Управление доступом в Data Transfer

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе;
• какие роли необходимы для того или иного действия.

Для использования сервиса необходимо авторизоваться в консоли управления с аккаунтом на Яндексе или с федеративным аккаунтом.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

На какие ресурсы можно назначить рольНа какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисеКакие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные ролиСервисные роли

data-transfer.auditordata-transfer.auditor

Роль data-transfer.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.viewerdata-transfer.viewer

Роль data-transfer.viewer позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.auditor.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.privateAdmindata-transfer.privateAdmin

Роль data-transfer.privateAdmin позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

• просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
• просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.viewer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.admindata-transfer.admin

Роль data-transfer.admin позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

• просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
• просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.privateAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

Примитивные ролиПримитивные роли

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Какие роли необходимыКакие роли необходимы

Чтобы пользоваться сервисом, необходима роль editor или выше на каталог, в котором создаются ресурсы Data Transfer. Роль viewer позволит только просматривать список проектов и содержимое файлов, которые были загружены.

Если вы создаете эндпоинт управляемой базы данных для кластера, который находится в другом каталоге, вам потребуется сервисная или примитивная роль viewer, выданная на этот каталог.

Если вы создаете эндпоинт управляемой базы данных для стороннего кластера с доступом через интернет, вам потребуется примитивная роль admin или сервисная роль data-transfer.admin на каталог, в котором создается эндпоинт.

Вы всегда можете назначить роль, которая дает более широкие разрешения (например admin вместо editor) или назначить роли, которые разрешают только отдельные действия. Подробнее о том, какие роли нужны для совершения конкретных действий с ресурсами Data Transfer, см. в таблице:

Действие	Необходимые роли
Получить мета-данные о трансферах и эндпоинтах	data-transfer.viewer
Получить информацию о квотах сервиса Data Transfer	data-transfer.viewer
Получить информацию о трансферах и эндпоинтах	data-transfer.viewer
Создать эндпоинт в Yandex Cloud	data-transfer.editor
Изменить эндпоинт в Yandex Cloud	data-transfer.editor
Удалить эндпоинт в Yandex Cloud	data-transfer.editor
Создать трансфер с передачей данных в Yandex Cloud	data-transfer.privateAdmin
Изменить трансфер с передачей данных в Yandex Cloud	data-transfer.privateAdmin
Активировать трансфер с передачей данных в Yandex Cloud	data-transfer.privateAdmin
Деактивировать трансфер с передачей данных в Yandex Cloud	data-transfer.privateAdmin
Удалить трансфер с передачей данных в Yandex Cloud	data-transfer.editor
Создать эндпоинт в Yandex Cloud или за его пределами	data-transfer.editor
Изменить эндпоинт в Yandex Cloud или за его пределами	data-transfer.editor
Удалить эндпоинт в Yandex Cloud или за его пределами	data-transfer.editor
Создать трансфер с передачей данных в Yandex Cloud или через интернет	data-transfer.admin
Изменить трансфер с передачей данных в Yandex Cloud или через интернет	data-transfer.admin
Активировать трансфер с передачей данных в Yandex Cloud или через интернет	data-transfer.admin
Деактивировать трансфер с передачей данных в Yandex Cloud или через интернет	data-transfer.admin
Удалить трансфер с передачей данных в Yandex Cloud или через интернет	data-transfer.editor

Что дальшеЧто дальше

• Как назначить роль.
• Как отозвать роль.
• Подробнее об управлении доступом в Yandex Cloud.
• Подробнее о наследовании ролей.