Управление доступом в Cloud Backup

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль backup.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

На какие ресурсы можно назначить рольНа какие ресурсы можно назначить роль

В консоли Yandex Cloud или с помощью CLI вы можете назначить роль на облако или каталог. Назначенные роли будут действовать и на вложенные ресурсы.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Сервисные ролиСервисные роли

backup.viewerbackup.viewer

Роль backup.viewer позволяет просматривать информацию о виртуальных машинах и серверах BareMetal, подключенных к сервису Cloud Backup, о политиках резервного копирования и резервных копиях, а также о квотах сервиса, облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о подключенных провайдерах резервного копирования;
• просматривать информацию о назначенных правах доступа к политикам резервного копирования;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
• просматривать информацию о подключенных к сервису виртуальных машинах и серверах BareMetal;
• просматривать информацию о резервных копиях;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Назначить роль backup.viewer может пользователь с ролью admin в облаке или backup.admin в каталоге.

Сервис BareMetal находится на стадии Preview.

backup.editorbackup.editor

Роль backup.editor позволяет управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, управлять политиками резервного копирования, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.

Пользователи с этой ролью могут:

• просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
• создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
• просматривать информацию о назначенных правах доступа к политикам резервного копирования;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
• просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
• просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.viewer.

Назначить роль backup.editor может пользователь с ролью admin в облаке или backup.admin в каталоге.

backup.adminbackup.admin

Роль backup.admin позволяет управлять политиками резервного копирования и доступом к ним, управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к политикам резервного копирования и изменять такие права доступа;
• просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
• создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
• просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
• просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.editor.

Назначить роль backup.admin может пользователь с ролью admin в облаке.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

• просматривать информацию о ресурсе;
• просматривать метаданные ресурса;
• просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.