсов Yandex Cloud, наследуются нижестоящими уровнями.

Для одного ресурса можно создать одновременно несколько политик.

Шаблоны политик авторизацииШаблоны политик авторизации

Одни шаблоны политик авторизации при их назначении на ресурс требуют указания параметров, другие — не требуют.

Шаблоны без параметровШаблоны без параметров

Следующие шаблоны политик авторизации не содержат параметров и вводят безусловные ограничения на соответствующие действия:

• backup.denyActivation
• backup.denyRemoveProtection
• iam.denyServiceAccountAccessKeysCreation
• iam.denyServiceAccountApiKeysCreation
• iam.denyServiceAccountAuthorizedKeysCreation
• iam.denyServiceAccountCreation
• iam.denyServiceAccountCredentialsCreation
• iam.denyServiceAccountFederatedCredentialsCreation
• iam.denyServiceAccountImpersonation
• organization.denyMemberInvitation
• organization.denyUserListing
• resourceManager.denyCloudRemoval

backup.denyActivationbackup.denyActivation

Политика запрещает подключать защищаемые ресурсы к сервису Yandex Cloud Backup, а также привязывать и отвязывать их от политик резервного копирования.

backup.denyRemoveProtectionbackup.denyRemoveProtection

Политика запрещает изменять и удалять политики резервного копирования Yandex Cloud Backup, отвязывать защищаемые ресурсы от таких политик, а также удалять резервные копии защищаемых ресурсов.

iam.denyServiceAccountAccessKeysCreationiam.denyServiceAccountAccessKeysCreation

Политика запрещает создавать статические ключи доступа сервисных аккаунтов.

iam.denyServiceAccountApiKeysCreationiam.denyServiceAccountApiKeysCreation

Политика запрещает создавать API-ключи сервисных аккаунтов.

iam.denyServiceAccountAuthorizedKeysCreationiam.denyServiceAccountAuthorizedKeysCreation

Политика запрещает создавать авторизованные ключи сервисных аккаунтов.

iam.denyServiceAccountCreationiam.denyServiceAccountCreation

Политика запрещает создавать сервисные аккаунты.

iam.denyServiceAccountCredentialsCreationiam.denyServiceAccountCredentialsCreation

Политика запрещает:

• создавать любые аутентификационные данные для сервисных аккаунтов (кроме IAM-токена);
• привязывать сервисные аккаунты к федерациям сервисных аккаунтов.

iam.denyServiceAccountFederatedCredentialsCreationiam.denyServiceAccountFederatedCredentialsCreation

Политика запрещает привязывать сервисные аккаунты к федерациям сервисных аккаунтов.

iam.denyServiceAccountImpersonationiam.denyServiceAccountImpersonation

Политика запрещает использовать имперсонацию.

organization.denyMemberInvitationorganization.denyMemberInvitation

Политика запрещает отправлять новым пользователям с аккаунтом на Яндексе приглашения в организацию. Политика может быть создана только для организации.

organization.denyUserListingorganization.denyUserListing

Политика запрещает просматривать список пользователей организации. Политика может быть создана только для организации.

resourceManager.denyCloudRemovalresourceManager.denyCloudRemoval

Политика запрещает удалять облака в Yandex Cloud:

• если политика создана для организации, запрет относится ко всем облакам в этой организации;
• если политика создана для облака, запрет относится только к данному облаку;
• если политика создана для каталога, запрет не будет установлен.

Шаблоны с параметрамиШаблоны с параметрами

Следующие шаблоны политик авторизации позволяют настраивать вводимые ограничения с помощью параметров:

• serverless.containers.restrictNetworkAccess
• serverless.containers.restrictResourceVPCNetwork
• serverless.functions.restrictNetworkAccess
• serverless.functions.restrictResourceVPCNetwork
• serverless.mcpGateways.restrictNetworkAccess
• serverless.mcpGateways.restrictResourceVPCNetwork
• serverless.responses.restrictNetworkAccess
• serverless.workflows.restrictNetworkAccess
• serverless.workflows.restrictResourceVPCNetwork

serverless.containers.restrictNetworkAccessserverless.containers.restrictNetworkAccess

Политика запрещает вызов контейнеров Yandex Serverless Containers и управление ими с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Настраиваемые параметры (применяются с логикой ИЛИ):

• allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен вызов контейнеров и управление ими.
• allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен вызов контейнеров и управление ими через настроенное сервисное подключение.

serverless.containers.restrictResourceVPCNetworkserverless.containers.restrictResourceVPCNetwork

Политика запрещает привязку к контейнерам Yandex Serverless Containers любых облачных сетей за исключением заданных явно.

Настраиваемый параметр:

• allowed_vpc_network_ids — список идентификаторов облачных сетей, которые можно привязывать к контейнерам.

serverless.functions.restrictNetworkAccessserverless.functions.restrictNetworkAccess

Политика запрещает вызов функций Yandex Cloud Functions и управление ими с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Настраиваемые параметры (применяются с логикой ИЛИ):

• allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен вызов функций и управление ими.
• allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен вызов функций и управление ими через настроенное сервисное подключение.

serverless.functions.restrictResourceVPCNetworkserverless.functions.restrictResourceVPCNetwork

Политика запрещает привязку к функциям Yandex Cloud Functions любых облачных сетей за исключением заданных явно.

Настраиваемый параметр:

• allowed_vpc_network_ids — список идентификаторов облачных сетей, которые можно привязывать к функциям.

serverless.mcpGateways.restrictNetworkAccessserverless.mcpGateways.restrictNetworkAccess

Политика запрещает вызов MCP-серверов MCP Hub и управление ими с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Настраиваемые параметры (применяются с логикой ИЛИ):

• allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен вызов MCP-серверов и управление ими.
• allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен вызов MCP-серверов и управление ими через настроенное сервисное подключение.

serverless.mcpGateways.restrictResourceVPCNetworkserverless.mcpGateways.restrictResourceVPCNetwork

Политика запрещает привязку к MCP-серверам MCP Hub любых облачных сетей за исключением заданных явно.

Настраиваемый параметр:

• allowed_vpc_network_ids — список идентификаторов облачных сетей, которые можно привязывать к MCP-серверам.

serverless.responses.restrictNetworkAccessserverless.responses.restrictNetworkAccess

Политика запрещает вызов методов Responses API Yandex AI Studio с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Настраиваемые параметры (применяются с логикой ИЛИ):

• allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен вызов методов Responses API.
• allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен вызов методов Responses API через настроенное сервисное подключение.

serverless.workflows.restrictNetworkAccessserverless.workflows.restrictNetworkAccess

Политика запрещает запуск рабочих процессов Yandex Serverless Integrations и управление ими с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Настраиваемые параметры (применяются с логикой ИЛИ):

• allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен запуск рабочих процессов и управление ими.
• allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен запуск рабочих процессов и управление ими через настроенное сервисное подключение.

serverless.workflows.restrictResourceVPCNetworkserverless.workflows.restrictResourceVPCNetwork

Политика запрещает привязку к рабочим процессам Yandex Serverless Integrations любых облачных сетей за исключением заданных явно.

Настраиваемый параметр:

• allowed_vpc_network_ids — список идентификаторов облачных сетей, которые можно привязывать к рабочим процессам.

Полезные ссылкиПолезные ссылки

• Роли
• Получение списка поддерживаемых шаблонов политик авторизации
• Создание политики авторизации для ресурса
• Просмотр политик авторизации, созданных для ресурса
• Удаление политики авторизации