Публичные группы

Публичная группа — группа пользователей (субъектов), на которую можно назначать роли. В Yandex Cloud существует два типа публичных групп: All authenticated users и All users. Эти группы позволяют предоставить публичный доступ к вашим ресурсам, но только на те операции, которые позволяет выполнять назначенная роль.

Небезопасно назначать публичным группам роли с широким набором разрешений, такие как editor или admin.

All authenticated usersAll authenticated users

Публичная группа All authenticated users — все пользователи, прошедшие аутентификацию. Это все зарегистрированные пользователи или сервисные аккаунты Yandex Cloud: как из ваших облаков, так и из облаков других пользователей. Использовать эту группу небезопасно: вместо нее рекомендуется использовать системные группы All users in organization X и All users in federation N или самостоятельно созданные группы.

Например, у вас есть образ диска с операционной системой и вы хотите поделиться им со всеми пользователями Yandex Cloud. Для этого назначьте субъекту All authenticated users роль compute.images.user на каталог с образом.

При назначении роли публичной группе All authenticated users с помощью CLI, Terraform и API используйте идентификатор субъекта allAuthenticatedUsers.

All usersAll users

Публичная группа All users — это любой пользователь, прохождение аутентификации от пользователя не требуется.

Например, при запросе через API к вашему ресурсу пользователю не надо будет указывать IAM-токен. Использовать эту группу небезопасно: вместо нее рекомендуется использовать системные группы All users in organization X и All users in federation N или самостоятельно созданные группы пользователей организации.

При назначении роли публичной группе All users с помощью CLI, Terraform и API используйте идентификатор субъекта allUsers.