Управление доступом в Compute Cloud

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль compute.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

На какие ресурсы можно назначать ролиНа какие ресурсы можно назначать роли

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Вы также можете назначать роли на отдельные ресурсы сервиса:

Какие роли действуют в сервисеКакие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные ролиСервисные роли

compute.auditorcompute.auditor

Роль compute.auditor позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.

Пользователи с этой ролью могут:

• просматривать список виртуальных машин и информацию о них;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать список групп размещения виртуальных машин и информацию о них;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов и информацию о них;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
• просматривать список дисков и информацию о них;
• просматривать список файловых хранилищ и информацию о них;
• просматривать список групп размещения нереплицируемых дисков и информацию о них;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов и информацию о них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков и информацию о них;
• просматривать информацию о расписаниях создания снимков дисков;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности и информацию о них.

compute.viewercompute.viewer

Роль compute.viewer позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.

Пользователи с этой ролью могут:

• просматривать вывод последовательного порта виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.auditor.

compute.editorcompute.editor

Роль compute.editor позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.

Пользователи с этой ролью могут:

• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать кластеры GPU, а также создавать, изменять и удалять их;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
• создавать зашифрованные диски;
• просматривать и обновлять ссылки на диски;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
• создавать, изменять и удалять семейства образов, обновлять образы в них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
• просматривать информацию об облачных сетях и использовать их;
• просматривать информацию о подсетях и использовать их;
• просматривать информацию об адресах облачных ресурсов и использовать их;
• просматривать информацию о таблицах маршрутизации и использовать их;
• просматривать информацию о группах безопасности и использовать их;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию о доступных платформах и использовать их;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.viewer, compute.osLogin и vpc.user.

compute.admincompute.admin

Роль compute.admin позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.

Пользователи с этой ролью могут:

• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (sudo);
• использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки виртуальных машин, входящих в группы размещения;
• использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
• создавать зашифрованные диски;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать и обновлять ссылки на диски;
• использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать информацию об облачных сетях и использовать их;
• просматривать информацию о подсетях и использовать их;
• просматривать информацию об адресах облачных ресурсов и использовать их;
• просматривать информацию о таблицах маршрутизации и использовать их;
• просматривать информацию о группах безопасности и использовать их;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию о доступных платформах и использовать их;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.editor и compute.osAdminLogin.

compute.osLogincompute.osLogin

Роль compute.osLogin позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.

compute.osAdminLogincompute.osAdminLogin

Роль compute.osAdminLogin позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo).

compute.disks.usercompute.disks.user

Роль compute.disks.user позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.

compute.images.usercompute.images.user

Роль compute.images.user позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.

compute.operatorcompute.operator

Роль compute.operator позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.

Пользователи с этой ролью могут:

• запускать, перезапускать и останавливать виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• запускать и останавливать группы виртуальных машин;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать вывод последовательного порта виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.viewer.

compute.snapshotSchedules.viewercompute.snapshotSchedules.viewer

Роль compute.snapshotSchedules.viewer позволяет просматривать информацию о создании снимков дисков по расписаниям.

Пользователи с этой ролью могут:

• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать списки дисков;
• просматривать списки снимков дисков;
• просматривать список операций со снимками дисков.

compute.snapshotSchedules.editorcompute.snapshotSchedules.editor

Роль compute.snapshotSchedules.editor позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.

Пользователи с этой ролью могут:

• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
• просматривать списки дисков и использовать диски для создания снимков;
• просматривать списки снимков дисков, создавать и удалять снимки;
• просматривать список операций со снимками дисков и информацию об этих операциях.

Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer.

iam.serviceAccounts.useriam.serviceAccounts.user

Роль iam.serviceAccounts.user позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.

Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.

Более подробную информацию о сервисных ролях читайте на странице Роли в документации сервиса Yandex Identity and Access Management.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

• просматривать информацию о ресурсе;
• просматривать метаданные ресурса;
• просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Что дальшеЧто дальше

• Как назначить роль.
• Как отозвать роль.
• Подробнее об управлении доступом в Yandex Cloud.
• Подробнее о наследовании ролей.