Начало работы с Identity and Access Management
Сервис Yandex Identity and Access Management позволяет управлять доступом к ресурсам Yandex Cloud. Благодаря IAM операции над ресурсами могут выполнять только пользователи с нужными правами доступа.
Ресурсная модель Yandex Cloud
Все сервисы платформы Yandex Cloud построены на принципах общей ресурсно-ролевой модели взаимодействия. При работе с сервисами Yandex Cloud вы создаете ресурсы: виртуальные машины, кластеры управляемых баз данных, реестры, секреты и многие другие. Большинство сервисов хранит создаваемые ресурсы в каталогах. Каталоги принадлежат облакам, а облака — организациям.
Организации — это логические сущности, которые объединяют разные типы ресурсов и пользователей в единое рабочее пространство. Организации не взаимодействуют между собой — их ресурсы изолированы друг от друга.
Внутри организации вы можете настроить доступ к ресурсу на следующих уровнях:
- организация;
- облако;
- каталог;
- отдельный ресурс, если сервис поддерживает разграничение доступа на этом уровне.
Такой подход помогает реализовать принцип минимальных привилегий — предоставлять пользователям только те права, без которых невозможно выполнить их задачи.
Управление доступом
Управление доступом в Yandex Cloud построено на политике Role Based Access Control (RBAC). Чтобы предоставить доступ к ресурсу, вы назначаете роли на ресурс субъектам. Вы также можете назначить роль на родительский ресурс, от которого вложенные ресурсы наследуют права доступа. Например, назначить роль на каталог или облако, в котором находятся виртуальные машины.
В Yandex Cloud предопределены роли и ресурсы, на которые можно назначать роли. Пользователи не могут создавать собственные роли.
Назначать роли могут только пользователи, у которых есть как минимум примитивная роль admin или сервисная роль <название_сервиса>.admin на отдельный ресурс или на один из родительских ресурсов. Уровень выдаваемых прав не должен быть выше, чем у пользователя, который их выдает.
Пример
Назначить роль на отдельную ВМ может пользователь с одной из следующих ролей:
admin;compute.admin;resource-manager.clouds.owner;organization-manager.admin;organization-manager.organizations.owner.
Пользователю должна быть назначена одна из этих ролей на один из следующих ресурсов:
- ВМ;
- каталог, которому принадлежит ВМ;
- облако, в котором находится каталог;
- вся организация.
Если вы хотите запретить субъекту доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа.
Субъекты в ролевой модели Yandex Cloud
Роли на ресурс выдаются субъектам. Каждому субъекту можно выдать несколько ролей.
Существуют следующие типы субъектов:
- Аккаунт на Яндексе — ваш аккаунт на Яндексе или в Яндекс 360.
- Сервисный аккаунт — дополнительный аккаунт, с помощью которого программы могут выполнять операции в Yandex Cloud. Сервисные аккаунты бесплатны и позволяют гибко управлять доступами ваших программ.
- Федеративный аккаунт — аккаунт пользователя федерации удостоверений, например из Active Directory.
- Аккаунт локального пользователя — аккаунт пользователя, созданный локально в организации Yandex Identity Hub в пуле пользователей.
- Группа пользователей — группа, в которой пользователи обладают одинаковыми правами доступа.
- Системная группа — предустановленная в IAM группа пользователей.
Взаимодействие с сервисом Yandex Identity Hub
Сервисы IAM и Yandex Identity Hub тесно связаны, так как Identity Hub тоже предоставляет возможности управления доступом, но на уровне организации. Например, с помощью Identity Hub можно централизованно управлять пользователями, в том числе приглашать новых.
Также вы можете создавать федерации и управлять ими, чтобы проходить аутентификацию Single Sign-On в Yandex Cloud через своего поставщика удостоверений.
Управление группами пользователей тоже проходит в Identity Hub. Например, с помощью сервиса вы можете выдать права доступа группе. Чтобы использовать другие интерфейсы Yandex Cloud для настройки прав доступа группы, сначала создайте ее и добавьте в нее участников в Identity Hub. После этого вы сможете, например, выдать группе права на каталог в консоли управления.
Что дальше
- Узнайте, как начать работать с Identity Hub.
- Прочитайте, для чего нужен и как создать платежный аккаунт.
- Узнайте, как организованы ресурсы и управление доступом в Yandex Cloud.
- Научитесь управлять доступом к ресурсам.
- Посмотрите, какие типы аккаунтов существуют в Yandex Cloud и как работать с сервисными аккаунтами.
- Ознакомьтесь со способами аутентификации в Yandex Cloud.