Управление доступом в Compute Cloud
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль compute.admin
или одна из следующих ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
На какие ресурсы можно назначать роли
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Вы также можете назначать роли на отдельные ресурсы сервиса:
Через консоль управления
Через Yandex Cloud CLI вы можете назначить роли на следующие ресурсы:
Через Terraform
Через API Yandex Cloud вы можете назначить роли на следующие ресурсы:
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
compute.auditor
Роль compute.auditor
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.
Пользователи с этой ролью могут:
- просматривать список виртуальных машин и информацию о них;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин и информацию о них;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов и информацию о них;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
- просматривать список дисков и информацию о них;
- просматривать список файловых хранилищ и информацию о них;
- просматривать список групп размещения нереплицируемых дисков и информацию о них;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов и информацию о них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков и информацию о них;
- просматривать информацию о расписаниях создания снимков дисков;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности и информацию о них.
compute.viewer
Роль compute.viewer
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.
Пользователи с этой ролью могут:
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролью compute.auditor
.
compute.editor
Роль compute.editor
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.
Пользователи с этой ролью могут:
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
- просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать кластеры GPU, а также создавать, изменять и удалять их;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
- создавать зашифрованные диски;
- просматривать и обновлять ссылки на диски;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
- создавать, изменять и удалять семейства образов, обновлять образы в них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.viewer
, compute.osLogin
и vpc.user
.
compute.admin
Роль compute.admin
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.
Пользователи с этой ролью могут:
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (
sudo
); - использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
- просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки виртуальных машин, входящих в группы размещения;
- использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
- создавать зашифрованные диски;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать и обновлять ссылки на диски;
- использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.editor
и compute.osAdminLogin
.
compute.osLogin
Роль compute.osLogin
позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.
compute.osAdminLogin
Роль compute.osAdminLogin
позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo
).
compute.disks.user
Роль compute.disks.user
позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.
compute.images.user
Роль compute.images.user
позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.
compute.operator
Роль compute.operator
позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.
Пользователи с этой ролью могут:
- запускать, перезапускать и останавливать виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- запускать и останавливать группы виртуальных машин;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролью compute.viewer
.
compute.snapshotSchedules.viewer
Роль compute.snapshotSchedules.viewer
позволяет просматривать информацию о создании снимков дисков по расписаниям.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать списки дисков;
- просматривать списки снимков дисков;
- просматривать список операций со снимками дисков.
compute.snapshotSchedules.editor
Роль compute.snapshotSchedules.editor
позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
- просматривать списки дисков и использовать диски для создания снимков;
- просматривать списки снимков дисков, создавать и удалять снимки;
- просматривать список операций со снимками дисков и информацию об этих операциях.
Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer
.
iam.serviceAccounts.user
Роль iam.serviceAccounts.user
позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.
Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.
Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor
предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor
— наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.