Управление доступом в DataSphere
Доступ к сервису Yandex DataSphere регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.
Список операций, доступных пользователю DataSphere, определяется его ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.
На какие ресурсы можно назначить роль
Разграничение прав доступа происходит на уровне сообществ и проектов. Также вы можете открыть доступ к ресурсу для всех пользователей сообщества, опубликовав его в сообществе. Выданные права доступа распространяются на всю иерархию ресурсов. Например, если вы назначите пользователю роль на проект DataSphere, то все разрешения будут действовать и на ресурсы внутри этого проекта. Подробнее о взаимосвязи ресурсов в DataSphere.
Как назначить роль
Вы можете назначить роль пользователю в интерфейсе DataSphere:
- Добавить пользователя в сообщество.
- Добавить пользователя в проект.
- Поделиться ресурсами с участниками сообщества.
Также вы можете назначить права доступа через интерфейс Cloud Organization в Cloud Center, с помощью Terraform и API Yandex Cloud.
Какие роли действуют в сервисе
Сервисные роли
datasphere.community-projects.viewer
Роль datasphere.community-projects.viewer позволяет просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer имеют роль Viewer на вкладке Участники на странице проекта.
datasphere.community-projects.developer
Роль datasphere.community-projects.developer позволяет работать в проектах и управлять ресурсами, которые закреплены за проектами.
Пользователи с этой ролью могут:
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
- создавать, изменять и удалять ресурсы в проектах;
- запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию о назначенных правах доступа к проектам.
Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Developer на вкладке Участники на странице проекта.
datasphere.community-projects.editor
Роль datasphere.community-projects.editor позволяет работать в проектах, изменять и удалять их, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.
Пользователи с этой ролью могут:
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
- создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет права
Developer(рольdatasphere.communities.developerи выше); - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию о назначенных правах доступа к проектам.
Включает разрешения, предоставляемые ролью datasphere.community-projects.developer.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor имеют роль Editor на вкладке Участники на странице проекта.
datasphere.community-projects.admin
Роль datasphere.community-projects.admin позволяет управлять доступом к проектам, работать в них, изменять и удалять проекты, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
- создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет роль
Developer(datasphere.communities.developer) и выше; - запускать IDE и исполнение ячеек с кодом в проектах.
Включает разрешения, предоставляемые ролью datasphere.community-projects.editor.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Admin на вкладке Участники на странице проекта.
datasphere.communities.viewer
Роль datasphere.communities.viewer позволяет просматривать информацию о сообществах и проектах, а также о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним;
- просматривать информацию о проектах сообществ, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer имеют роль Viewer на вкладке Участники на странице сообщества.
datasphere.communities.developer
Роль datasphere.communities.developer позволяет создавать новые проекты и публиковать ресурсы проектов в сообществах, а также просматривать информацию о сообществах и проектах.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним;
- создавать новые проекты в сообществах;
- публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer(рольdatasphere.communities.developer) и выше; - просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролью datasphere.communities.viewer.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Developer на вкладке Участники на странице сообщества.
datasphere.communities.editor
Роль datasphere.communities.editor позволяет привязывать платежный аккаунт к сообществам, удалять сообщества и редактировать их настройки, а также управлять проектами и ресурсами сообществ.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним, а также изменять и удалять сообщества;
- привязывать платежный аккаунт к сообществам;
- создавать новые проекты в сообществах, а также изменять и удалять проекты;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer(рольdatasphere.communities.developer) и выше; - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролями datasphere.communities.developer и datasphere.community-projects.editor.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor имеют роль Editor на вкладке Участники на странице сообщества.
datasphere.communities.admin
Роль datasphere.communities.admin позволяет управлять сообществами и проектами сообществ, а также доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах, а также изменять и удалять сообщества;
- просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
- привязывать платежный аккаунт к сообществам;
- создавать новые проекты в сообществах, а также изменять и удалять проекты;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
- просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
- создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer(рольdatasphere.communities.developerи выше); - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролями datasphere.communities.editor и datasphere.community-projects.admin.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Admin на вкладке Участники на странице сообщества.
Например, Валя работает с несколькими командами и состоит в их сообществах с разными правами доступа:
- в сообществе
Любители котиков—Admin(рольdatasphere.communities.admin);- в сообществе
Считаем заборы—Developer(рольdatasphere.communities.developer);- в сообществе
Совершенно секретно—Viewer(рольdatasphere.communities.viewer), но имеет праваEditorв проектеProject_111этого сообщества (рольdatasphere.community-projects.editor).Валя может:
- поделиться ресурсами любого проекта из сообщества
Любители котиковв этом сообществе.- поделиться ресурсами любого проекта из сообщества
Любители котиковв сообществеСчитаем заборы.- опубликовать ресурсы проекта
Project_111в сообществахЛюбители котиковиСчитаем заборы, но не сможет поделиться ими в сообществеСовершенно секретно.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить Editor вместо Viewer.
|
Действие |
Необходимые роли |
|
Просмотр информации |
|
|
Просмотр проекта, его настроек и пользователей |
|
|
Просмотр сообщества, его настроек и пользователей |
|
|
Управление проектом |
|
|
|
|
|
Запуск IDE |
|
|
Использование ресурсов |
|
|
Создание ресурсов |
|
|
Удаление ресурсов |
|
|
Публикация ресурсов в сообществе |
|
|
|
|
|
|
|
|
Выдача роли в проекте |
|
|
Управление сообществом |
|
|
Изменение настроек сообщества |
|
|
|
|
|
|
|
|
Выдача роли в сообществе |
|