Управление доступом в сервисе Yandex Cloud Billing
Доступ к платежному аккаунту
Доступ к платежному аккаунту можно предоставить через интерфейс сервиса Yandex Cloud Billing или Yandex Cloud API. Платежный аккаунт могут создавать пользователи с зарегистрированным аккаунтом на Яндексе или в Яндекс 360:
- Если у вас или вашего сотрудника еще нет аккаунта, создайте его на Яндексе или в Яндекс 360.
- Если для авторизации на Яндексе вы используете профиль в социальной сети, заведите логин и пароль.
Операции, которые пользователь может выполнять над платежным аккаунтом, определяются назначенной ему ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным или локальным пользователям, группе пользователей, системной группе или публичной группе.
Примечание
Доступ может быть предоставлен только пользователю, к платежному аккаунту которого привязано любое облако в сервисе Identity and Access Management.
Какие роли действуют в сервисе
Сервисные роли
billing.accounts.member
Роль billing.accounts.member автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.
billing.accounts.viewer
Роль billing.accounts.viewer назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать присвоенные специализации;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок.
billing.accounts.accountant
Роль billing.accounts.accountant назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- пополнять лицевой счет с помощью расчетного счета.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать присвоенные специализации;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- просматривать историю начисления рибейта.
Включает разрешения, предоставляемые ролью billing.accounts.viewer.
billing.partners.editor
Роль billing.partners.editor назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.
billing.accounts.editor
Роль billing.accounts.editor назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать коммерческие предложения;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать историю начисления рибейта;
- просматривать присвоенные специализации;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки;
- привязывать облака к сабаккаунтам.
Включает разрешения, предоставляемые ролью billing.accounts.viewer.
billing.accounts.varWithoutDiscounts
Роль billing.accounts.varWithoutDiscounts назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки;
- просматривать потребление сервисов клиентами.
Включает разрешения, предоставляемые ролью billing.partners.editor.
billing.accounts.admin
Роль billing.accounts.admin назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner).
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать коммерческие предложения;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа (за исключением назначения и отзыва роли
billing.accounts.owner); - подключать, отключать, изменять тарифный план технической поддержки, а также изменять платежный аккаунт, с которого будет списываться плата по тарифу;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов, включая персональные данные;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки;
- просматривать список партнерских премий и информацию о них.
Включает разрешения, предоставляемые ролями billing.accounts.editor, billing.accounts.partnerAdmin и billing.partners.editor.
billing.accounts.owner
Роль billing.accounts.owner автоматически выдается при создании платежного аккаунта. Любой пользователь с ролью billing.accounts.owner может отозвать эту роль у создателя платежного аккаунта и изменить владельца.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать коммерческие предложения;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа;
- подключать, отключать, изменять тарифный план технической поддержки, а также изменять платежный аккаунт, с которого будет списываться плата по тарифу;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- пополнять лицевой счет с помощью банковской карты;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- изменять контакты плательщика;
- изменять платежные реквизиты;
- изменять банковскую карту;
- изменять способ оплаты;
- активировать промокоды;
- активировать пробный период;
- активировать платную версию;
- удалять платежные аккаунты.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов, в т.ч. персональные данные;
- обновлять данные записей о сабаккаунтах;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- удалять сабаккаунты (до подтверждения клиентом);
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки;
- просматривать список партнерских премий и информацию о них.
Включает разрешения, предоставляемые ролями billing.accounts.admin и billing.accounts.varWithoutDiscounts.
Примитивные роли
Примитивные роли — роли агрегаторы, определяющие разрешения пользователя для доступа к сервисам. В Yandex Cloud Billing эти роли соответствуют ролям billing.accounts.*:
auditor— аналогична ролиbilling.accounts.viewerс ограничениями.viewer— аналогична ролиbilling.accounts.viewer.editor— аналогична ролиbilling.accounts.editor.admin— аналогична ролиbilling.accounts.admin.
Примитивные роли могут назначаться только пользователям, добавленным в список Пользователи.
Доступные операции
Список доступных операций для ролей каждого типа представлен в таблице ниже.
| Операции | owner |
viewer |
accountant |
editor |
admin |
|---|---|---|---|---|---|
| Показ платежного аккаунта в списке всех аккаунтов | |||||
| Просмотр данных платежного аккаунта | |||||
| Просмотр и получение уведомлений о потреблении | |||||
| Просмотр и скачивание отчетных (закрывающих) документов | |||||
| Просмотр и скачивание уже сгенерированных актов сверки | |||||
| Проверка расходов | |||||
| Доступ к детализации | |||||
| Пополнение лицевого счета с помощью расчетного счета | |||||
| Генерация нового акта сверки | |||||
| Активация промокодов | |||||
| Привязка облачной организации и других сущностей к платежному аккаунту | |||||
| Связь с облачной организацией | |||||
| Создание экспорта детализации | |||||
| Создание бюджета | |||||
| Резервирование ресурсов | |||||
| Переименование платежного аккаунта | |||||
| Просматривать коммерческие предложения | |||||
| Выдача ролей на платежный аккаунт | |||||
| Просмотр и редактирование ролей | |||||
| Управление тарифом технической поддержки | |||||
| Изменение контактов плательщика | |||||
| Изменение платежных реквизитов | |||||
| Изменение банковской карты | |||||
| Изменение способа оплаты | |||||
| Активация платной версии | |||||
| Пополнение лицевого счета с помощью банковской карты | |||||
| Принимать коммерческие предложения |
Добавление пользователя
Процесс добавления новых пользователей платежного аккаунта зависит от того, привязан ли платежный аккаунт к организации.
Назначьте нужную роль на платежный аккаунт любому пользователю или сервисному аккаунту в вашей организации.
Примечание
Чтобы добавить нового пользователя платежного аккаунта, нужна роль billing.accounts.owner или billing.accounts.admin.
-
Перейдите в сервис Yandex Cloud Billing.
- Выберите платежный аккаунт.
- Перейдите на страницу Управление доступом.
- Справа сверху нажмите кнопку Добавить пользователя.
- Выберите пользователя из выпадающего списка. В списке отображаются пользователи, облака которых привязаны к вашему платежному аккаунту.
- Нажмите кнопку Добавить.
Пользователь или сервисный аккаунт получит роль billing.accounts.member и будет добавлен в список Пользователи. Чтобы разрешить доступ к платежному аккаунту, назначьте нужную роль.
Назначение роли
Процесс назначения роли на платежный аккаунт зависит от того, привязан платежный аккаунт к организации или нет.
Пользователь, которому назначена роль billing.accounts.admin, может предоставить доступ к платежному аккаунту любому пользователю или сервисному аккаунту, относящемуся к той же организации, что и платежный аккаунт. Для этого:
-
Убедитесь, что в вашей организации есть нужный пользователь. Если нет, добавьте его.
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
Справа сверху нажмите кнопку Назначить роли. В открывшемся окне:
- Выберите пользователя, сервисный аккаунт или группу пользователей. При необходимости воспользуйтесь строкой поиска.
- Нажмите кнопку Добавить роль и выберите нужную роль.
- Нажмите кнопку Сохранить.
Примечание
Если назначить сервисную роль Yandex Cloud Billing на организацию, то она будет выдана и на все платежные аккаунты в этой организации.
Пользователь, которому назначена роль billing.accounts.admin, может предоставить доступ к платежному аккаунту любому пользователю или сервисному аккаунту, добавленному в список Пользователи. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите кнопку Добавить роль.
- Выберите необходимую роль из списка.
- Нажмите кнопку Сохранить.
Назначенная роль будет предоставлена бессрочно.
Отзыв роли
Процесс отзыва роли на платежный аккаунт зависит от того, привязан ли платежный аккаунт к организации.
В любой момент пользователь, которому выдана роль billing.accounts.admin, может отозвать у пользователя или сервисного аккаунта в своей организации роль на платежный аккаунт. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите значок справа от роли, которую необходимо отозвать.
- Нажмите кнопку Сохранить. Роль будет отозвана.
В любой момент пользователь, которому выдана роль billing.accounts.admin, может отозвать роль на платежный аккаунт у пользователя или сервисного аккаунта из списка. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите значок справа от роли, которую необходимо отозвать.
- Нажмите кнопку Сохранить. Роль будет отозвана.
Примечание
Доступ к платежному аккаунту станет невозможным, если у пользователя отозвать роль billing.accounts.member.
Удаление пользователя платежного аккаунта
Удаление пользователей возможно лишь в платежных аккаунтах, которые не привязаны к организации. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом и в открывшемся списке найдите нужного пользователя или сервисный аккаунт.
При необходимости воспользуйтесь фильтром в верхней части экрана.
-
В строке с нужным пользователем или сервисным аккаунтом нажмите значок и выберите Удалить пользователя.
-
Пользователь будет удален из списка пользователей этого платежного аккаунта.
Если платежный аккаунт привязан к организации, просто отзовите нужную роль у пользователя или сервисного аккаунта. Также вы можете удалить пользователя из организации, чтобы закрыть для него доступ ко всем облакам и ресурсам в ней.
Кроме того, федеративного и локального пользователя вы можете деактивировать. В результате пользователь потеряет доступ к ресурсам организации до тех пор, пока вы вновь не активируете его.