Связаться с намиПодключиться

Управление доступом в DataSphere

Статья создана
Обновлена 1 апреля 2025 г.

Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.

Список операций, доступных пользователю DataSphere, определяется его ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.

На какие ресурсы можно назначить роль

Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсу для всех пользователей сообщества, опубликовав его в сообществе. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.

Как назначить роль

Вы можете назначить роль пользователю в интерфейсе DataSphere:

Также вы можете назначить права доступа через интерфейс Cloud Organization в Cloud Center, с помощью Terraform и API Yandex Cloud.

Какие роли действуют в сервисе

Сервисные роли

datasphere.community-projects.viewer

Роль datasphere.community-projects.viewer позволяет просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer имеют роль Viewer на вкладке Участники на странице проекта.

datasphere.community-projects.developer

Роль datasphere.community-projects.developer позволяет работать в проектах и управлять ресурсами, которые закреплены за проектами.

Пользователи с этой ролью могут:

  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
  • создавать, изменять и удалять ресурсы в проектах;
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Developer на вкладке Участники на странице проекта.

datasphere.community-projects.editor

Роль datasphere.community-projects.editor позволяет работать в проектах, изменять и удалять их, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
  • создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.developer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor имеют роль Editor на вкладке Участники на странице проекта.

datasphere.community-projects.admin

Роль datasphere.community-projects.admin позволяет управлять доступом к проектам, работать в них, изменять и удалять проекты, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
  • создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет роль Developer (datasphere.communities.developer) и выше;
  • запускать IDE и исполнение ячеек с кодом в проектах.

Включает разрешения, предоставляемые ролью datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Admin на вкладке Участники на странице проекта.

datasphere.communities.viewer

Роль datasphere.communities.viewer позволяет просматривать информацию о сообществах и проектах, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer имеют роль Viewer на вкладке Участники на странице сообщества.

datasphere.communities.developer

Роль datasphere.communities.developer позволяет создавать новые проекты и публиковать ресурсы проектов в сообществах, а также просматривать информацию о сообществах и проектах.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах и назначенных правах доступа к ним;
  • создавать новые проекты в сообществах;
  • публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролью datasphere.communities.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Developer на вкладке Участники на странице сообщества.

datasphere.communities.editor

Роль datasphere.communities.editor позволяет привязывать платежный аккаунт к сообществам, удалять сообщества и редактировать их настройки, а также управлять проектами и ресурсами сообществ.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах и назначенных правах доступа к ним, а также изменять и удалять сообщества;
  • привязывать платежный аккаунт к сообществам;
  • создавать новые проекты в сообществах, а также изменять и удалять проекты;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
  • создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.developer и datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor имеют роль Editor на вкладке Участники на странице сообщества.

datasphere.communities.admin

Роль datasphere.communities.admin позволяет управлять сообществами и проектами сообществ, а также доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах, а также изменять и удалять сообщества;
  • просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
  • привязывать платежный аккаунт к сообществам;
  • создавать новые проекты в сообществах, а также изменять и удалять проекты;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
  • просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
  • создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.editor и datasphere.community-projects.admin.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Admin на вкладке Участники на странице сообщества.

Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:

  • в сообществе Любители котиковAdmin (роль datasphere.communities.admin);
  • в сообществе Считаем заборыDeveloper (роль datasphere.communities.developer);
  • в сообществе Совершенно секретноViewer (роль datasphere.communities.viewer), но имеет права Editor в проекте Project_111 этого сообщества (роль datasphere.community-projects.editor).

Валя может:

  • поделиться ресурсами любого проекта из сообщества Любители котиков в этом сообществе.
  • поделиться ресурсами любого проекта из сообщества Любители котиков в сообществе Считаем заборы.
  • опубликовать ресурсы проекта Project_111 в сообществах Любители котиков и Считаем заборы, но не сможет поделиться ими в сообществе Совершенно секретно.

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Какие роли мне необходимы

В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить Editor вместо Viewer.

Действие

Необходимые роли

Просмотр информации

Просмотр проекта, его настроек и пользователей

Viewer на проект

Просмотр сообщества, его настроек и пользователей

Viewer на сообщество

Управление проектом

Создание проекта

Developer на сообщество

Запуск IDE

Developer на проект

Использование ресурсов

Developer на проект

Создание ресурсов

Developer на проект

Удаление ресурсов

Developer на проект

Публикация ресурсов в сообществе

Editor на проект и Developer на сообщество

Изменение настроек проекта

Editor на проект

Удаление проекта

Editor на проект

Выдача роли в проекте

Admin на проект

Управление сообществом

Изменение настроек сообщества

Editor на сообщество

Привязка платежного аккаунта

Editor на сообщество и billing.accounts.editor на платежный аккаунт

Удаление сообщества

Editor на сообщество

Выдача роли в сообществе

Admin на сообщество

См. также

Предыдущая
Аудитные логи Audit Trails
Следующая
Правила тарификации