Доступ сервисов к ресурсам пользователя

Платформа Yandex Cloud включает в себя набор сервисов. Некоторым сервисам для выполнения определенных задач необходим доступ к различным ресурсам в облаке пользователя. Например, сервису Yandex Connection Manager для управления подключениями к базам данных требуются права на создание секретов Yandex Lockbox в облаке пользователя, а также права на управление созданными секретами.

Yandex Identity and Access Management позволяет управлять доступом сервисов к ресурсам в облаке пользователя, при необходимости включая или выключая нужные сервисы.

Доступ сервиса — это совокупность прав доступа, необходимых для создания и функционирования ресурсов этого сервиса в облаке пользователя. Такие права доступа назначаются специальным сервисным аккаунтам — сервисным агентам, от имени которых сервис осуществляет доступ к ресурсам пользователя в облаке.

Статус сервисаСтатус сервиса

Сервисы в облаке Yandex Cloud могут иметь следующие статусы:

• DEFAULT — статус по умолчанию.

  У сервиса нет сервисных агентов, но при попытке выполнить в сервисе операцию, требующую доступа к другим ресурсам в облаке пользователя (например, создать подключение в сервисе Yandex Connection Manager), сервисные агенты будут автоматически созданы, а статус сервиса изменится на ENABLED.

• ENABLED — сервис включен. У сервиса есть сервисные агенты, сервис имеет доступ к ресурсам в облаке пользователя.

  Когда статус сервиса в облаке меняется на ENABLED, для этого сервиса в данном облаке автоматически создаются сервисные агенты, обладающие необходимыми правами на действия с ресурсами пользователя в этом облаке.

• DISABLED — сервис выключен. У сервиса нет сервисных агентов, сервис не имеет доступа к ресурсам в облаке пользователя.

  Когда статус сервиса в облаке меняется на DISABLED, сервисные агенты этого сервиса в данном облаке автоматически удаляются.

Сервисные агентыСервисные агенты

Сервисные агенты — это специальные системные сервисные аккаунты, принадлежащие определенным сервисам в облаке пользователя и предоставляющие таким сервисам доступ к ресурсам в этом облаке. Количество сервисных агентов и конкретный набор доступов, выданных им, могут различаться в зависимости от сервиса, которому эти сервисные агенты принадлежат.

Сервисные агенты создаются в особом системном каталоге в облаке пользователя. Этот каталог управляется системой и недоступен пользователю даже при наличии у него ролей администратора или владельца облака.

У сервисного агента есть права на действия с ресурсами только в том облаке, в котором этот сервисный агент создан.

Пользователь не может напрямую создавать, удалять или назначать роли отдельным сервисным агентам. Сервисные агенты в необходимом количестве и с нужными правами доступа автоматически создаются при включении сервисов и автоматически удаляются при их выключении. При повторном включении сервиса для него создаются новые сервисные агенты с новыми идентификаторами.

Если у сервиса есть ресурсы, использующие доступ к другим ресурсам в облаке пользователя, выключить этот сервис нельзя. Чтобы выключить такой сервис, предварительно удалите все ресурсы этого сервиса, использующие доступ к другим ресурсам в данном облаке пользователя.

Если в облаке пользователя выключить сервис, то такой сервис продолжит функционировать, но его ресурсы не смогут получать доступ к другим ресурсам в этом облаке.

Доступом каких сервисов можно управлятьДоступом каких сервисов можно управлять

В настоящий момент вы можете управлять доступом следующих сервисов:

В будущем у администраторов облака появится возможность управлять доступами всех сервисов, требующих прав на действия с ресурсами в облаке Yandex Cloud. С помощью CLI вы можете получить актуальный список сервисов, доступом которых можно управлять.

Управлять доступом сервисов к ресурсам могут пользователи с ролью администратора или владельца облака.

См. такжеСм. также

• Получение статусов сервисов
• Включение и выключение сервиса