Доступ сервисов к ресурсам пользователя
Примечание
Функциональность находится на стадии Preview.
Платформа Yandex Cloud включает в себя набор сервисов. Некоторым сервисам для выполнения определенных задач необходим доступ к различным ресурсам в облаке пользователя. Например, сервису Yandex Connection Manager для управления подключениями к базам данных требуются права на создание секретов Yandex Lockbox в облаке пользователя, а также права на управление созданными секретами.
Yandex Identity and Access Management позволяет управлять доступом сервисов к ресурсам в облаке пользователя, при необходимости включая или выключая нужные сервисы.
Доступ сервиса — это совокупность прав доступа, необходимых для создания и функционирования ресурсов этого сервиса в облаке пользователя. Такие права доступа назначаются специальным сервисным аккаунтам — сервисным агентам, от имени которых сервис осуществляет доступ к ресурсам пользователя в облаке.
Статус сервиса
Сервисы в облаке Yandex Cloud могут иметь следующие статусы:
-
DEFAULT
— статус по умолчанию.У сервиса нет сервисных агентов, но при попытке выполнить в сервисе операцию, требующую доступа к другим ресурсам в облаке пользователя (например, создать подключение в сервисе Yandex Connection Manager), сервисные агенты будут автоматически созданы, а статус сервиса изменится на
ENABLED
. -
ENABLED
— сервис включен. У сервиса есть сервисные агенты, сервис имеет доступ к ресурсам в облаке пользователя.Когда статус сервиса в облаке меняется на
ENABLED
, для этого сервиса в данном облаке автоматически создаются сервисные агенты, обладающие необходимыми правами на действия с ресурсами пользователя в этом облаке. -
DISABLED
— сервис выключен. У сервиса нет сервисных агентов, сервис не имеет доступа к ресурсам в облаке пользователя.Когда статус сервиса в облаке меняется на
DISABLED
, сервисные агенты этого сервиса в данном облаке автоматически удаляются.
Сервисные агенты
Сервисные агенты — это специальные системные сервисные аккаунты, принадлежащие определенным сервисам в облаке пользователя и предоставляющие таким сервисам доступ к ресурсам в этом облаке. Количество сервисных агентов и конкретный набор доступов, выданных им, могут различаться в зависимости от сервиса, которому эти сервисные агенты принадлежат.
Примечание
В настоящее время нельзя просмотреть или изменить набор ролей, назначенных сервисным агентам по умолчанию. В будущем такая возможность появится.
Сервисные агенты создаются в особом системном каталоге в облаке пользователя. Этот каталог управляется системой и недоступен пользователю даже при наличии у него ролей администратора или владельца облака.
У сервисного агента есть права на действия с ресурсами только в том облаке, в котором этот сервисный агент создан.
Пользователь не может напрямую создавать, удалять или назначать роли отдельным сервисным агентам. Сервисные агенты в необходимом количестве и с нужными правами доступа автоматически создаются при включении сервисов и автоматически удаляются при их выключении. При повторном включении сервиса для него создаются новые сервисные агенты с новыми идентификаторами.
Если у сервиса есть ресурсы, использующие доступ к другим ресурсам в облаке пользователя, выключить этот сервис нельзя. Чтобы выключить такой сервис, предварительно удалите все ресурсы этого сервиса, использующие доступ к другим ресурсам в данном облаке пользователя.
Если в облаке пользователя выключить сервис, то такой сервис продолжит функционировать, но его ресурсы не смогут получать доступ к другим ресурсам в этом облаке.
Доступом каких сервисов можно управлять
В настоящий момент вы можете управлять доступом следующих сервисов:
Сервис | Идентификатор |
---|---|
Yandex Compute Cloud — Шифрование дисков | disk-encryption |
Yandex DataSphere | datasphere |
Yandex MetaData Hub — Connection Manager | connection-manager |
Yandex Security Deck — Контроль данных (DSPM) | dspm |
Yandex WebSQL | websql |
В будущем у администраторов облака появится возможность управлять доступами всех сервисов, требующих прав на действия с ресурсами в облаке Yandex Cloud. С помощью CLI вы можете получить актуальный список сервисов, доступом которых можно управлять.
Управлять доступом сервисов к ресурсам могут пользователи с ролью администратора или владельца облака.