Связаться с намиПодключиться

Управление доступом в Compute Cloud

Статья создана
Обновлена 15 ноября 2024 г.

В этом разделе вы узнаете:

Об управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль compute.admin или одна из следующих ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

На какие ресурсы можно назначать роли

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Вы также можете назначать роли на отдельные ресурсы сервиса:

Какие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные роли

compute.auditor

Роль compute.auditor позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.

Пользователи с этой ролью могут:

compute.viewer

Роль compute.viewer позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.

Пользователи с этой ролью могут:
  • просматривать вывод последовательного порта виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп виртуальных машин и информацию о них;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
  • просматривать информацию о доступных платформах;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.auditor.

compute.editor

Роль compute.editor позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.

Пользователи с этой ролью могут:
  • создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
  • создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
  • привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
  • использовать последовательный порт виртуальной машины в режиме чтения и записи;
  • имитировать события обслуживания виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
  • просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
  • использовать кластеры GPU, а также создавать, изменять и удалять их;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
  • создавать зашифрованные диски;
  • просматривать и обновлять ссылки на диски;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
  • создавать, изменять и удалять семейства образов, обновлять образы в них;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
  • просматривать информацию об облачных сетях и использовать их;
  • просматривать информацию о подсетях и использовать их;
  • просматривать информацию об адресах облачных ресурсов и использовать их;
  • просматривать информацию о таблицах маршрутизации и использовать их;
  • просматривать информацию о группах безопасности и использовать их;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
  • просматривать информацию о доступных платформах и использовать их;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.viewer, compute.osLogin и vpc.user.

compute.admin

Роль compute.admin позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.

Пользователи с этой ролью могут:
  • создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
  • создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
  • привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
  • использовать последовательный порт виртуальной машины в режиме чтения и записи;
  • имитировать события обслуживания виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (sudo);
  • использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
  • просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки виртуальных машин, входящих в группы размещения;
  • использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
  • использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
  • создавать зашифрованные диски;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать и обновлять ссылки на диски;
  • использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать информацию об облачных сетях и использовать их;
  • просматривать информацию о подсетях и использовать их;
  • просматривать информацию об адресах облачных ресурсов и использовать их;
  • просматривать информацию о таблицах маршрутизации и использовать их;
  • просматривать информацию о группах безопасности и использовать их;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
  • просматривать информацию о доступных платформах и использовать их;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.editor и compute.osAdminLogin.

compute.osLogin

Роль compute.osLogin позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.

compute.osAdminLogin

Роль compute.osAdminLogin позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo).

compute.disks.user

Роль compute.disks.user позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.

compute.images.user

Роль compute.images.user позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.

compute.operator

Роль compute.operator позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.

Пользователи с этой ролью могут:
  • запускать, перезапускать и останавливать виртуальные машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • запускать и останавливать группы виртуальных машин;
  • просматривать список групп виртуальных машин и информацию о них;
  • просматривать вывод последовательного порта виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
  • просматривать информацию о доступных платформах;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.viewer.

compute.snapshotSchedules.viewer

Роль compute.snapshotSchedules.viewer позволяет просматривать информацию о создании снимков дисков по расписаниям.

Пользователи с этой ролью могут:

compute.snapshotSchedules.editor

Роль compute.snapshotSchedules.editor позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.

Пользователи с этой ролью могут:

  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
  • просматривать списки дисков и использовать диски для создания снимков;
  • просматривать списки снимков дисков, создавать и удалять снимки;
  • просматривать список операций со снимками дисков и информацию об этих операциях.

Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer.

iam.serviceAccounts.user

Роль iam.serviceAccounts.user позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.

Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.

Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

Роль auditor в настоящее время доступна во всех сервисах Yandex Cloud, за исключением:

  • Yandex Data Streams;
  • Yandex Query.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Что дальше

Предыдущая
Квоты и лимиты
Следующая
Действующие правила