Управление доступом Audit Trails
В этом разделе вы узнаете:
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, локальному пользователю, федеративному пользователю, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль audit-trails.admin или одна из следующих ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
На трейл роль можно назначить через Yandex Cloud CLI или API.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
* deprecated
Сервисные роли
audit-trails.auditor
Роль audit-trails.auditor позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.
audit-trails.viewer
Роль audit-trails.viewer позволяет читать аудитные логи, а также просматривать список трейлов и информацию о трейлах, облаке, каталоге и квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.auditor.
audit-trails.editor
Роль audit-trails.editor позволяет управлять трейлами и читать аудитные логи.
Пользователи с этой ролью могут:
- просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
- читать аудитные логи;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.viewer.
audit-trails.admin
Роль audit-trails.admin позволяет управлять трейлами и доступом к ним, а также читать аудитные логи.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к трейлам, а также изменять такие права доступа;
- просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
- читать аудитные логи;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.editor.
audit-trails.configViewer
Роль audit-trails.configViewer позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.
Эта роль недоступна. Используйте роль audit-trails.auditor.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице сопоставлены действия и минимальные необходимые для их выполнения роли. Вы всегда можете назначить роль, которая дает более широкие права, чем указанная в таблице. Например, вместо audit-trails.configViewer можно выдать роль audit-trails.editor.
| Действие | Роль |
|---|---|
| Просмотр информации о трейле | audit-trails.auditor |
| Сбор и просмотр аудитных событий в трейле | audit-trails.viewer |
| Создание трейла | audit-trails.editor |
| Редактирование трейла | audit-trails.editor |
| Удаление трейла | audit-trails.editor |
| Управление ролями других пользователей на трейл | audit-trails.admin |
Что дальше
- Ознакомьтесь со структурой аудитного лога.
- Узнайте, как создать трейл, который загружает логи в нужный объект назначения.