Управление доступом в Application Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
alb.auditor
Роль alb.auditor позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
alb.viewer
Роль alb.viewer позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
Включает разрешения, предоставляемые ролью alb.auditor.
alb.user
Роль alb.user позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
- просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
- просматривать список целевых групп и информацию о них, а также использовать целевые группы;
- просматривать информацию о квотах сервиса Application Load Balancer.
Роль можно назначить на каталог.
alb.editor
Роль alb.editor позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.privateAdmin и vpc.user.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.
alb.admin
Роль alb.admin позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью alb.editor.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.
Примечание
Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли alb.editor или alb.admin также требуется роль vpc.publicAdmin на сеть, в которой находится балансировщик.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о любом ресурсе | get, list, listOperations |
alb.viewer на этот ресурс |
| Управление L7-балансировщиками | ||
| Создание и изменение L7-балансировщиков с публичным IP-адресом | create |
alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик |
| Создание и изменение L7-балансировщиков без публичного IP-адреса | create |
alb.editor |
| Удаление L7-балансировщиков | update, delete |
alb.editor |
| Получение состояний целевых групп | getTargetStates |
alb.viewer |
| Добавление, изменение и удаление обработчиков | addListener, updateListener, removeListener |
alb.editor |
| Добавление, изменение и удаление SNI-обработчиков | addSniMatch, updateSniMatch, removeSniMatch |
alb.editor |
| Получение сертификатов для обработчиков с TLS-шифрованием | addListener, updateListener |
certificate-manager.certificates.downloader |
| Остановка и запуск L7-балансировщика | stop, start |
alb.editor |
| Управление HTTP-роутерами | ||
| Создание HTTP-роутера | create |
alb.editor |
| Изменение HTTP-роутера | update |
alb.editor |
| Удаление HTTP-роутера | delete |
alb.editor |
| Управление группами бэкендов | ||
| Создание и изменение групп бэкендов | create, update, updateBackend |
alb.editor |
| Удаление групп бэкендов | delete |
alb.editor |
| Добавление ресурсов в группе бэкендов | addBackend |
alb.editor |
| Удаление ресурсов в группе бэкендов | removeBackend |
alb.editor |
| Управление целевыми группами | ||
| Создание и изменение целевых групп в каталоге | create, update |
alb.editor |
| Удаление целевых групп | delete |
alb.editor |
| Добавление ресурсов в целевой группе | addTargets |
alb.editor |
| Удаление ресурсов в целевой группе | removeTargets |
alb.editor |
| Управление доступом к ресурсам | ||
| Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот ресурс |