Управление доступом в Yandex Data Processing

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Yandex Data Processing (кластерам или подкластерам), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль mdb.admin, dataproc.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

Назначение ролейНазначение ролей

Чтобы назначить пользователю роль:

1. При необходимости добавьте нужного пользователя.
2. В консоли управления слева выберите облако.
3. Перейдите на вкладку Права доступа.
4. Нажмите кнопку Настроить доступ.
5. В открывшемся окне выберите раздел Пользовательские аккаунты.
6. Выберите пользователя из списка или воспользуйтесь поиском.
7. Нажмите кнопку Добавить роль и выберите роль в облаке.
8. Нажмите кнопку Сохранить.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Yandex Data Processing.

Сервисные ролиСервисные роли

dataproc.agentdataproc.agent

Роль dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Processing, сообщать сервису о состоянии хостов кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Processing.

Сервисные аккаунты с этой ролью могут:

• сообщать сервису Yandex Data Processing о состоянии хостов кластера;
• получать информацию о заданиях и статусах их выполнения;
• получать информацию о лог-группах и добавлять в них записи.

Сейчас эту роль можно назначить только на каталог или облако.

dataproc.auditordataproc.auditor

Роль dataproc.auditor позволяет просматривать информацию о кластерах Yandex Data Processing.

dataproc.viewerdataproc.viewer

Роль dataproc.viewer позволяет просматривать информацию о кластерах Yandex Data Processing и заданиях.

dataproc.userdataproc.user

Роль dataproc.user предоставляет доступ к веб-интерфейсам компонентов Yandex Data Processing и позволяет создавать задания, а также позволяет просматривать информацию о кластерах управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Processing и заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями dataproc.viewer и mdb.viewer.

dataproc.provisionerdataproc.provisioner

Роль dataproc.provisioner предоставляет доступ к API для создания, изменения и удаления объектов кластеров Yandex Data Processing.

Пользователи с этой ролью могут:

• просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
• просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
• создавать вложенные публичные DNS-зоны;
• просматривать информацию о назначенных правах доступа к DNS-зонам;
• просматривать информацию о доступных платформах и использовать их;
• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать кластеры GPU, а также создавать, изменять и удалять их;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
• создавать зашифрованные диски;
• просматривать и обновлять ссылки на диски;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
• создавать, изменять и удалять семейства образов, обновлять образы в них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о метриках Monitoring и их метках, а также выгружать метрики;
• просматривать список дашбордов и виджетов Monitoring, а также информацию о них;
• просматривать историю уведомлений Monitoring;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать информацию о квотах сервисов Cloud DNS,
  Virtual Private Cloud, и Monitoring;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями iam.serviceAccounts.user, dns.editor, compute.editor, monitoring.viewer и logging.viewer.

dataproc.editordataproc.editor

Роль dataproc.editor позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Processing, а также создавать, изменять, запускать останавливать и удалять такие кластеры;
• просматривать информацию о заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dataproc.user.

dataproc.admindataproc.admin

Роль dataproc.admin позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Processing, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
• просматривать информацию о заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dataproc.editor.

mdb.auditormdb.auditor

Роль mdb.auditor предоставляет минимально необходимые разрешения для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).

Пользователи с этой ролью могут просматривать информацию о кластерах управляемых баз данных, квотах и каталогах.

Включает разрешения, предоставляемые ролями managed-opensearch.auditor, managed-kafka.auditor, managed-mysql.auditor, managed-sqlserver.auditor, managed-postgresql.auditor, managed-greenplum.auditor, managed-clickhouse.auditor, managed-redis.auditor и managed-mongodb.auditor.

mdb.viewermdb.viewer

Роль mdb.viewer предоставляет доступ к чтению информации из кластеров управляемых баз данных и к логам работы кластеров.

Пользователи с этой ролью могут читать информацию из баз данных и просматривать логи кластеров управляемых баз данных, а также просматривать информацию о кластерах, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.auditor, managed-opensearch.viewer, managed-kafka.viewer, managed-mysql.viewer, managed-sqlserver.viewer, managed-postgresql.viewer, managed-greenplum.viewer, managed-clickhouse.viewer, managed-redis.viewer, managed-mongodb.viewer и dataproc.viewer.

mdb.adminmdb.admin

Роль mdb.admin предоставляет полный доступ к кластерам управляемых баз данных.

Пользователи с этой ролью могут могут создавать, изменять, удалять, запускать и останавливать кластеры управляемых баз данных, управлять доступом к кластерам, читать и сохранять информацию в базах данных, а также просматривать информацию о кластерах, логах их работы, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.viewer, vpc.user, managed-opensearch.admin, managed-kafka.admin, managed-mysql.admin, managed-sqlserver.admin, managed-postgresql.admin, managed-greenplum.admin, managed-clickhouse.admin, managed-redis.admin, managed-mongodb.admin и dataproc.admin.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

• просматривать информацию о ресурсе;
• просматривать метаданные ресурса;
• просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.