Управление доступом в Application Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
alb.auditor
Роль alb.auditor
позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
alb.viewer
Роль alb.viewer
позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
Включает разрешения, предоставляемые ролью alb.auditor
.
alb.user
Роль alb.user
позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
- просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
- просматривать список целевых групп и информацию о них, а также использовать целевые группы;
- просматривать информацию о квотах сервиса Application Load Balancer.
Роль можно назначить на каталог.
alb.editor
Роль alb.editor
позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.privateAdmin
и vpc.user
.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin
на сеть, в которой находится балансировщик.
alb.admin
Роль alb.admin
позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью alb.editor
.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin
на сеть, в которой находится балансировщик.
Примечание
Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли alb.editor
или alb.admin
также требуется роль vpc.publicAdmin
на сеть, в которой находится балансировщик.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor
предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor
— наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor
вместо viewer
.
Действие | Методы | Необходимые роли |
---|---|---|
Просмотр информации | ||
Просмотр информации о любом ресурсе | get , list , listOperations |
alb.viewer на этот ресурс |
Управление L7-балансировщиками | ||
Создание и изменение L7-балансировщиков с публичным IP-адресом | create |
alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик |
Создание и изменение L7-балансировщиков без публичного IP-адреса | create |
alb.editor |
Удаление L7-балансировщиков | update , delete |
alb.editor |
Получение состояний целевых групп | getTargetStates |
alb.viewer |
Добавление, изменение и удаление обработчиков | addListener , updateListener , removeListener |
alb.editor |
Добавление, изменение и удаление SNI-обработчиков | addSniMatch , updateSniMatch , removeSniMatch |
alb.editor |
Получение сертификатов для обработчиков с TLS-шифрованием | addListener , updateListener |
certificate-manager.certificates.downloader |
Остановка и запуск L7-балансировщика | stop , start |
alb.editor |
Управление HTTP-роутерами | ||
Создание HTTP-роутера | create |
alb.editor |
Изменение HTTP-роутера | update |
alb.editor |
Удаление HTTP-роутера | delete |
alb.editor |
Управление группами бэкендов | ||
Создание и изменение групп бэкендов | create , update , updateBackend |
alb.editor |
Удаление групп бэкендов | delete |
alb.editor |
Добавление ресурсов в группе бэкендов | addBackend |
alb.editor |
Удаление ресурсов в группе бэкендов | removeBackend |
alb.editor |
Управление целевыми группами | ||
Создание и изменение целевых групп в каталоге | create , update |
alb.editor |
Удаление целевых групп | delete |
alb.editor |
Добавление ресурсов в целевой группе | addTargets |
alb.editor |
Удаление ресурсов в целевой группе | removeTargets |
alb.editor |
Управление доступом к ресурсам | ||
Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings , updateAccessBindings , listAccessBindings |
admin на этот ресурс |