Управление доступом в Application Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, локальному пользователю, федеративному пользователю, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
alb.auditor
Роль alb.auditor позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
alb.viewer
Роль alb.viewer позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
Включает разрешения, предоставляемые ролью alb.auditor.
alb.user
Роль alb.user позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
- просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
- просматривать список целевых групп и информацию о них, а также использовать целевые группы;
- просматривать информацию о квотах сервиса Application Load Balancer.
Роль можно назначить на каталог.
alb.editor
Роль alb.editor позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.privateAdmin и vpc.user.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.
alb.admin
Роль alb.admin позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью alb.editor.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.
Примечание
Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли alb.editor или alb.admin также требуется роль vpc.publicAdmin на сеть, в которой находится балансировщик.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о любом ресурсе | get, list, listOperations |
alb.viewer на этот ресурс |
| Управление L7-балансировщиками | ||
| Создание и изменение L7-балансировщиков с публичным IP-адресом | create |
alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик |
| Создание и изменение L7-балансировщиков без публичного IP-адреса | create |
alb.editor |
| Удаление L7-балансировщиков | update, delete |
alb.editor |
| Получение состояний целевых групп | getTargetStates |
alb.viewer |
| Добавление, изменение и удаление обработчиков | addListener, updateListener, removeListener |
alb.editor |
| Добавление, изменение и удаление SNI-обработчиков | addSniMatch, updateSniMatch, removeSniMatch |
alb.editor |
| Получение сертификатов для обработчиков с TLS-шифрованием | addListener, updateListener |
certificate-manager.certificates.downloader |
| Остановка и запуск L7-балансировщика | stop, start |
alb.editor |
| Управление HTTP-роутерами | ||
| Создание HTTP-роутера | create |
alb.editor |
| Изменение HTTP-роутера | update |
alb.editor |
| Удаление HTTP-роутера | delete |
alb.editor |
| Управление группами бэкендов | ||
| Создание и изменение групп бэкендов | create, update, updateBackend |
alb.editor |
| Удаление групп бэкендов | delete |
alb.editor |
| Добавление ресурсов в группе бэкендов | addBackend |
alb.editor |
| Удаление ресурсов в группе бэкендов | removeBackend |
alb.editor |
| Управление целевыми группами | ||
| Создание и изменение целевых групп в каталоге | create, update |
alb.editor |
| Удаление целевых групп | delete |
alb.editor |
| Добавление ресурсов в целевой группе | addTargets |
alb.editor |
| Удаление ресурсов в целевой группе | removeTargets |
alb.editor |
| Управление доступом к ресурсам | ||
| Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот ресурс |
Примечание
При создании балансировщика с помощью визарда на этапе создания группы бэкендов возможна ошибка обращения к бакету. Чтобы избежать этого, вам нужна роль storage.viewer.