Связаться с намиПодключиться

Общие роли Yandex Security Deck

Статья создана
Обновлена 5 ноября 2025 г.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока пользователю не назначены роли, все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Security Deck, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным или локальным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Resource Manager.

Какие роли действуют в сервисе

Для управления правами доступа в Security Deck можно использовать как сервисные, так и примитивные роли.

Сервисные роли

security-deck.worker

Роль security-deck.worker позволяет просматривать информацию об области сканирования модуля DSPM и контролируемых ресурсах модулей KSPM и CSPM в Security Deck.

Пользователи с этой ролью могут:

  • просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем модуля DSPM области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах;
  • просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать список кластеров Kubernetes, информацию о них и их настройках в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать информацию об организации, просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля CSPM.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование DSPM, проверка KSPM или CSPM. Роль назначается на организацию, облако, каталог или (при использовании модуля DSPM) бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

Включает разрешения, предоставляемые ролями dspm.worker, kspm.worker и cspm.worker.

Примечание

Роль не может гарантировать доступа к бакету, если к бакету применена политика доступа Yandex Object Storage.

security-deck.auditor

Роль security-deck.auditor позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности;
  • просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

Включает разрешения, предоставляемые ролью dspm.auditor.

security-deck.viewer

Роль security-deck.viewer позволяет просматривать информацию о событиях доступа к ресурсам организации со стороны сотрудников Yandex Cloud, информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности;
  • просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

Включает разрешения, предоставляемые ролями dspm.viewer и access-transparency.viewer.

security-deck.editor

Роль security-deck.editor позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
  • просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролями dspm.editor и access-transparency.editor.

security-deck.admin

Роль security-deck.admin позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:

  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • использовать ресурсы Yandex Cloud в источниках данных DSPM;
  • просматривать информацию о категориях данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
  • просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролями dspm.admin и access-transparency.admin.

Кроме того, Yandex Cloud поддерживает свой список ролей для каждого модуля, включенного в состав Security Deck. Подробнее читайте в соответствующих разделах:

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

См. также

Структура ресурсов Yandex Cloud

Предыдущая
Квоты и лимиты
Следующая
Роли YCDR