Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Application Load Balancer
  • Начало работы
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • Логи L7-балансировщика
  • История изменений
  • Обучающие курсы

В этой статье:

  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • Сервисные роли
  • Примитивные роли
  • Какие роли мне необходимы

Управление доступом в Application Load Balancer

Статья создана
Yandex Cloud
Улучшена
Dmitry A.
Обновлена 1 апреля 2025 г.
  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
    • Сервисные роли
    • Примитивные роли
  • Какие роли мне необходимы

В этом разделе вы узнаете:

  • на какие ресурсы можно назначить роль;
  • какие роли действуют в сервисе;
  • какие роли необходимы для того или иного действия.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

На какие ресурсы можно назначить рольНа какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисеКакие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные ролиСервисные роли

alb.auditoralb.auditor

Роль alb.auditor позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

  • просматривать список L7-балансировщиков и информацию о них;
  • просматривать список HTTP-роутеров и информацию о них;
  • просматривать список виртуальных хостов и информацию о них;
  • просматривать список групп бэкендов и информацию о них;
  • просматривать список целевых групп и информацию о них;
  • просматривать информацию о квотах сервиса Application Load Balancer.

alb.vieweralb.viewer

Роль alb.viewer позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать список L7-балансировщиков и информацию о них;
  • просматривать список HTTP-роутеров и информацию о них;
  • просматривать список виртуальных хостов и информацию о них;
  • просматривать список групп бэкендов и информацию о них;
  • просматривать список целевых групп и информацию о них;
  • просматривать информацию о квотах сервиса Application Load Balancer.

Включает разрешения, предоставляемые ролью alb.auditor.

alb.useralb.user

Роль alb.user позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

  • просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
  • просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них;
  • просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
  • просматривать список целевых групп и информацию о них, а также использовать целевые группы;
  • просматривать информацию о квотах сервиса Application Load Balancer.

Роль можно назначить на каталог.

alb.editoralb.editor

Роль alb.editor позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:
  • просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
  • просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
  • просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
  • просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролями load-balancer.privateAdmin и vpc.user.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

alb.adminalb.admin

Роль alb.admin позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.

Пользователи с этой ролью могут:
  • просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
  • просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
  • просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
  • просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью alb.editor.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

Примечание

Чтобы к новому или существующему L7-балансировщику можно было подключить публичный IP-адрес, помимо роли alb.editor или alb.admin также требуется роль vpc.publicAdmin на сеть, в которой находится балансировщик.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Какие роли мне необходимыКакие роли мне необходимы

В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.

Действие Методы Необходимые роли
Просмотр информации
Просмотр информации о любом ресурсе get, list, listOperations alb.viewer на этот ресурс
Управление L7-балансировщиками
Создание и изменение L7-балансировщиков с публичным IP-адресом create alb.editor и vpc.publicAdmin на сеть, в которой находится балансировщик
Создание и изменение L7-балансировщиков без публичного IP-адреса create alb.editor
Удаление L7-балансировщиков update, delete alb.editor
Получение состояний целевых групп getTargetStates alb.viewer
Добавление, изменение и удаление обработчиков addListener, updateListener, removeListener alb.editor
Добавление, изменение и удаление SNI-обработчиков addSniMatch, updateSniMatch, removeSniMatch alb.editor
Получение сертификатов для обработчиков с TLS-шифрованием addListener, updateListener certificate-manager.certificates.downloader
Остановка и запуск L7-балансировщика stop, start alb.editor
Управление HTTP-роутерами
Создание HTTP-роутера create alb.editor
Изменение HTTP-роутера update alb.editor
Удаление HTTP-роутера delete alb.editor
Управление группами бэкендов
Создание и изменение групп бэкендов create, update, updateBackend alb.editor
Удаление групп бэкендов delete alb.editor
Добавление ресурсов в группе бэкендов addBackend alb.editor
Удаление ресурсов в группе бэкендов removeBackend alb.editor
Управление целевыми группами
Создание и изменение целевых групп в каталоге create, update alb.editor
Удаление целевых групп delete alb.editor
Добавление ресурсов в целевой группе addTargets alb.editor
Удаление ресурсов в целевой группе removeTargets alb.editor
Управление доступом к ресурсам
Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс setAccessBindings, updateAccessBindings, listAccessBindings admin на этот ресурс

Что дальшеЧто дальше

  • Как назначить роль.
  • Как отозвать роль.
  • Подробнее об управлении доступом в Yandex Cloud.
  • Подробнее о наследовании ролей.

Была ли статья полезна?

Предыдущая
Создание и изменение ресурсов по конфигурации
Следующая
Правила тарификации
Проект Яндекса
© 2025 ООО «Яндекс.Облако»