Взаимодействие пользователей и ресурсов Yandex Cloud

Все сервисы платформы Yandex Cloud построены на принципах общей ресурсно-ролевой модели взаимодействия. В основе модели лежат организации, которые объединяют разные типы ресурсов и пользователей в единое рабочее пространство. Добавление пользователей и управление пользователями происходит на уровне организации, подробнее см. в статье Членство в организации.

Ресурсы Yandex CloudРесурсы Yandex Cloud

При работе с сервисами Yandex Cloud вы создаете ресурсы: виртуальные машины, кластеры управляемых баз данных и Kubernetes, реестры, секреты и многие другие. Большинство сервисов хранит создаваемые ресурсы в каталогах. Каталоги принадлежат облакам, а облака — организациям.

В интерфейсе Cloud Center можно посмотреть, какие сервисы существуют в вашей организации.

Подробнее об иерархии ресурсов Yandex Cloud.

ПользователиПользователи

Каждый пользователь платформы Yandex Cloud имеет свой аккаунт, который используется для идентификации при выполнении операций с ресурсами. Это может быть аккаунт Яндекс ID, федеративный аккаунт федерации удостоверений или локальный аккаунт из пула пользователей. Также существуют сервисные аккаунты — особый тип аккаунтов, от имени которых ваши программы могут выполнять операции с ресурсами Yandex Cloud. Подробнее об аккаунтах.

Любой пользователь состоит как минимум в одной организации. При первом входе в Yandex Cloud с Яндекс ID появится приглашение зарегистрировать свою организацию. После создания организации можно подключать и отключать сервисы Yandex Cloud, создавать облака, каталоги и другие ресурсы.

В организацию можно приглашать других участников с аккаунтами на Яндексе, чтобы они имели доступ к сервисам и ресурсам организации. Если в компании уже используется другая система управления учетными данными, например, Active Directory или Keycloak, можно настроить федерацию удостоверений. Тогда сотрудники смогут использовать свои рабочие аккаунты для доступа к сервисам Yandex Cloud. Кроме того, в организации можно создать пул пользователей и, добавив в него домен, создавать в организации локальные пользовательские аккаунты.

Для массового управления доступом пользователей можно объединять в группы.

Управление доступомУправление доступом

Контроль над доступом к ресурсам Yandex Cloud осуществляется с помощью ролей. Чтобы аккаунт (субъект) мог выполнять действия с ресурсом (объектом), ему или группе, в которой он состоит, необходимо назначить соответствующие роли на этот ресурс. По сути, каждая роль — это список разрешенных операций, которые можно выполнять с объектом. За управление правами доступа в Yandex Cloud отвечает сервис Yandex Identity and Access Management.

Для аутентификации пользователей сервисы Yandex Cloud запрашивают учетные данные. Тип запрашиваемых данных зависит от типа аккаунта, сервиса и интерфейса обращения. При работе с API также требуется идентификатор каталога, чтобы однозначно определить ресурс и проверить разрешения. Если действия выполняются от имени сервисного аккаунта, по умолчанию используется идентификатор каталога этого аккаунта.