Управление доступом в сервисе Yandex Cloud Billing
Доступ к платежному аккаунту
Доступ к платежному аккаунту можно предоставить через интерфейс сервиса Yandex Cloud Billing или Yandex Cloud API. Платежный аккаунт могут создавать пользователи с зарегистрированным аккаунтом на Яндексе или в Яндекс 360:
- Если у вас или вашего сотрудника еще нет аккаунта, создайте его на Яндексе или в Яндекс 360.
- Если для авторизации на Яндексе вы используете профиль в социальной сети, заведите логин и пароль.
Операции, которые пользователь может выполнять над платежным аккаунтом, определяются назначенной ему ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе.
Примечание
Доступ может быть предоставлен только пользователю, к платежному аккаунту которого привязано любое облако в сервисе Identity and Access Management.
Какие роли действуют в сервисе
Сервисные роли
billing.accounts.owner
Роль billing.accounts.owner автоматически выдается при создании платежного аккаунта. Роль, выданную при создании, нельзя отозвать, но можно выдать такую же роль другим пользователям и отозвать ее у них.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- пополнять лицевой счет с помощью банковской карты;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- изменять контакты плательщика;
- изменять платежные реквизиты;
- изменять банковскую карту;
- изменять способ оплаты;
- активировать промокоды;
- активировать пробный период;
- активировать платную версию;
- удалять платежные аккаунты.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- обновлять данные записей о сабаккаунтах;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- удалять сабаккаунты (до подтверждения клиентом);
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.accounts.admin.
billing.accounts.viewer
Роль billing.accounts.viewer назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать список и данные сабаккаунтов;
- просматривать потребление сервисов клиентами;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок.
billing.accounts.accountant
Роль billing.accounts.accountant назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- пополнять лицевой счет с помощью расчетного счета.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать список и данные сабаккаунтов;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок.
Включает разрешения, предоставляемые ролью billing.accounts.viewer.
billing.accounts.editor
Роль billing.accounts.editor назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.accounts.viewer.
billing.accounts.admin
Роль billing.accounts.admin назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner).
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа (за исключением назначения и отзыва роли
billing.accounts.owner); - просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролями billing.accounts.editor и billing.partners.editor.
billing.accounts.member
Роль billing.accounts.member автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.
billing.accounts.varWithoutDiscounts
Роль billing.accounts.varWithoutDiscounts назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.partners.editor.
billing.partners.editor
Роль billing.partners.editor назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.
Примитивные роли
Примитивные роли — роли агрегаторы, определяющие разрешения пользователя для доступа к сервисам. В Yandex Cloud Billing эти роли соответствуют ролям billing.accounts.*:
auditor— аналогична ролиbilling.accounts.viewerс ограничениями.viewer— аналогична ролиbilling.accounts.viewer.editor— аналогична ролиbilling.accounts.editor.admin— аналогична ролиbilling.accounts.admin.
Примитивные роли могут назначаться только пользователям, добавленным в список Пользователи.
Доступные операции
Список доступных операций для ролей каждого типа представлен в таблице ниже.
| Операции | owner |
viewer |
accountant |
editor |
admin |
|---|---|---|---|---|---|
| Показ платежного аккаунта в списке всех аккаунтов | |||||
| Просмотр данных платежного аккаунта | |||||
| Просмотр и получение уведомлений о потреблении | |||||
| Просмотр и скачивание отчетных (закрывающих) документов | |||||
| Просмотр и скачивание уже сгенерированных актов сверки | |||||
| Проверка расходов | |||||
| Доступ к детализации | |||||
| Пополнение лицевого счета с помощью расчетного счета | |||||
| Генерация нового акта сверки | |||||
| Активация промокодов | |||||
| Привязка облаков к платежному аккаунту | |||||
| Создание экспорта детализации | |||||
| Создание бюджета | |||||
| Резервирование ресурсов | |||||
| Переименование платежного аккаунта | |||||
| Выдача ролей на платежный аккаунт | |||||
| Просмотр и редактирование ролей | |||||
| Изменение контактов плательщика | |||||
| Изменение платежных реквизитов | |||||
| Изменение банковской карты | |||||
| Изменение способа оплаты | |||||
| Активация пробного периода | |||||
| Активация платной версии | |||||
| Пополнение лицевого счета с помощью банковской карты |
Добавление пользователя
Процесс добавления новых пользователей платежного аккаунта зависит от того, привязан ли платежный аккаунт к организации.
Назначьте нужную роль на платежный аккаунт любому пользователю или сервисному аккаунту в вашей организации.
Примечание
Чтобы добавить нового пользователя платежного аккаунта, нужна роль billing.accounts.owner или billing.accounts.admin.
-
Перейдите в сервис Yandex Cloud Billing.
- Выберите платежный аккаунт.
- Перейдите на страницу Управление доступом.
- Справа сверху нажмите кнопку Добавить пользователя.
- Выберите пользователя из выпадающего списка. В списке отображаются пользователи, облака которых привязаны к вашему платежному аккаунту.
- Нажмите кнопку Добавить.
Пользователь или сервисный аккаунт получит роль billing.accounts.member и будет добавлен в список Пользователи. Чтобы разрешить доступ к платежному аккаунту, назначьте нужную роль.
Назначение роли
Процесс назначения роли на платежный аккаунт зависит от того, привязан платежный аккаунт к организации или нет.
Пользователь, которому назначена роль billing.accounts.admin, может предоставить доступ к платежному аккаунту любому пользователю или сервисному аккаунту, относящемуся к той же организации, что и платежный аккаунт. Для этого:
-
Убедитесь, что в вашей организации есть нужный пользователь. Если нет, добавьте его.
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
Справа сверху нажмите кнопку Назначить роли. В открывшемся окне:
- Выберите пользователя, сервисный аккаунт или группу пользователей. При необходимости воспользуйтесь строкой поиска.
- Нажмите кнопку Добавить роль и выберите нужную роль.
- Нажмите кнопку Сохранить.
Примечание
Если назначить сервисную роль Yandex Cloud Billing на организацию, то она будет выдана и на все платежные аккаунты в этой организации.
Пользователь, которому назначена роль billing.accounts.admin, может предоставить доступ к платежному аккаунту любому пользователю или сервисному аккаунту, добавленному в список Пользователи. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите кнопку Добавить роль.
- Выберите необходимую роль из списка.
- Нажмите кнопку Сохранить.
Назначенная роль будет предоставлена бессрочно.
Отзыв роли
Процесс отзыва роли на платежный аккаунт зависит от того, привязан ли платежный аккаунт к организации.
В любой момент пользователь, которому выдана роль billing.accounts.admin, может отозвать у пользователя или сервисного аккаунта в своей организации роль на платежный аккаунт. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите значок справа от роли, которую необходимо отозвать.
- Нажмите кнопку Сохранить. Роль будет отозвана.
В любой момент пользователь, которому выдана роль billing.accounts.admin, может отозвать роль на платежный аккаунт у пользователя или сервисного аккаунта из списка. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
-
Выберите платежный аккаунт.
-
На панели слева выберите Управление доступом.
-
В списке пользователей найдите нужного пользователя, сервисный аккаунт или группу пользователей, либо воспользуйтесь фильтром.
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите значок и выберите Изменить роли. В открывшемся окне:
- Нажмите значок справа от роли, которую необходимо отозвать.
- Нажмите кнопку Сохранить. Роль будет отозвана.
Примечание
Доступ к платежному аккаунту станет невозможным, если у пользователя отозвать роль billing.accounts.member.
Удаление пользователя
Удаление пользователей возможно лишь в платежных аккаунтах, которые не привязаны к организации. Для этого:
-
Перейдите в сервис Yandex Cloud Billing.
- Выберите платежный аккаунт.
- Найдите пользователя или сервисный аккаунт в списке.
- В строке с нужным пользователем или сервисным аккаунтом нажмите значок и выберите Удалить пользователя.
- Пользователь будет удален из списка пользователей этого платежного аккаунта.
Если платежный аккаунт привязан к организации, просто отзовите нужную роль у пользователя или сервисного аккаунта. Вы можете исключить пользователя из организации, чтобы закрыть для него доступ ко всем облакам и ресурсам в ней.