Управление доступом в Data Transfer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Для использования сервиса необходимо авторизоваться в консоли управления с аккаунтом на Яндексе или с федеративным аккаунтом.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin
;resource-manager.admin
;organization-manager.admin
;resource-manager.clouds.owner
;organization-manager.organizations.owner
.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Сервисные роли
data-transfer.auditor
Роль data-transfer.auditor
позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.viewer
Роль data-transfer.viewer
позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.auditor
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.privateAdmin
Роль data-transfer.privateAdmin
позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.viewer
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.admin
Роль data-transfer.admin
позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.privateAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
Примитивные роли
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.
Какие роли необходимы
Чтобы пользоваться сервисом, необходима роль editor
или выше на каталог, в котором создаются проекты. Роль viewer
позволит только просматривать список проектов и содержимое файлов, которые были загружены.
Для создания или редактирования эндпоинта управляемой базы данных вам потребуется сервисная или примитивная роль viewer
, выданная на каталог кластера этой управляемой базы данных.
Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить admin
вместо editor
.