Связаться с намиПодключиться

Справочник ролей Yandex Cloud

Статья создана
Обновлена 20 ноября 2025 г.

Примитивные роли

На диаграмме показано, какие примитивные роли есть в Yandex Cloud и как они наследуют разрешения друг друга. Например, в роль editor входят все разрешения роли viewer. После диаграммы дано описание каждой роли.

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Служебные роли

quota-manager.viewer

Роль quota-manager.viewer позволяет просматривать информацию о квотах сервисов Yandex Cloud и о запросах на увеличение таких квот, а также об облаках.

quota-manager.requestOperator

Роль quota-manager.requestOperator позволяет создавать запросы на новые квоты для сервисов Yandex Cloud. Это разрешение также входит в роли admin и editor.

Сервисы искусственного интеллекта

ai.auditor

Роль ai.auditor позволяет просматривать квоты для сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio, просматривать информацию об AI-агентах и AI-ассистентах, о датасетах и моделях генерации текста Yandex AI Studio, а также читать метаинформацию каталогов.

Включает разрешения, предоставляемые ролями ai.assistants.auditor, ai.datasets.auditor и ai.models.auditor.

ai.viewer

Роль ai.viewer позволяет просматривать информацию о квотах сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio, об AI-агентах и AI-ассистентах, о датасетах и моделях генерации текста Yandex AI Studio, а также о каталоге.

Включает разрешения, предоставляемые ролями ai.auditor, ai.assistants.viewer, ai.datasets.viewer и ai.models.viewer.

ai.editor

Роль ai.editor позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролями ai.viewer, ai.translate.user, ai.vision.user, ai.speechkit-stt.user, ai.speechkit-tts.user, ai.languageModels.user, ai.imageGeneration.user, ai.assistants.editor, ai.datasets.editor и ai.models.editor.

ai.admin

Роль ai.admin позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролями ai.editor, ai.assistants.admin, ai.datasets.admin и ai.models.admin.

Партнерская программа Yandex Cloud

billing.accounts.owner

Роль billing.accounts.owner автоматически выдается при создании платежного аккаунта. Любой пользователь с ролью billing.accounts.owner может отозвать эту роль у создателя платежного аккаунта и изменить владельца.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов, в т.ч. персональные данные;
  • обновлять данные записей о сабаккаунтах;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • удалять сабаккаунты (до подтверждения клиентом);
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать потребление сервисов клиентами;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать присвоенные специализации;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • просматривать список реферальных ссылок;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать список партнерских премий и информацию о них.

Включает разрешения, предоставляемые ролями billing.accounts.admin и billing.accounts.varWithoutDiscounts.

billing.accounts.viewer

Роль billing.accounts.viewer назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

billing.accounts.accountant

Роль billing.accounts.accountant назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.editor

Роль billing.accounts.editor назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.varWithoutDiscounts

Роль billing.accounts.varWithoutDiscounts назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать потребление сервисов клиентами.

Включает разрешения, предоставляемые ролью billing.partners.editor.

billing.accounts.admin

Роль billing.accounts.admin назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner).

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов, включая персональные данные;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать потребление сервисов клиентами;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать присвоенные специализации;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • просматривать список реферальных ссылок;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать список партнерских премий и информацию о них.

Включает разрешения, предоставляемые ролями billing.accounts.editor, billing.accounts.partnerAdmin и billing.partners.editor.

billing.accounts.partnerViewer

Роль billing.accounts.partnerViewer назначается на платежный аккаунт и позволяет просматривать данные партнера, за исключением персональных данных.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

  • просматривать список сабаккаунтов и информацию о них (кроме персональных данных);
  • просматривать список партнерских премий;
  • просматривать страницу с инструментами партнера;
  • просматривать список аккаунтов и информацию о них (кроме персональных данных);
  • просматривать список контактов и информацию о них (кроме персональных данных);
  • просматривать список партнерских сделок и информацию о них (кроме персональных данных).

billing.accounts.piiPartnerViewer

Роль billing.accounts.piiPartnerViewer назначается на платежный аккаунт и позволяет просматривать данные сабаккаунта и партнера, включая персональные данные.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

  • просматривать информацию о балансе, начислениях и выводе рибейта партнера;
  • просматривать детализацию потребления партнера, в т.ч. в его сабаккаунтах;
  • просматривать список партнерских премий;
  • просматривать страницу с инструментами партнера;
  • просматривать список аккаунтов и информацию о них, в т.ч. персональные данные;
  • просматривать список сабаккаунтов и информацию о них, в т.ч. персональные данные;
  • просматривать список контактов и информацию о них, в т.ч. персональные данные;
  • просматривать список партнерских сделок и информацию о них, в т.ч. персональные данные.

Включает разрешения, предоставляемые ролью billing.accounts.partnerViewer.

billing.accounts.partnerEditor

Роль billing.accounts.partnerEditor назначается на платежный аккаунт и позволяет управлять аккаунтами, сабаккаунтами, контактами и партнерскими сделками. Роль не предоставляет доступа к персональным данным.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

  • управлять сабаккаунтами в обход прав доступа, назначенных на уровне организации, за исключением подтверждения права на работу с партнером;
  • просматривать список сабаккаунтов и информацию о них (кроме персональных данных);
  • создавать новые и обновлять данные в существующих сабаккаунтах, а также приостанавливать и возобновлять работу сабаккаунтов и удалять их;
  • просматривать список аккаунтов и информацию о них (кроме персональных данных), изменять информацию об аккаунтах;
  • просматривать список контактов и информацию о них (кроме персональных данных), изменять данные контактов;
  • просматривать список партнерских сделок и информацию о них (кроме персональных данных), а также изменять данные о партнерских сделках;
  • просматривать список партнерских премий;
  • просматривать страницу с инструментами партнера.

Включает разрешения, предоставляемые ролью billing.accounts.partnerViewer.

billing.accounts.piiPartnerEditor

Роль billing.accounts.piiPartnerEditor назначается на платежный аккаунт и позволяет управлять выводом рибейта партнера, а также просматривать данные сабаккаунтов и партнеров, включая персональные данные.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

  • просматривать информацию о балансе, начислениях и выводе рибейта партнера;
  • создавать расходные договоры для рибейтов и выводить начисленный рибейт партнера;
  • просматривать детализацию потребления партнера, в т.ч. в его сабаккаунтах;
  • просматривать список партнерских премий;
  • просматривать страницу с инструментами партнера;
  • просматривать список аккаунтов и информацию о них, в т.ч. персональные данные;
  • просматривать список сабаккаунтов и информацию о них, в т.ч. персональные данные;
  • просматривать список контактов и информацию о них, в т.ч. персональные данные;
  • просматривать список партнерских сделок и информацию о них, в т.ч. персональные данные.

Включает разрешения, предоставляемые ролью billing.accounts.piiPartnerViewer.

billing.accounts.partnerAdmin

Роль billing.accounts.partnerAdmin назначается на платежный аккаунт и предоставляет полный доступ ко всем инструментам партнерского портала и всей информации, хранящейся на партнерском портале, включая персональные данные.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

  • управлять сабаккаунтами в обход прав доступа, назначенных на уровне организации, за исключением подтверждения права на работу с партнером;
  • просматривать список сабаккаунтов и информацию о них, включая персональные данные;
  • создавать новые и обновлять данные в существующих сабаккаунтах, а также приостанавливать и возобновлять работу сабаккаунтов и удалять их;
  • просматривать список аккаунтов и информацию о них, включая персональные данные, изменять информацию об аккаунтах;
  • просматривать список контактов и информацию о них, включая персональные данные, изменять данные контактов;
  • просматривать список партнерских сделок и информацию о них, включая персональные данные, а также изменять данные о партнерских сделках;
  • просматривать информацию о балансе, начислениях и выводе рибейта партнера;
  • создавать расходные договоры для рибейтов и выводить начисленный рибейт партнера;
  • просматривать детализацию потребления партнера, в т.ч. в его сабаккаунтах;
  • просматривать список партнерских премий;
  • просматривать страницу с инструментами партнера.

Включает разрешения, предоставляемые ролями billing.accounts.partnerEditor и billing.accounts.piiPartnerEditor.

Подробнее см. Управление доступом в партнерской программе Yandex Cloud.

Yandex API Gateway

api-gateway.auditor

Роль api-gateway.auditor позволяет просматривать список API-шлюзов и информацию о назначенных правах доступа к ним, а также метаинформацию каталога.

api-gateway.viewer

Роль api-gateway.viewer позволяет просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.auditor.

api-gateway.editor

Роль api-gateway.editor позволяет просматривать информацию об API-шлюзах и управлять ими, а также работать с API WebSocket.

Пользователи с этой ролью могут:

  • просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также создавать, изменять и удалять API-шлюзы;
  • использовать ограничение скорости обработки запросов;
  • просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.websocketWriter.

api-gateway.websocketWriter

Роль api-gateway.websocketWriter позволяет работать с API WebSocket, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
  • просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.viewer.

api-gateway.websocketBroadcaster

Роль api-gateway.websocketBroadcaster позволяет отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам;
  • просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.websocketWriter.

api-gateway.admin

Роль api-gateway.admin позволяет управлять API-шлюзами и доступом к ним, просматривать информацию об API-шлюзах, а также работать с API WebSocket.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к API-шлюзам и изменять такие права доступа;
  • просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
  • просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
  • использовать ограничение скорости обработки запросов;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.editor.

Подробнее см. Управление доступом в API Gateway.

Yandex Application Load Balancer

alb.auditor

Роль alb.auditor позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

alb.viewer

Роль alb.viewer позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью alb.auditor.

alb.user

Роль alb.user позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

  • просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
  • просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них;
  • просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
  • просматривать список целевых групп и информацию о них, а также использовать целевые группы;
  • просматривать информацию о квотах сервиса Application Load Balancer.

Роль можно назначить на каталог.

alb.editor

Роль alb.editor позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:
  • просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
  • просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
  • просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
  • просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролями load-balancer.privateAdmin и vpc.user.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

alb.admin

Роль alb.admin позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.

Пользователи с этой ролью могут:
  • просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
  • просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
  • просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
  • просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
  • просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью alb.editor.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

Подробнее см. Управление доступом в Application Load Balancer.

Yandex Audit Trails

audit-trails.auditor

Роль audit-trails.auditor позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.

audit-trails.viewer

Роль audit-trails.viewer позволяет читать аудитные логи, а также просматривать список трейлов и информацию о трейлах, облаке, каталоге и квотах сервиса Audit Trails.

Включает разрешения, предоставляемые ролью audit-trails.auditor.

audit-trails.editor

Роль audit-trails.editor позволяет управлять трейлами и читать аудитные логи.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью audit-trails.viewer.

audit-trails.admin

Роль audit-trails.admin позволяет управлять трейлами и доступом к ним, а также читать аудитные логи.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к трейлам, а также изменять такие права доступа;
  • просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
  • читать аудитные логи;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервиса Audit Trails.

Включает разрешения, предоставляемые ролью audit-trails.editor.

audit-trails.configViewer

Роль audit-trails.configViewer позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.

Эта роль недоступна. Используйте роль audit-trails.auditor.

Подробнее см. Управление доступом Audit Trails.

Yandex BareMetal

baremetal.auditor

Роль baremetal.auditor позволяет просматривать метаданные ресурсов сервиса Yandex BareMetal.

Пользователи с этой ролью могут:

baremetal.viewer

Роль baremetal.viewer позволяет просматривать информацию о ресурсах сервиса Yandex BareMetal.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью baremetal.auditor.

baremetal.operator

Роль baremetal.operator позволяет работать на серверах BareMetal, а также просматривать информацию о ресурсах сервиса Yandex BareMetal.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью baremetal.viewer.

baremetal.editor

Роль baremetal.editor позволяет управлять серверами BareMetal, приватными подсетями, виртуальными сегментами сети (VRF) и образами операционных систем серверов.

Пользователи с этой ролью могут:

  • просматривать информацию о серверах BareMetal, в том числе об их конфигурации;
  • арендовать сервера BareMetal и отказываться от их аренды, а также изменять настройки серверов BareMetal;
  • просматривать информацию о приватных подсетях, а также создавать, изменять и удалять приватные подсети;
  • просматривать информацию о виртуальных сегментах сети (VRF), а также создавать, изменять и удалять VRF;
  • просматривать информацию о загруженных образах операционных систем серверов BareMetal, а также загружать, изменять и удалять такие образы;
  • переустанавливать операционные системы серверов BareMetal;
  • использовать KVM-консоль серверов;
  • использовать IPMI для управления питанием серверов — включать, выключать и перезагружать их;
  • просматривать информацию о квотах сервиса Yandex BareMetal;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью baremetal.viewer.

baremetal.admin

Роль baremetal.admin позволяет управлять серверами BareMetal, приватными подсетями, виртуальными сегментами сети (VRF) и образами операционных систем серверов.

Пользователи с этой ролью могут:

  • просматривать информацию о серверах BareMetal, в том числе об их конфигурации;
  • арендовать сервера BareMetal и отказываться от их аренды, а также изменять настройки серверов BareMetal;
  • просматривать информацию о приватных подсетях, а также создавать, изменять и удалять приватные подсети;
  • просматривать информацию о виртуальных сегментах сети (VRF), а также создавать, изменять и удалять VRF;
  • просматривать информацию о загруженных образах операционных систем серверов BareMetal, а также загружать, изменять и удалять такие образы;
  • переустанавливать операционные системы серверов BareMetal;
  • использовать KVM-консоль серверов;
  • использовать IPMI для управления питанием серверов — включать, выключать и перезагружать их;
  • просматривать информацию о квотах сервиса Yandex BareMetal;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью baremetal.editor.

Подробнее см. Управление доступом в Yandex BareMetal.

Yandex Cloud Interconnect

cic.auditor

Роль cic.auditor позволяет просматривать информацию о ресурсах сервиса Cloud Interconnect.

Пользователи с этой ролью могут:

cic.viewer

Роль cic.viewer позволяет просматривать информацию о ресурсах сервиса Cloud Interconnect.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.auditor.

cic.editor

Роль cic.editor позволяет управлять транковыми подключениями, приватными и публичными соединениями, а также просматривать информацию о квотах и ресурсах сервиса Cloud Interconnect.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.viewer.

cic.admin

Роль cic.admin позволяет управлять ресурсами сервиса Cloud Interconnect.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.editor.

cic.secretViewer

Роль cic.secretViewer позволяет получать секреты приватных и публичных соединений Cloud Interconnect.

cic.secretEditor

Роль cic.secretEditor позволяет получать и изменять секреты приватных и публичных соединений Cloud Interconnect.

Включает разрешения, предоставляемые ролью cic.secretViewer.

Подробнее см. Управление доступом в Cloud Interconnect.

Yandex Cloud Router

cloud-router.auditor

Роль cloud-router.auditor позволяет просматривать информацию о ресурсах сервиса Cloud Router.

Пользователи с этой ролью могут:

  • просматривать информацию о Routing Instance;
  • просматривать информацию о квотах сервиса Cloud Router;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

cloud-router.viewer

Роль cloud-router.viewer позволяет просматривать информацию о ресурсах сервиса Cloud Router.

"Пользователи с этой ролью могут:

  • просматривать информацию о Routing Instance;
  • просматривать информацию о квотах сервиса Cloud Router;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cloud-router.auditor.

cloud-router.prefixEditor

Роль cloud-router.prefixEditor позволяет управлять IP-префиксами облачных подсетей в Routing Instance, а также просматривать информацию о ресурсах сервиса Cloud Router.

"Пользователи с этой ролью могут:

  • просматривать информацию о Routing Instance;
  • добавлять, изменять и удалять IP-префиксы облачных подсетей в Routing Instance;
  • просматривать информацию о квотах сервиса Cloud Router;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cloud-router.viewer.

cloud-router.editor

Роль cloud-router.editor позволяет управлять Routing Instance, а также просматривать информацию о ресурсах сервиса Cloud Router.

Пользователи с этой ролью могут:

  • просматривать информацию о Routing Instance, а также создавать, изменять и удалять их;
  • добавлять, изменять и удалять IP-префиксы облачных подсетей в Routing Instance;
  • просматривать информацию о квотах сервиса Cloud Router;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cloud-router.prefixEditor.

cloud-router.admin

Роль cloud-router.admin позволяет управлять ресурсами сервиса Cloud Router.

Пользователи с этой ролью могут:

  • просматривать информацию о Routing Instance, а также создавать, изменять и удалять их;
  • добавлять, изменять и удалять IP-префиксы облачных подсетей в Routing Instance;
  • просматривать информацию о квотах сервиса Cloud Router;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cloud-router.editor.

Подробнее см. Управление доступом в Cloud Router.

Yandex Certificate Manager

certificate-manager.auditor

Роль certificate-manager.auditor позволяет просматривать информацию о сертификатах и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

certificate-manager.viewer

Роль certificate-manager.viewer позволяет просматривать информацию о сертификатах и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью certificate-manager.auditor.

certificate-manager.editor

Роль certificate-manager.editor позволяет управлять сертификатами, просматривать информацию о них, о назначенных правах доступа к ним и о квотах сервиса Certificate Manager.

Пользователи с этой ролью могут:

  • просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и назначенных правах доступа к ним;
  • добавлять, изменять, обновлять и удалять сертификаты;
  • просматривать информацию о квотах сервиса Certificate Manager.

Включает разрешения, предоставляемые ролью certificate-manager.viewer.

certificate-manager.admin

Роль certificate-manager.admin позволяет управлять сертификатами и доступом к ним, а также получать содержимое сертификатов.

Пользователи с этой ролью могут:

  • просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах;
  • просматривать информацию о назначенных правах доступа к сертификатам и изменять такие права доступа;
  • добавлять, изменять, обновлять и удалять сертификаты;
  • получать содержимое сертификатов;
  • просматривать информацию о квотах сервиса Certificate Manager;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью certificate-manager.editor.

certificate-manager.certificates.downloader

Роль certificate-manager.certificates.downloader позволяет просматривать список сертификатов и информацию о них, а также получать содержимое сертификатов.

Подробнее см. Управление доступом в Certificate Manager.

Yandex Cloud Backup

backup.viewer

Роль backup.viewer позволяет просматривать информацию о виртуальных машинах и серверах BareMetal, подключенных к сервису Cloud Backup, о политиках резервного копирования и резервных копиях, а также о квотах сервиса, облаке и каталоге.

Пользователи с этой ролью могут:

  • просматривать информацию о подключенных провайдерах резервного копирования;
  • просматривать информацию о назначенных правах доступа к политикам резервного копирования;
  • просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
  • просматривать информацию о подключенных к сервису виртуальных машинах и серверах BareMetal;
  • просматривать информацию о резервных копиях;
  • просматривать информацию о квотах сервиса Cloud Backup;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге и его статистику.

Назначить роль backup.viewer может пользователь с ролью admin в облаке или backup.admin в каталоге.

backup.editor

Роль backup.editor позволяет управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, управлять политиками резервного копирования, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.

Пользователи с этой ролью могут:

  • просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
  • создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
  • просматривать информацию о назначенных правах доступа к политикам резервного копирования;
  • просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
  • просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
  • просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
  • просматривать информацию о квотах сервиса Cloud Backup;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.viewer.

Назначить роль backup.editor может пользователь с ролью admin в облаке или backup.admin в каталоге.

backup.admin

Роль backup.admin позволяет управлять политиками резервного копирования и доступом к ним, управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к политикам резервного копирования и изменять такие права доступа;
  • просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
  • создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
  • просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
  • просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
  • просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
  • просматривать информацию о квотах сервиса Cloud Backup;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.editor.

Назначить роль backup.admin может пользователь с ролью admin в облаке.

Подробнее см. Управление доступом в Cloud Backup.

Yandex Cloud Billing

billing.accounts.member

Роль billing.accounts.member автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.

billing.accounts.owner

Роль billing.accounts.owner автоматически выдается при создании платежного аккаунта. Любой пользователь с ролью billing.accounts.owner может отозвать эту роль у создателя платежного аккаунта и изменить владельца.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов, в т.ч. персональные данные;
  • обновлять данные записей о сабаккаунтах;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • удалять сабаккаунты (до подтверждения клиентом);
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать потребление сервисов клиентами;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать присвоенные специализации;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • просматривать список реферальных ссылок;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать список партнерских премий и информацию о них.

Включает разрешения, предоставляемые ролями billing.accounts.admin и billing.accounts.varWithoutDiscounts.

billing.accounts.viewer

Роль billing.accounts.viewer назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

billing.accounts.accountant

Роль billing.accounts.accountant назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.editor

Роль billing.accounts.editor назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.admin

Роль billing.accounts.admin назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner).

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов, включая персональные данные;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать потребление сервисов клиентами;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать присвоенные специализации;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • просматривать список реферальных ссылок;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать список партнерских премий и информацию о них.

Включает разрешения, предоставляемые ролями billing.accounts.editor, billing.accounts.partnerAdmin и billing.partners.editor.

billing.accounts.varWithoutDiscounts

Роль billing.accounts.varWithoutDiscounts назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
  • создавать записи о клиентах (сабаккаунты);
  • просматривать список и данные сабаккаунтов;
  • активировать сабаккаунты;
  • приостанавливать работу сабаккаунтов;
  • возобновлять работу сабаккаунтов;
  • привязывать облака к сабаккаунтам;
  • управлять назначенными правами доступа к сабаккаунтам;
  • просматривать историю начисления рибейта;
  • выводить рибейт;
  • просматривать историю начисления вознаграждений по реферальной программе;
  • выводить вознаграждение по реферальной программе;
  • просматривать статус расчетов с компанией-реферером;
  • создавать реферальные ссылки;
  • активировать реферальные ссылки;
  • изменять реферальные ссылки;
  • просматривать потребление сервисов клиентами.

Включает разрешения, предоставляемые ролью billing.partners.editor.

billing.partners.editor

Роль billing.partners.editor назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.

Подробнее см. Управление доступом в сервисе Yandex Cloud Billing.

Yandex Cloud CDN

cdn.viewer

Роль cdn.viewer позволяет просматривать информацию о каталоге, группах источников, CDN-ресурсах и квотах сервиса Cloud CDN.

cdn.editor

Роль cdn.editor позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cdn.viewer.

cdn.admin

Роль cdn.admin позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cdn.editor.

Позже роль получит дополнительные возможности.

Подробнее см. Управление доступом в Cloud CDN.

Yandex Cloud Desktop

vdi.viewer

Роль vdi.viewer позволяет просматривать информацию о рабочих столах и группах рабочих столов.

Пользователи с этой ролью могут:

  • просматривать информацию о группах рабочих столов и назначенных правах доступа к таким группам;
  • просматривать информацию о рабочих столах;
  • просматривать информацию о квотах сервиса Cloud Desktop.

Включает разрешения, предоставляемые ролью vdi.auditor.

vdi.desktopGroups.maintainer

Роль vdi.desktopGroups.maintainer позволяет использовать любые рабочие столы в группе рабочих столов.

Пользователи с этой ролью могут:

  • закрепить за собой один рабочий стол в каждой группе рабочих столов;
  • подключаться к своим рабочим столам;
  • запускать, перезапускать и останавливать любые рабочие столы в группе;
  • сбрасывать пароль на любых рабочих столах в группе.

Включает разрешения, предоставляемые ролью vdi.desktopGroups.user.

vdi.desktopGroups.user

Роль vdi.desktopGroups.user позволяет использовать свои рабочие столы.

Пользователи с этой ролью могут:

  • закрепить за собой один рабочий стол в каждой группе рабочих столов;
  • подключаться к своим рабочим столам;
  • запускать, перезапускать и останавливать свои рабочие столы;
  • сбрасывать пароль на своих рабочих столах.

vdi.editor

Роль vdi.editor позволяет управлять группами рабочих столов и рабочими столами, а также использовать свои рабочие столы.

Пользователи с этой ролью могут:

  • просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы; при этом в число пользователей группы рабочих столов пользователь с этой ролью может либо добавить только себя, либо оставить это поле пустым;
  • просматривать информацию о назначенных правах доступа к группам рабочих столов;
  • просматривать информацию о рабочих столах, а также создавать, изменять и удалять их;
  • закреплять за собой любое количество рабочих столов в группе;
  • подключаться к своим рабочим столам;
  • запускать, перезапускать и останавливать свои рабочие столы;
  • сбрасывать пароль на своих рабочих столах;
  • просматривать информацию о квотах сервиса Cloud Desktop.

Включает разрешения, предоставляемые ролями vdi.viewer и vdi.desktopGroups.user.

vdi.admin

Роль vdi.admin позволяет управлять группами рабочих столов и доступом к ним, а также управлять рабочими столами и использовать их.

Пользователи с этой ролью могут:

  • просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы;
  • просматривать информацию о назначенных правах доступа к группам рабочих столов, а также изменять такие права доступа;
  • просматривать информацию о рабочих столах, а также создавать, изменять и удалять их;
  • закреплять как за собой, так и за любым пользователем любое количество рабочих столов в группе рабочих столов;
  • подключаться к своим рабочим столам;
  • запускать, перезапускать и останавливать любые рабочие столы в группе;
  • сбрасывать пароль на любых рабочих столах в группе;
  • просматривать информацию о квотах сервиса Cloud Desktop;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями vdi.editor и vdi.desktopGroups.maintainer.

Подробнее см. Управление доступом в Yandex Cloud Desktop.

Yandex Cloud DNS

dns.auditor

Роль dns.auditor позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, а также о каталоге и квотах сервиса Cloud DNS. Роль не дает доступа к ресурсным записям.

dns.viewer

Роль dns.viewer позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, о ресурсных записях, а также о каталоге и квотах сервиса Cloud DNS.

Включает разрешения, предоставляемые ролью dns.auditor.

dns.editor

Роль dns.editor позволяет управлять DNS-зонами и ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.

Пользователи с этой ролью могут:

  • просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
  • создавать вложенные публичные DNS-зоны;
  • просматривать информацию о назначенных правах доступа к DNS-зонам;
  • просматривать информацию о квотах сервиса Cloud DNS;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dns.viewer.

dns.admin

Роль dns.admin позволяет управлять DNS-зонами и доступом к ним, ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к DNS-зонам, а также создавать, изменять и удалять такие права доступа;
  • просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
  • создавать вложенные публичные DNS-зоны;
  • просматривать информацию о квотах сервиса Cloud DNS;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dns.editor.

Подробнее см. Управление доступом в Cloud DNS.

Yandex Cloud Functions

functions.auditor

Роль functions.auditor позволяет просматривать информацию о функциях, триггерах и подключениях к управляемым БД.

Пользователи с этой ролью могут:

  • просматривать список функций и информацию о них;
  • просматривать список триггеров и информацию о них;
  • просматривать список подключений к БД и информацию о таких подключениях;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions.

functions.viewer

Роль functions.viewer позволяет просматривать информацию о функциях, в том числе код и переменные окружения версий функций, а также информацию о триггерах и подключениях к управляемым БД.

Пользователи с этой ролью могут:

  • просматривать список функций и информацию о них;
  • просматривать переменные окружения и программный код версий функций;
  • просматривать список триггеров и информацию о них;
  • просматривать список подключений к БД и информацию о таких подключениях;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
  • просматривать информацию о квотах сервиса Cloud Functions;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.auditor.

functions.functionInvoker

Роль functions.functionInvoker позволяет вызывать функции.

functions.editor

Роль functions.editor позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД.

Пользователи с этой ролью могут:

  • просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
  • просматривать переменные окружения и программный код версий функций;
  • просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
  • просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
  • создавать, изменять и удалять API-шлюзы;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
  • просматривать информацию о квотах сервиса Cloud Functions;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.viewer.

functions.mdbProxiesUser

Роль functions.mdbProxiesUser позволяет подключаться к управляемым БД из функций.

functions.admin

Роль functions.admin позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
  • просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
  • просматривать переменные окружения и программный код версий функций;
  • просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
  • просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
  • создавать, изменять и удалять API-шлюзы;
  • просматривать информацию о квотах сервиса Cloud Functions;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.editor.

serverless.mdbProxies.user

Роль serverless.mdbProxies.user позволяет подключаться к управляемым БД из функций Cloud Functions.

Эта роль недоступна. Используйте роль functions.mdbProxiesUser.

serverless.functions.invoker

Роль serverless.functions.invoker позволяет вызывать функции.

Эта роль недоступна. Используйте роль functions.functionInvoker.

serverless.functions.admin

Роль serverless.functions.admin позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
  • просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
  • просматривать переменные окружения и программный код версий функций;
  • просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
  • просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
  • просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
  • просматривать информацию о квотах сервиса Cloud Functions;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль functions.admin.

Подробнее см. Управление доступом в Cloud Functions.

Yandex Cloud Logging

logging.viewer

Роль logging.viewer позволяет просматривать информацию о лог-группах, приемниках логов и назначенных правах доступа к ним, а также об облаке и каталоге.

Пользователи с этой ролью могут:

  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию об облаке и каталоге.

logging.editor

Роль logging.editor позволяет просматривать информацию о ресурсах сервиса и управлять ими.

Пользователи с этой ролью могут:

  • просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
  • просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.reader

Роль logging.reader позволяет просматривать записи в лог-группах и информацию о ресурсах сервиса, а также метаинформацию облака и каталога.

Пользователи с этой ролью могут:

  • просматривать записи в лог-группах;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.writer

Роль logging.writer позволяет добавлять записи в лог-группы и просматривать информацию о ресурсах сервиса, а также об облаке и каталоге.

Пользователи с этой ролью могут:

  • добавлять записи в лог-группы;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.admin

Роль logging.admin позволяет управлять ресурсами сервиса и доступом к ним, а также просматривать и добавлять записи в лог-группы.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging и изменять такие права доступа;
  • просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
  • просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
  • просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
  • просматривать и добавлять записи в лог-группы;
  • просматривать информацию о квотах сервиса Cloud Logging.
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.editor, logging.reader и logging.writer.

Подробнее см. Управление доступом в Cloud Logging.

Yandex Cloud Marketplace

Роли партнера

marketplace.meteringAgent

Роль marketplace.meteringAgent позволяет регистрировать потребление продуктов Marketplace.

Роль позволяет партнеру:

Роль можно назначить на сервисный аккаунт, от имени которого отправляются метрики потребления.

license-manager.saasSubscriptionSupervisor

Роль license-manager.saasSubscriptionSupervisor позволяет просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам, а также создавать такие привязки.

Роль предназначена для продуктов SaaS и может быть назначена на сервисный аккаунт, от имени которого будут создаваться привязки к ресурсам, приложениям или сервисам.

marketplace.product.creator

Роль marketplace.product.creator позволяет создавать продукты Marketplace в профиле партнера и управлять доступом к таким продуктам.

marketplace.product.admin

Роль marketplace.product.admin позволяет управлять продуктами Marketplace и доступом к ним, а также их версиями, тарифами, пробными периодами, формами и заявками на модерацию.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
  • просматривать информацию о продуктах, а также создавать и изменять их;
  • просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
  • просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
  • просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
  • просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
  • просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
  • просматривать список категорий продуктов.

marketplace.publishers.reportViewer

Роль marketplace.publishers.reportViewer позволяет просматривать отчеты по продуктам Marketplace в профиле партнера.

marketplace.publishers.viewer

Роль marketplace.publishers.viewer позволяет просматривать информацию о профиле партнера и продуктах Marketplace в нем, а также обращаться в техническую поддержку.

Пользователи с этой ролью могут:

  • просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
  • просматривать список версий продуктов партнера и информацию о таких версиях;
  • просматривать список заявок на модерацию продуктов партнера и информацию о таких заявках;
  • создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролью marketplace.publishers.member.

marketplace.publishers.editor

Роль marketplace.publishers.editor позволяет управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также обращаться в техническую поддержку.

Пользователи с этой ролью могут:

  • просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
  • просматривать информацию о продуктах, а также создавать и изменять их;
  • просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
  • просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
  • просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
  • просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
  • просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
  • просматривать список категорий продуктов;
  • создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролями marketplace.publishers.viewer и marketplace.product.admin.

marketplace.publishers.admin

Роль marketplace.publishers.admin позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.

Пользователи с этой ролью могут:

  • просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
  • просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
  • просматривать информацию о продуктах, а также создавать и изменять их;
  • просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
  • просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
  • просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
  • просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
  • просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
  • просматривать список категорий продуктов;
  • просматривать отчеты по продуктам Marketplace в профиле партнера;
  • создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролями marketplace.publishers.editor и marketplace.publishers.reportViewer.

marketplace.publishers.owner

Роль marketplace.publishers.owner позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.

Роль выдается владельцу платежного аккаунта при создании профиля партнера и не может быть переназначена.

Пользователи с этой ролью могут:

  • просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
  • просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
  • просматривать информацию о продуктах, а также создавать и изменять их;
  • просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
  • просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
  • просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
  • просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
  • просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
  • просматривать список категорий продуктов;
  • просматривать отчеты по продуктам Marketplace в профиле партнера;
  • создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролью marketplace.publishers.admin.

marketplace.publishers.member

Роль marketplace.publishers.member предоставляет права участника профиля партнера, но не дает доступа к ресурсам профиля. Чтобы предоставить пользователю доступ к продуктам или отчетам в профиле партнера, дополнительно назначьте ему роль marketplace.publishers.viewer, marketplace.publishers.editor, marketplace.publishers.admin или marketplace.publishers.owner.

Подробнее см. Управление доступом партнера в Marketplace.

Роли пользователя

license-manager.auditor

Роль license-manager.auditor позволяет просматривать информацию о подписках.

license-manager.viewer

Роль license-manager.viewer позволяет просматривать информацию о подписках и их привязках к ресурсу, приложению или сервису.

Включает разрешения, предоставляемые ролью license-manager.auditor.

license-manager.user

Роль license-manager.user позволяет управлять подписками, а также просматривать информацию о них и их привязках к ресурсам, приложениям или сервисам.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью license-manager.viewer.

license-manager.subscriptionAgent

Роль license-manager.subscriptionAgent позволяет привязывать подписки к ресурсам, приложениям или сервисам, а также просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам.

Подробнее см. Управление доступом пользователя в Marketplace.

Yandex Identity Hub

organization-manager.auditor

Роль organization-manager.auditor позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями iam.userAccounts.refreshTokenViewer, organization-manager.federations.auditor, organization-manager.osLogins.viewer, organization-manager.userpools.auditor, organization-manager.samlApplications.auditor и organization-manager.oauthApplications.auditor.

organization-manager.viewer

Роль organization-manager.viewer позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать события аудита пользователя;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.auditor, organization-manager.federations.viewer, organization-manager.users.viewer, organization-manager.samlApplications.viewer, organization-manager.oauthApplications.viewer, organization-manager.userpools.viewer и organization-manager.idpInstances.billingViewer.

organization-manager.editor

Роль organization-manager.editor позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, а также пользователями и их группами.

Пользователи с этой ролью могут:
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения и OIDC-приложения;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • просматривать информацию о назначенных правах доступа к группам пользователей;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.viewer, organization-manager.federations.editor, organization-manager.userpools.editor, organization-manager.samlApplications.editor, organization-manager.oauthApplications.editor и organization-manager.groups.editor.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.admin

Роль organization-manager.admin позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней.

Пользователи с этой ролью могут:
  • привязывать платежный аккаунт к организации Identity Hub;
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации и изменять такие права доступа;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • исключать пользователей из организации;
  • просматривать информацию об отправленных пользователям приглашениях в организацию, а также отправлять и удалять такие приглашения;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и OIDC-приложениям, а также изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • привязывать группы пользователей к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их;
  • просматривать, создавать, изменять и удалять репозитории SourceCraft;
  • читать файлы из репозитория SourceCraft;
  • просматривать, создавать, изменять и удалять предложения изменений в репозиториях SourceCraft;
  • выполнять слияние правок из предложения изменений в репозиториях SourceCraft;
  • вносить изменения в обычные и защищенные ветки репозитория SourceCraft;
  • просматривать, создавать и изменять публичные и приватные задачи (issues) в репозиториях SourceCraft;
  • изменять тип доступа к задачам в репозиториях SourceCraft;
  • оставлять реакции к задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять, удалять и отмечать выполненными комментарии к предложениям изменений, публичным и приватным задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять и удалять метки в репозиториях SourceCraft;
  • управлять доступом к репозиторию SourceCraft;
  • просматривать, получать, создавать, изменять и удалять секреты в репозиториях SourceCraft.

Включает разрешения, предоставляемые ролями organization-manager.editor, organization-manager.federations.admin, organization-manager.osLogins.admin, organization-manager.userpools.admin, organization-manager.samlApplications.admin, organization-manager.oauthApplications.admin, organization-manager.groups.memberAdmin, organization-manager.groups.externalCreator, organization-manager.groups.externalManager, organization-manager.idpInstances.billingAdmin и src.repositories.admin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.organizations.owner

Роль organization-manager.organizations.owner позволяет совершать любые действия с любыми ресурсами в организации и с платежными аккаунтами, в том числе создавать платежные аккаунты и привязывать их к облакам. Роль также позволяет назначать дополнительных владельцев организации.

Прежде чем назначить эту роль, ознакомьтесь с информацией о защите привилегированных аккаунтов.

organization-manager.federations.extGroupsViewer

Роль organization-manager.federations.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.federations.extGroupsManager

Роль organization-manager.federations.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к федерациям удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.extGroupsCleaner

Роль organization-manager.federations.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от федераций удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.auditor

Роль organization-manager.federations.auditor позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.federations.viewer

Роль organization-manager.federations.viewer позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.auditor и organization-manager.federations.extGroupsViewer.

organization-manager.federations.editor

Роль organization-manager.federations.editor позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.viewer и organization-manager.federations.userAdmin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.federations.userAdmin

Роль organization-manager.federations.userAdmin позволяет добавлять федеративных пользователей в организацию и удалять их, отзывать refresh-токены, управлять факторами MFA пользовательских аккаунтов, а также просматривать список пользователей организации и данные их профилей.

Пользователи с этой ролью могут:

  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать список пользователей организации, сведения в профилях пользователей (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.federations.admin

Роль organization-manager.federations.admin позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.editor, organization-manager.federations.extGroupsManager и organization-manager.federations.extGroupsCleaner.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.osLogins.viewer

Роль organization-manager.osLogins.viewer позволяет просматривать информацию о настройках OS Login организации и список профилей OS Login пользователей и сервисных аккаунтов, а также просматривать список SSH-ключей пользователей и информацию об SSH-ключах.

organization-manager.osLogins.admin

Роль organization-manager.osLogins.admin позволяет управлять настройками OS Login организации, а также профилями OS Login и SSH-ключами пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей организации и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей.

Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer.

organization-manager.groups.externalCreator

Роль organization-manager.groups.externalCreator позволяет создавать группы пользователей Identity Hub при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalConverter

Роль organization-manager.groups.externalConverter позволяет добавлять в группы пользователей Identity Hub атрибут с идентификатором внешней группы при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalManager

Роль organization-manager.groups.externalManager позволяет управлять группами пользователей Identity Hub, связанными с группами пользователей в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • связывать группы пользователей Identity Hub с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей в Identity Hub.

organization-manager.groups.editor

Роль organization-manager.groups.editor позволяет управлять группами пользователей.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

organization-manager.groups.memberAdmin

Роль organization-manager.groups.memberAdmin позволяет просматривать информацию о группах пользователей, а также просматривать и изменять списки пользователей и сервисных аккаунтов, входящих в группы.

organization-manager.groups.admin

Роль organization-manager.groups.admin позволяет управлять группами пользователей и их участниками, а также доступом к ним.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять такие группы;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список пользователей и сервисных аккаунтов, входящих в группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из таких групп.

Включает разрешения, предоставляемые ролями organization-manager.groups.editor и organization-manager.groups.memberAdmin.

organization-manager.users.viewer

Роль organization-manager.users.viewer позволяет просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, атрибуты и дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации, а также списки групп, в которые входят пользователи.

organization-manager.passportUserAdmin

Роль organization-manager.passportUserAdmin позволяет просматривать информацию о пользователях организации, а также приглашать в организацию и исключать из нее пользователей с аккаунтами на Яндексе.

Пользователи с этой ролью могут:

organization-manager.oauthApplications.auditor

Роль organization-manager.oauthApplications.auditor позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

organization-manager.oauthApplications.viewer

Роль organization-manager.oauthApplications.viewer позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.auditor.

organization-manager.oauthApplications.editor

Роль organization-manager.oauthApplications.editor позволяет управлять OIDC-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять OIDC-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.viewer.

organization-manager.oauthApplications.userAdmin

Роль organization-manager.oauthApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в OIDC-приложение.

organization-manager.oauthApplications.admin

Роль organization-manager.oauthApplications.admin позволяет управлять OIDC-приложениями и доступом к ним, а также пользователями, добавленными в OIDC-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к OIDC-приложениям и изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.oauthApplications.editor и organization-manager.oauthApplications.userAdmin.

organization-manager.samlApplications.auditor

Роль organization-manager.samlApplications.auditor позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

organization-manager.samlApplications.viewer

Роль organization-manager.samlApplications.viewer позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.auditor.

organization-manager.samlApplications.editor

Роль organization-manager.samlApplications.editor позволяет управлять SAML-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.viewer.

organization-manager.samlApplications.userAdmin

Роль organization-manager.samlApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в SAML-приложение.

organization-manager.samlApplications.admin

Роль organization-manager.samlApplications.admin позволяет управлять SAML-приложениями и доступом к ним, а также пользователями, добавленными в SAML-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и изменять такие права доступа;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.samlApplications.editor и organization-manager.samlApplications.userAdmin.

organization-manager.userpools.extGroupsViewer

Роль organization-manager.userpools.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.userpools.extGroupsManager

Роль organization-manager.userpools.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к пулам пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.extGroupsCleaner

Роль organization-manager.userpools.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от пулов пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.syncAgent

Роль organization-manager.userpools.syncAgent позволяет выполнять синхронизацию пользователей и групп Identity Hub с пользователями и группами в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • просматривать информацию о сессиях синхронизации агента Identity Hub AD Sync Agent с сервисом Identity Hub, а также создавать и изменять такие сессии;
  • просматривать информацию о пулах пользователей и о настройках синхронизации в пулах пользователей;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о пользователях Identity Hub, создавать, изменять, активировать, деактивировать, удалять пользователей, а также изменять пароли и другие данные пользователей Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsManager.

organization-manager.userpools.auditor

Роль organization-manager.userpools.auditor позволяет просматривать информацию о пулах пользователей и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.userpools.viewer

Роль organization-manager.userpools.viewer позволяет просматривать информацию о пулах пользователей, а также список пользователей организации и информацию о них.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.auditor и organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.editor

Роль organization-manager.userpools.editor позволяет управлять пулами пользователей и входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.userAdmin и organization-manager.userpools.viewer.

organization-manager.userpools.userAdmin

Роль organization-manager.userpools.userAdmin позволяет управлять локальными пользователями организации, входящими в пулы пользователей.

Пользователи с этой ролью могут:

  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.userpools.admin

Роль organization-manager.userpools.admin позволяет управлять пулами пользователей и доступом к ним, а также управлять входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.editor, organization-manager.userpools.extGroupsManager и organization-manager.userpools.extGroupsCleaner.

organization-manager.idpInstances.billingViewer

Роль organization-manager.idpInstances.billingViewer позволяет просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub, а также информацию о подписке на платные возможности сервиса Identity Hub и статистике использования квот по этой подписке.

organization-manager.idpInstances.billingAdmin

Роль organization-manager.idpInstances.billingAdmin позволяет управлять подпиской на платные возможности сервиса Identity Hub.

Пользователи с этой ролью могут:

  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.idpInstances.billingViewer.

Подробнее см. Управление доступом в Yandex Identity Hub.

Yandex Cloud Postbox

postbox.sender

Роль postbox.sender позволяет отправлять письма из Yandex Cloud Postbox.

postbox.auditor

Роль postbox.auditor позволяет просматривать информацию об адресах Yandex Cloud Postbox.

Пользователи с этой ролью могут:

postbox.viewer

Роль postbox.viewer позволяет просматривать информацию об адресах Yandex Cloud Postbox.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью postbox.auditor.

postbox.editor

Роль postbox.editor позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.

Пользователи с этой ролью могут:

  • создавать, изменять и удалять адреса и их конфигурации;
  • просматривать информацию об адресах и их конфигурациях;
  • получать список адресов и их конфигураций;
  • отправлять письма.

Включает разрешения, предоставляемые ролью postbox.viewer.

postbox.admin

Роль postbox.admin позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.

Пользователи с этой ролью могут:

  • создавать, изменять и удалять адреса и их конфигурации;
  • просматривать информацию об адресах и их конфигурациях;
  • получать список адресов и их конфигураций;
  • отправлять письма.

Включает разрешения, предоставляемые ролью postbox.editor.

Подробнее см. Управление доступом в Yandex Cloud Postbox.

Yandex Cloud Registry

cloud-registry.auditor

Роль cloud-registry.auditor позволяет просматривать метаданные артефактов, информацию о реестрах и назначенных правах доступа к ним, а также о квотах сервиса Cloud Registry.

Пользователи с этой ролью могут:

  • просматривать метаданные артефактов;
  • просматривать информацию о реестрах;
  • просматривать список IP-разрешений реестров;
  • просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
  • просматривать информацию о квотах сервиса Cloud Registry;
  • просматривать информацию об облаке и каталоге.

cloud-registry.viewer

Роль cloud-registry.viewer позволяет скачивать артефакты, просматривать информацию об артефактах и реестрах, о назначенных правах доступа к реестрам, а также о квотах сервиса Cloud Registry.

Пользователи с этой ролью могут:

  • просматривать информацию об артефактах и скачивать их;
  • просматривать информацию о реестрах;
  • просматривать список IP-разрешений реестров;
  • просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
  • просматривать информацию о квотах сервиса Cloud Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью cloud-registry.auditor.

cloud-registry.editor

Роль cloud-registry.editor позволяет управлять артефактами и реестрами, а также просматривать информацию о назначенных правах доступа к реестрам и квотах сервиса Cloud Registry.

Пользователи с этой ролью могут:

  • просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
  • просматривать информацию о реестрах, а также создавать, изменять и удалять их;
  • создавать и удалять папки внутри реестров;
  • просматривать список IP-разрешений реестров;
  • просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
  • просматривать информацию о квотах сервиса Cloud Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями cloud-registry.viewer и cloud-registry.artifacts.pusher.

cloud-registry.admin

Роль cloud-registry.admin позволяет управлять артефактами, реестрами и доступом к реестрам, а также просматривать информацию о квотах сервиса Cloud Registry.

Пользователи с этой ролью могут:

  • просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
  • просматривать информацию о реестрах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров, а также изменять такие права доступа;
  • создавать и удалять папки внутри реестров;
  • просматривать и изменять список IP-разрешений реестров;
  • просматривать информацию о квотах сервиса Cloud Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью cloud-registry.editor.

cloud-registry.artifacts.puller

Роль cloud-registry.artifacts.puller позволяет скачивать артефакты, а также получать информацию об артефактах и реестрах.

cloud-registry.artifacts.pusher

Роль cloud-registry.artifacts.pusher позволяет управлять артефактами, а также просматривать информацию о реестрах и управлять папками в них.

Пользователи с этой ролью могут:

  • просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
  • просматривать информацию о реестрах;
  • создавать и удалять папки внутри реестров.

Подробнее см. Управление доступом в Yandex Cloud Registry.

Yandex Cloud Video

video.auditor

Роль video.auditor позволяет просматривать информацию о ресурсах сервиса Cloud Video или отдельного канала, их настройках и назначенных правах доступа.

video.viewer

Роль video.viewer позволяет просматривать информацию о ресурсах сервиса Cloud Video или отдельного канала, их настройках и назначенных правах доступа.

Пользователи с этой ролью могут:

  • просматривать информацию о ресурсах сервиса Cloud Video и их настройках;
  • скачивать исходные файлы видео и их субтитров, а также изображения обложек видео;
  • просматривать информацию о назначенных правах доступа к каналам Cloud Video.

Включает разрешения, предоставляемые ролью video.auditor.

video.editor

Роль video.editor позволяет управлять ресурсами сервиса Cloud Video или отдельного канала, а также выполнять трансляцию видеопотока.

Пользователи с этой ролью могут:

  • просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
  • выполнять трансляцию видеопотока Cloud Video в прямом эфире;
  • скачивать исходные файлы видео и их субтитров, а также изображения обложек видео;
  • использовать возможности ИИ, такие как суммаризация и нейроперевод видео;
  • просматривать информацию о назначенных правах доступа к каналам Cloud Video.

Включает разрешения, предоставляемые ролью video.viewer.

video.admin

Роль video.admin позволяет управлять ресурсами сервиса Cloud Video или отдельного канала, назначать права доступа ко всем ресурсам или ресурсам канала.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к каналам Cloud Video и изменять такие права доступа;
  • просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
  • выполнять трансляцию видеопотока Cloud Video в прямом эфире;
  • скачивать исходные файлы видео и их субтитров, а также изображения обложек видео;
  • использовать возможности ИИ, такие как суммаризация и нейроперевод видео.

Включает разрешения, предоставляемые ролью video.editor.

Yandex Compute Cloud

compute.auditor

Роль compute.auditor позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.

Пользователи с этой ролью могут:

compute.viewer

Роль compute.viewer позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.

Пользователи с этой ролью могут:
  • просматривать вывод последовательного порта виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп виртуальных машин и информацию о них;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать информацию о пулах резервов ВМ;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
  • просматривать информацию о доступных платформах;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями compute.auditor и compute.snapshotSchedules.viewer.

compute.editor

Роль compute.editor позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.

Пользователи с этой ролью могут:
  • создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
  • создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
  • привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
  • использовать последовательный порт виртуальной машины в режиме чтения и записи;
  • имитировать события обслуживания виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
  • просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
  • использовать кластеры GPU, а также создавать, изменять и удалять их;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать информацию о пулах резервов ВМ, а также создавать, использовать, изменять и удалять их;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
  • создавать зашифрованные диски;
  • просматривать и обновлять ссылки на диски;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
  • создавать, изменять и удалять семейства образов, обновлять образы в них;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
  • просматривать информацию об облачных сетях и использовать их;
  • просматривать информацию о подсетях и использовать их;
  • просматривать информацию об адресах облачных ресурсов и использовать их;
  • просматривать информацию о таблицах маршрутизации и использовать их;
  • просматривать информацию о группах безопасности и использовать их;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
  • просматривать информацию о доступных платформах и использовать их;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.operator, compute.osLogin, compute.snapshotSchedules.editor, compute.disks.user и vpc.user.

compute.admin

Роль compute.admin позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.

Пользователи с этой ролью могут:
  • создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
  • создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
  • привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
  • использовать последовательный порт виртуальной машины в режиме чтения и записи;
  • имитировать события обслуживания виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (sudo);
  • использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
  • просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки виртуальных машин, входящих в группы размещения;
  • использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
  • использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать информацию о пулах резервов ВМ, а также создавать, использовать, изменять и удалять их;
  • использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
  • создавать зашифрованные диски;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать и обновлять ссылки на диски;
  • использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать информацию об облачных сетях и использовать их;
  • просматривать информацию о подсетях и использовать их;
  • просматривать информацию об адресах облачных ресурсов и использовать их;
  • просматривать информацию о таблицах маршрутизации и использовать их;
  • просматривать информацию о группах безопасности и использовать их;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
  • просматривать информацию о доступных платформах и использовать их;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.editor и compute.osAdminLogin.

compute.osLogin

Роль compute.osLogin позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.

compute.osAdminLogin

Роль compute.osAdminLogin позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo).

compute.disks.user

Роль compute.disks.user позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.

compute.images.user

Роль compute.images.user позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.

compute.operator

Роль compute.operator позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.

Пользователи с этой ролью могут:
  • запускать, перезапускать и останавливать виртуальные машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • запускать и останавливать группы виртуальных машин;
  • просматривать список групп виртуальных машин и информацию о них;
  • просматривать вывод последовательного порта виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать информацию о пулах резервов ВМ;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
  • просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
  • просматривать информацию о доступных платформах;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.viewer.

compute.snapshotSchedules.viewer

Роль compute.snapshotSchedules.viewer позволяет просматривать информацию о создании снимков дисков по расписаниям.

Пользователи с этой ролью могут:

compute.snapshotSchedules.editor

Роль compute.snapshotSchedules.editor позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.

Пользователи с этой ролью могут:

  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
  • просматривать списки дисков и использовать диски для создания снимков;
  • просматривать списки снимков дисков, создавать и удалять снимки;
  • просматривать список операций со снимками дисков и информацию об этих операциях.

Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer.

Подробнее см. Управление доступом в Compute Cloud.

Yandex Connection Manager

connection-manager.auditor

Роль connection-manager.auditor позволяет просматривать несекретную информацию о подключениях и назначенных правах доступа к ним. Если роль выдана на облако, то она позволяет просматривать квоты сервиса Connection Manager.

connection-manager.viewer

Роль connection-manager.viewer позволяет просматривать информацию о подключениях и назначенных правах доступа к ним, а также о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.auditor.

connection-manager.editor

Роль connection-manager.editor позволяет управлять подключениями, а также просматривать информацию о них.

Пользователи с этой ролью могут:

  • создавать, использовать, изменять и удалять подключения;
  • просматривать информацию о подключениях и назначенных правах доступа к ним;
  • просматривать информацию о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.viewer.

connection-manager.admin

Роль connection-manager.admin позволяет управлять подключениями и доступом к ним, а также просматривать информацию о подключениях.

Пользователи с этой ролью могут:

  • создавать, использовать, изменять и удалять подключения, а также управлять доступом к ним;
  • просматривать информацию о подключениях и назначенных правах доступа к ним;
  • просматривать информацию о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.editor.

Подробнее см. Управление доступом в Connection Manager.

Yandex Container Registry

container-registry.viewer

Роль container-registry.viewer позволяет просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
  • просматривать информацию о репозиториях и назначенных правах доступа к ним;
  • просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
  • просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
  • просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
  • просматривать историю сканирования Docker-образов на уязвимости и информацию о результатах такого сканирования;
  • просматривать информацию о квотах сервиса Container Registry;
  • просматривать информацию об облаке и каталоге.

container-registry.editor

Роль container-registry.editor позволяет управлять реестрами, Docker-образами, репозиториями и их настройками.

Пользователи с этой ролью могут:

  • просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
  • просматривать информацию о назначенных правах доступа к реестрам, а также о настройках политик доступа для IP-адресов;
  • просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
  • просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
  • запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
  • просматривать информацию о репозиториях и назначенных правах доступа к ним, а также создавать и удалять репозитории;
  • просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
  • запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
  • просматривать информацию о квотах сервиса Container Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.viewer.

container-registry.admin

Роль container-registry.admin позволяет управлять доступом к реестрам и репозиториям, а также управлять реестрами, Docker-образами, репозиториями и их настройками.

Пользователи с этой ролью могут:

  • просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
  • просматривать информацию о назначенных правах доступа к реестрам и изменять такие права доступа;
  • просматривать информацию о настройках политик доступа для IP-адресов и изменять такие настройки;
  • просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
  • просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
  • запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
  • просматривать информацию о репозиториях, а также создавать и удалять репозитории;
  • просматривать информацию о назначенных правах доступа к репозиториям и изменять такие права доступа;
  • просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
  • запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
  • просматривать информацию о квотах сервиса Container Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.editor.

container-registry.images.pusher

Роль container-registry.images.pusher позволяет управлять Docker-образами и репозиториями, а также просматривать информацию о Docker-образах, репозиториях и реестрах.

Пользователи с этой ролью могут:

  • просматривать список реестров и информацию о них;
  • просматривать список Docker-образов в реестре и информацию о них, а также загружать, скачивать, обновлять, и удалять Docker-образы;
  • создавать и удалять репозитории.

container-registry.images.puller

Роль container-registry.images.puller позволяет скачивать Docker-образы из реестра и просматривать список реестров и Docker-образов, а также информацию о них.

container-registry.images.scanner

Роль container-registry.images.scanner позволяет сканировать Docker-образы на наличие уязвимостей, а также просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
  • запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
  • просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
  • просматривать информацию о репозиториях и назначенных правах доступа к ним;
  • просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
  • просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
  • просматривать информацию о квотах сервиса Container Registry;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.viewer.

Подробнее см. Управление доступом в Container Registry.

Yandex DataLens

datalens.workbooks.limitedViewer

Роль datalens.workbooks.limitedViewer назначается на воркбук и позволяет просматривать вложенные в него чарты и дашборды, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Ограниченный просмотр. Рекомендуем выдавать эту роль только через интерфейс DataLens.

datalens.workbooks.viewer

Роль datalens.workbooks.viewer назначается на воркбук и позволяет просматривать все вложенные в него объекты, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Просмотр. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer.

datalens.workbooks.editor

Роль datalens.workbooks.editor назначается на воркбук и позволяет редактировать его и все вложенные в него объекты. В интерфейсе DataLens эта роль называется Редактирование. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • редактировать воркбук и создавать его копии;
  • просматривать все вложенные в воркбук объекты и редактировать их;
  • просматривать информацию о назначенных правах доступа к воркбуку.

Включает разрешения, предоставляемые ролью datalens.workbooks.viewer.

datalens.workbooks.admin

Роль datalens.workbooks.admin назначается на воркбук и позволяет управлять им, доступом к нему и всеми вложенными в него объектами. В интерфейсе DataLens эта роль называется Администрирование. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к воркбуку и изменять такие права доступа;
  • редактировать, перемещать воркбук, создавать копии и удалять его;
  • просматривать все вложенные в воркбук объекты и редактировать их;
  • встраивать вложенные в воркбук непубличные объекты на сайты и в приложения;
  • публиковать вложенные в воркбук объекты.

Включает разрешения, предоставляемые ролью datalens.workbooks.editor.

datalens.collections.limitedViewer

Роль datalens.collections.limitedViewer назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, в том числе просматривать чарты и дашборды вложенных воркбуков. В интерфейсе DataLens эта роль называется Ограниченный просмотр. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
  • просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
  • просматривать чарты и дашборды, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer.

datalens.collections.viewer

Роль datalens.collections.viewer назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, а также просматривать все объекты вложенных воркбуков. В интерфейсе DataLens эта роль называется Просмотр. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
  • просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
  • просматривать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролями datalens.collections.limitedViewer и datalens.workbooks.viewer.

datalens.collections.editor

Роль datalens.collections.editor назначается на коллекцию и позволяет редактировать ее и все вложенные в нее коллекции, воркбуки, а также все объекты в таких воркбуках. В интерфейсе DataLens эта роль называется Редактирование. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
  • редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки;
  • создавать копии текущей коллекции и всех вложенных в нее коллекций и воркбуков;
  • создавать новые коллекции и воркбуки внутри текущей и всех вложенных коллекций;
  • просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
  • просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам.

Включает разрешения, предоставляемые ролями datalens.collections.viewer и datalens.workbooks.editor.

datalens.collections.admin

Роль datalens.collections.admin назначается на коллекцию и позволяет управлять ей, доступом к ней, а также всеми вложенными в нее коллекциями, воркбуками и объектами в таких воркбуках. В интерфейсе DataLens эта роль называется Администрирование. Рекомендуем выдавать эту роль только через интерфейс DataLens.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к текущей коллекции, к вложенным в нее коллекциям и воркбукам, а также изменять такие права доступа;
  • просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
  • редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки, а также создавать их копии;
  • перемещать и удалять текущую коллекцию и все вложенные в нее коллекции и воркбуки;
  • создавать новые коллекции и воркбуки внутри текущей коллекции;
  • просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
  • встраивать на сайты и в приложения непубличные объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
  • публиковать объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролями datalens.collections.editor и datalens.workbooks.admin.

datalens.visitor

Роль datalens.visitor предоставляет доступ к сервису DataLens. Просмотр или редактирование воркбуков и коллекций возможны при наличии соответствующих ролей для доступа к этим воркбукам и коллекциям.

datalens.creator

Роль datalens.creator предоставляет доступ к сервису DataLens с правами на создание воркбуков и коллекций в корне DataLens. Просмотр или редактирование воркбуков и коллекций, созданных другими пользователями, возможны только при наличии прав доступа к этим воркбукам и коллекциям.

Включает разрешения, предоставляемые ролью datalens.visitor.

datalens.admin

Роль datalens.admin предоставляет полный доступ к сервису DataLens и всем воркбукам и коллекциям в нем.

Включает разрешения, предоставляемые ролью datalens.creator.

datalens.instances.user

Роль datalens.instances.user предоставляет доступ к сервису DataLens в качестве пользователя с правами на создание, чтение и изменение объектов согласно правам доступа к ним, а также позволяет просматривать информацию о каталогах.

После назначения сервисной роли вы можете назначить пользователю права доступа к объектам и папкам в сервисе DataLens.

Совет

Рекомендуем использовать роль datalens.creator вместо datalens.instances.user. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.

datalens.instances.admin

Роль datalens.instances.admin предоставляет доступ к сервису DataLens в качестве администратора экземпляра DataLens. Администратор получает полные права на все объекты и папки в сервисе DataLens, доступ к настройкам DataLens, а также позволяет просматривать информацию о каталогах.

Включает разрешения, предоставляемые ролью datalens.instances.user.

Совет

Рекомендуем использовать роль datalens.admin вместо datalens.instances.admin. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.

Подробнее см. Роли в Yandex DataLens.

Yandex Data Processing

dataproc.agent

Роль dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Processing, сообщать сервису о состоянии хостов кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Processing.

Сервисные аккаунты с этой ролью могут:

  • сообщать сервису Yandex Data Processing о состоянии хостов кластера;
  • получать информацию о заданиях и статусах их выполнения;
  • получать информацию о лог-группах и добавлять в них записи.

Сейчас эту роль можно назначить только на каталог или облако.

dataproc.auditor

Роль dataproc.auditor позволяет просматривать информацию о кластерах Yandex Data Processing.

dataproc.viewer

Роль dataproc.viewer позволяет просматривать информацию о кластерах Yandex Data Processing и заданиях.

dataproc.user

Роль dataproc.user предоставляет доступ к веб-интерфейсам компонентов Yandex Data Processing и позволяет создавать задания, а также позволяет просматривать информацию о кластерах управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролями dataproc.viewer и mdb.viewer.

dataproc.provisioner

Роль dataproc.provisioner предоставляет доступ к API для создания, изменения и удаления объектов кластеров Yandex Data Processing.

Пользователи с этой ролью могут:
  • просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
  • создавать вложенные публичные DNS-зоны;
  • просматривать информацию о назначенных правах доступа к DNS-зонам;
  • просматривать информацию о доступных платформах и использовать их;
  • создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
  • просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
  • подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
  • создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
  • привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
  • просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта;
  • использовать последовательный порт виртуальной машины в режиме чтения и записи;
  • имитировать события обслуживания виртуальной машины;
  • просматривать метаданные виртуальной машины;
  • просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
  • просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
  • просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
  • просматривать списки ВМ, входящих в группы размещения;
  • просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
  • просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
  • изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
  • использовать кластеры GPU, а также создавать, изменять и удалять их;
  • просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
  • просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
  • создавать зашифрованные диски;
  • просматривать и обновлять ссылки на диски;
  • просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
  • просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
  • просматривать списки дисков, входящих в группы размещения;
  • просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
  • создавать, изменять и удалять семейства образов, обновлять образы в них;
  • просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
  • просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
  • просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о метриках Monitoring и их метках, а также выгружать метрики;
  • просматривать список дашбордов и виджетов Monitoring, а также информацию о них;
  • просматривать историю уведомлений Monitoring;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
  • просматривать информацию о квотах сервисов Cloud DNS,
    Virtual Private Cloud, и Monitoring;
  • просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями iam.serviceAccounts.user, dns.editor, compute.editor, monitoring.viewer и logging.viewer.

dataproc.editor

Роль dataproc.editor позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью dataproc.user.

dataproc.admin

Роль dataproc.admin позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью dataproc.editor.

mdb.dataproc.agent

Роль mdb.dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Processing, сообщать сервису о состоянии хостов кластера.

Сервисные аккаунты с этой ролью могут:

  • сообщать сервису Yandex Data Processing о состоянии хостов кластера;
  • получать информацию о заданиях и статусах их выполнения;
  • получать информацию о лог-группах и добавлять в них записи.

Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Processing.

Эта роль недоступна. Используйте роль dataproc.agent.

managed-metastore.auditor

Роль managed-metastore.auditor позволяет просматривать информацию о кластерах Apache Hive™ Metastore и квотах сервисов управляемых баз данных Yandex Cloud.

managed-metastore.viewer

Роль managed-metastore.viewer позволяет просматривать информацию о кластерах Apache Hive™ Metastore и логи их работы, а также информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Hive™ Metastore;
  • просматривать логи кластеров Apache Hive™ Metastore;
  • просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.auditor.

managed-metastore.editor

Роль managed-metastore.editor позволяет управлять кластерами Apache Hive™ Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Hive™ Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
  • экспортировать и импортировать кластеры Apache Hive™ Metastore;
  • просматривать логи кластеров Apache Hive™ Metastore;
  • просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.viewer.

Для создания кластеров дополнительно необходима роль vpc.user.

managed-metastore.admin

Роль managed-metastore.admin позволяет управлять кластерами Apache Hive™ Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Hive™ Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
  • экспортировать и импортировать кластеры Apache Hive™ Metastore;
  • просматривать логи кластеров Apache Hive™ Metastore;
  • просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.editor.

Для создания кластеров дополнительно необходима роль vpc.user.

managed-metastore.integrationProvider

Роль managed-metastore.integrationProvider позволяет кластеру Apache Hive™ Metastore взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Hive™ Metastore.

Пользователи с этой ролью могут:

  • добавлять записи в лог-группы;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
  • просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
  • просматривать историю уведомлений Monitoring;
  • просматривать информацию о квотах сервиса Monitoring;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer и monitoring.editor.

Подробнее см. Управление доступом в Yandex Data Processing.

Yandex DataSphere

datasphere.community-projects.viewer

Роль datasphere.community-projects.viewer позволяет просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer имеют роль Viewer на вкладке Участники на странице проекта.

datasphere.community-projects.developer

Роль datasphere.community-projects.developer позволяет работать в проектах и управлять ресурсами, которые закреплены за проектами.

Пользователи с этой ролью могут:

  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
  • создавать, изменять и удалять ресурсы в проектах;
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Developer на вкладке Участники на странице проекта.

datasphere.community-projects.editor

Роль datasphere.community-projects.editor позволяет работать в проектах, изменять и удалять их, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
  • создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.developer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor имеют роль Editor на вкладке Участники на странице проекта.

datasphere.community-projects.admin

Роль datasphere.community-projects.admin позволяет управлять доступом к проектам, работать в них, изменять и удалять проекты, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
  • создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет роль Developer (datasphere.communities.developer) и выше;
  • запускать IDE и исполнение ячеек с кодом в проектах.

Включает разрешения, предоставляемые ролью datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Admin на вкладке Участники на странице проекта.

datasphere.communities.viewer

Роль datasphere.communities.viewer позволяет просматривать информацию о сообществах и проектах, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer имеют роль Viewer на вкладке Участники на странице сообщества.

datasphere.communities.developer

Роль datasphere.communities.developer позволяет создавать новые проекты и публиковать ресурсы проектов в сообществах, а также просматривать информацию о сообществах и проектах.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах и назначенных правах доступа к ним;
  • создавать новые проекты в сообществах;
  • публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролью datasphere.communities.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Developer на вкладке Участники на странице сообщества.

datasphere.communities.editor

Роль datasphere.communities.editor позволяет привязывать платежный аккаунт к сообществам, удалять сообщества и редактировать их настройки, а также управлять проектами и ресурсами сообществ.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах и назначенных правах доступа к ним, а также изменять и удалять сообщества;
  • привязывать платежный аккаунт к сообществам;
  • создавать новые проекты в сообществах, а также изменять и удалять проекты;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
  • создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.developer и datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor имеют роль Editor на вкладке Участники на странице сообщества.

datasphere.communities.admin

Роль datasphere.communities.admin позволяет управлять сообществами и проектами сообществ, а также доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о сообществах, а также изменять и удалять сообщества;
  • просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
  • привязывать платежный аккаунт к сообществам;
  • создавать новые проекты в сообществах, а также изменять и удалять проекты;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
  • просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
  • создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.editor и datasphere.community-projects.admin.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Admin на вкладке Участники на странице сообщества.

datasphere.user

Роль datasphere.user позволяет запускать в проектах исполнение ячеек с кодом, просматривать информацию о проектах и квотах сервиса DataSphere, а также об облаке и каталоге.

Роль datasphere.user устарела и больше не используется.

data-sphere.user

Роль data-sphere.user устарела и больше не используется.

datasphere.admin

Роль datasphere.admin позволяет управлять сообществами, проектами сообществ и доступом к ним, а также использовать облачные сети и ресурсы сервиса Virtual Private Cloud.

Пользователи с этой ролью могут:
  • просматривать информацию о сообществах, а также изменять и удалять сообщества;
  • просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
  • привязывать платежный аккаунт к сообществам;
  • создавать новые проекты в сообществах, а также изменять и удалять проекты;
  • просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
  • просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
  • создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
  • запускать IDE и исполнение ячеек с кодом в проектах;
  • просматривать список сервисных аккаунтов и использовать их;
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать информацию о квотах сервисов DataSphere и Virtual Private Cloud;
  • просматривать информацию об организации, облаке и каталоге.

Роль datasphere.admin устарела и больше не используется.

data-sphere.admin

Роль data-sphere.admin устарела и больше не используется.

Подробнее см. Управление доступом в DataSphere.

Yandex Data Streams

yds.auditor

Роль yds.auditor позволяет просматривать метаданные потоков данных Data Streams, устанавливать соединения c базами данных YDB, просматривать информацию о БД YDB и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД YDB.

Пользователи с этой ролью могут:

  • просматривать метаданные потоков данных Data Streams;
  • устанавливать соединения c базами данных YDB;
  • просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных YDB;
  • просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к таким резервным копиям;
  • просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.auditor.

yds.viewer

Роль yds.viewer позволяет читать данные из потоков данных Data Streams и просматривать их настройки, а также устанавливать соединения c БД YDB, выполнять запросы на чтение данных, просматривать информацию о БД YDB и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

  • просматривать метаданные потоков данных Data Streams и читать данные из таких потоков;
  • устанавливать соединения c базами данных YDB и выполнять запросы на чтение данных;
  • просматривать список баз данных YDB и информацию о них, а также о назначенных правах доступа к базам данных YDB;
  • просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям;
  • просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.viewer.

yds.writer

Роль yds.writer позволяет записывать данные в потоки Data Streams, а также устанавливать соединения c базами данных YDB.

yds.editor

Роль yds.editor позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.

Пользователи с этой ролью могут:

  • просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
  • выполнять чтение и запись данных в потоках Data Streams;
  • просматривать список баз данных YDB и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
  • устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
  • просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями ydb.editor и yds.writer.

yds.admin

Роль yds.admin позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.

Пользователи с этой ролью могут:

  • просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
  • выполнять чтение и запись данных в потоках Data Streams;
  • просматривать список баз данных YDB и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
  • просматривать информацию о назначенных правах доступа к базам данных YDB и изменять такие права доступа;
  • устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных YDB, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
  • просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
  • просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.admin.

Подробнее см. Управление доступом в Data Streams.

Yandex Data Transfer

data-transfer.auditor

Роль data-transfer.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.viewer

Роль data-transfer.viewer позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.auditor.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.privateAdmin

Роль data-transfer.privateAdmin позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

  • просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
  • просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
  • просматривать информацию о каталоге;
  • просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.viewer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.admin

Роль data-transfer.admin позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

  • просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
  • просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
  • просматривать информацию о каталоге;
  • просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.privateAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

Подробнее см. Управление доступом в Data Transfer.

Yandex Identity and Access Management

iam.serviceAccounts.user

Роль iam.serviceAccounts.user позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.

Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.

iam.serviceAccounts.admin

Роль iam.serviceAccounts.admin позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.

Пользователи с этой ролью могут:

  • просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять сервисные аккаунты;
  • просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
  • получать IAM-токен для сервисного аккаунта;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
  • просматривать информацию о каталоге и его настройки.

iam.serviceAccounts.accessKeyAdmin

Роль iam.serviceAccounts.accessKeyAdmin позволяет управлять статическими ключами доступа сервисных аккаунтов.

Пользователи с этой ролью могут:

iam.serviceAccounts.apiKeyAdmin

Роль iam.serviceAccounts.apiKeyAdmin позволяет управлять API-ключами сервисных аккаунтов.

Пользователи с этой ролью могут:

iam.serviceAccounts.authorizedKeyAdmin

Роль iam.serviceAccounts.authorizedKeyAdmin позволяет просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.

iam.serviceAccounts.keyAdmin

Роль iam.serviceAccounts.keyAdmin позволяет управлять статическими ключами доступа, API-ключами и авторизованными ключами сервисных аккаунтов.

Пользователи с этой ролью могут:

  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять статические ключи доступа;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять API-ключи;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.

Включает разрешения, предоставляемые ролями iam.serviceAccounts.accessKeyAdmin, iam.serviceAccounts.apiKeyAdmin и iam.serviceAccounts.authorizedKeyAdmin.

iam.serviceAccounts.tokenCreator

Роль iam.serviceAccounts.tokenCreator позволяет пользователю получать IAM-токен для сервисного аккаунта.

С помощью такого IAM-токена пользователь сможет имперсонироваться в сервисный аккаунт и выполнять действия, разрешенные для этого сервисного аккаунта.

Роль не позволяет пользователю изменять права доступа или удалять сервисный аккаунт.

iam.serviceAccounts.federatedCredentialViewer

Роль iam.serviceAccounts.federatedCredentialViewer позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках.

iam.serviceAccounts.federatedCredentialEditor

Роль iam.serviceAccounts.federatedCredentialEditor позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках, а также создавать и удалять привязки.

Включает разрешения, предоставляемые ролью iam.serviceAccounts.federatedCredentialViewer.

iam.workloadIdentityFederations.auditor

Роль iam.workloadIdentityFederations.auditor позволяет просматривать метаданные федераций сервисных аккаунтов.

iam.workloadIdentityFederations.viewer

Роль iam.workloadIdentityFederations.viewer позволяет просматривать информацию о федерациях сервисных аккаунтов.

Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.auditor.

iam.workloadIdentityFederations.user

Роль iam.workloadIdentityFederations.user позволяет использовать федерации сервисных аккаунтов.

iam.workloadIdentityFederations.editor

Роль iam.workloadIdentityFederations.editor позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять и удалять такие федерации.

Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.viewer.

iam.workloadIdentityFederations.admin

Роль iam.workloadIdentityFederations.admin позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять, использовать и удалять такие федерации.

Включает разрешения, предоставляемые ролями iam.workloadIdentityFederations.editor и iam.workloadIdentityFederations.user.

iam.userAccounts.refreshTokenViewer

Роль iam.userAccounts.refreshTokenViewer позволяет просматривать списки refresh-токенов федеративных пользователей. Роль назначается на организацию.

iam.userAccounts.refreshTokenRevoker

Роль iam.userAccounts.refreshTokenRevoker позволяет отзывать refresh-токены федеративных пользователей. Роль назначается на организацию.

iam.auditor

Роль iam.auditor позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать список сервисных аккаунтов и информацию о них;
  • просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов;
  • просматривать список операций и информацию об операциях с ресурсами сервиса;
  • просматривать информацию о квотах сервиса Identity and Access Management;
  • просматривать информацию об облаке и его настройки;
  • просматривать информацию о каталоге и его настройки.

iam.viewer

Роль iam.viewer позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать список сервисных аккаунтов и информацию о них;
  • просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов;
  • просматривать список операций и информацию об операциях с ресурсами сервиса;
  • просматривать информацию о квотах сервиса Identity and Access Management;
  • просматривать информацию об облаке и его настройки;
  • просматривать информацию о каталоге и его настройки.

Включает разрешения, предоставляемые ролью iam.auditor.

iam.editor

Роль iam.editor позволяет управлять сервисными аккаунтами и их ключами, управлять каталогами, а также просматривать информацию об операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
  • просматривать список операций и информацию об операциях с ресурсами сервиса;
  • просматривать информацию о квотах сервиса Identity and Access Management;
  • просматривать информацию об облаке и его настройки;
  • просматривать информацию о каталогах и их настройки;
  • создавать, изменять, удалять и настраивать каталоги.

Включает разрешения, предоставляемые ролью iam.viewer.

iam.admin

Роль iam.admin позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, управлять каталогами, просматривать информацию о квотах и операциях с ресурсами сервиса, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.

Пользователи с этой ролью могут:

  • просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
  • получать IAM-токен для сервисного аккаунта;
  • просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
  • просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
  • просматривать информацию о федерациях удостоверений;
  • просматривать список операций и информацию об операциях с ресурсами сервиса;
  • просматривать информацию о квотах сервиса Identity and Access Management;
  • просматривать информацию об облаке и его настройки;
  • просматривать информацию о каталогах и их настройки;
  • создавать, изменять, удалять и настраивать каталоги.

Включает разрешения, предоставляемые ролями iam.editor и iam.serviceAccounts.admin.

Подробнее см. Управление доступом в сервисе Identity and Access Management.

Yandex IoT Core

iot.devices.writer

Роль iot.devices.writer позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.

iot.registries.writer

Роль iot.registries.writer позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.

iot.auditor

Роль iot.auditor позволяет просматривать метаинформацию об устройствах и реестрах устройств, а также брокерах и квотах в Yandex IoT Core.

iot.viewer

Роль iot.viewer позволяет просматривать все ресурсы Yandex IoT Core.

iot.editor

Роль iot.editor позволяет создавать, редактировать и удалять все ресурсы Yandex IoT Core.

Подробнее см. Управление доступом в Yandex IoT Core.

Yandex AI Studio

ai.playground.user

Роль ai.playground.user позволяет использовать AI Playground в консоли управления Yandex Cloud, а также получать список всех доступных моделей.

ai.languageModels.user

Роль ai.languageModels.user позволяет использовать модели генерации текста в сервисе Yandex AI Studio, а также просматривать информацию об облаке, каталоге и квотах сервиса.

ai.imageGeneration.user

Роль ai.imageGeneration.user позволяет использовать модели генерации изображений YandexART в сервисе Yandex AI Studio, а также просматривать информацию об облаке, каталоге и квотах сервиса.

ai.assistants.auditor

Роль ai.assistants.auditor позволяет просматривать информацию об AI-агентах и AI-ассистентах, их пользователях и тредах, а также о загруженных файлах и их индексах.

Пользователи с этой ролью могут:

  • просматривать информацию об AI-агентах и AI-ассистентах;
  • просматривать информацию о пользователях AI-агентов и AI-ассистентов и их тредах;
  • просматривать информацию о загруженных файлах и их поисковых индексах;
  • просматривать информацию о квотах сервиса Yandex AI Studio;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

ai.assistants.viewer

Роль ai.assistants.viewer позволяет читать треды и файлы, выполнять поиск файлов по индексам в каталоге, а также просматривать информацию об AI-агентах и AI-ассистентах, загруженных файлах и их индексах.

Пользователи с этой ролью могут:

  • просматривать информацию об AI-агентах и AI-ассистентах;
  • просматривать информацию о пользователях AI-агентов и AI-ассистентов;
  • просматривать информацию о тредах пользователей AI-агентов и AI-ассистентов, а также читать такие треды;
  • просматривать информацию о загруженных файлах и просматривать такие файлы;
  • просматривать информацию о поисковых индексах файлов, а также выполнять поиск файлов в каталоге по таким индексам;
  • просматривать информацию о квотах сервиса Yandex AI Studio;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью ai.assistants.auditor.

ai.assistants.editor

Роль ai.assistants.editor позволяет управлять AI-агентами и AI-ассистентами, их пользователями и тредами, а также файлами с дополнительной информацией и поисковыми индексами таких файлов.

Пользователи с этой ролью могут:

  • просматривать информацию об AI-агентах и AI-ассистентах, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о пользователях AI-агентов и AI-ассистентов, а также создавать, изменять и удалять таких пользователей;
  • просматривать информацию о тредах пользователей AI-агентов и AI-ассистентов, а также создавать, изменять, читать, записывать и удалять такие треды;
  • просматривать информацию о загруженных файлах, а также создавать, изменять, просматривать и удалять такие файлы;
  • просматривать информацию о поисковых индексах файлов, создавать, изменять и удалять поисковые индексы, а также выполнять поиск файлов в каталоге по таким индексам;
  • просматривать информацию о квотах сервиса Yandex AI Studio;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью ai.assistants.viewer.

ai.assistants.admin

Роль ai.assistants.admin позволяет управлять AI-агентами и AI-ассистентами, их пользователями и тредами, а также файлами с дополнительной информацией и поисковыми индексами таких файлов.

Пользователи с этой ролью могут:

  • просматривать информацию об AI-агентах и AI-ассистентах, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о пользователях AI-агентов и AI-ассистентов, а также создавать, изменять и удалять таких пользователей;
  • просматривать информацию о тредах пользователей AI-агентов и AI-ассистентов, а также создавать, изменять, читать, записывать и удалять такие треды;
  • просматривать информацию о загруженных файлах, а также создавать, изменять, просматривать и удалять такие файлы;
  • просматривать информацию о поисковых индексах файлов, создавать, изменять и удалять поисковые индексы, а также выполнять поиск файлов в каталоге по таким индексам;
  • просматривать информацию о квотах сервиса Yandex AI Studio;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью ai.assistants.editor.

ai.datasets.auditor

Роль ai.datasets.auditor позволяет просматривать метаданные датасетов.

ai.datasets.viewer

Роль ai.datasets.viewer позволяет просматривать информацию о датасетах.

Включает разрешения, предоставляемые ролью ai.datasets.auditor.

ai.datasets.user

Роль ai.datasets.user позволяет просматривать информацию о датасетах и использовать их для дообучения моделей в AI Studio.

Включает разрешения, предоставляемые ролью ai.datasets.viewer.

ai.datasets.editor

Роль ai.datasets.editor позволяет просматривать информацию о датасетах, создавать, изменять и удалять датасеты, а также использовать их для дообучения моделей в AI Studio.

Включает разрешения, предоставляемые ролью ai.datasets.user.

ai.datasets.admin

Роль ai.datasets.admin позволяет просматривать информацию о датасетах, создавать, изменять и удалять датасеты, а также использовать их для дообучения моделей в AI Studio.

Включает разрешения, предоставляемые ролью ai.datasets.editor.

ai.models.auditor

Роль ai.models.auditor позволяет просматривать метаданные моделей генерации текста Yandex AI Studio.

ai.models.viewer

Роль ai.models.viewer позволяет просматривать информацию о моделях генерации текста Yandex AI Studio.

Включает разрешения, предоставляемые ролью ai.models.auditor.

ai.models.user

Роль ai.models.user позволяет просматривать информацию о моделях генерации текста Yandex AI Studio, а также использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью ai.models.viewer.

ai.models.editor

Роль ai.models.editor позволяет управлять дообучением моделей генерации текста Yandex AI Studio, а также использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью ai.models.user.

ai.models.admin

Роль ai.models.admin позволяет управлять дообучением моделей генерации текста Yandex AI Studio, а также использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex AI Studio.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью ai.models.editor.

serverless.mcpGateways.auditor

Роль serverless.mcpGateways.auditor позволяет просматривать информацию об MCP-серверах и назначенных правах доступа к ним.

serverless.mcpGateways.viewer

Роль serverless.mcpGateways.viewer позволяет просматривать информацию об MCP-серверах и назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью serverless.mcpGateways.auditor.

serverless.mcpGateways.invoker

Роль serverless.mcpGateways.invoker позволяет обращаться к MCP-серверам, в том числе через MCP Hub.

serverless.mcpGateways.anonymousInvoker

Роль serverless.mcpGateways.anonymousInvoker позволяет обращаться к MCP-серверам, в том числе через MCP Hub.

serverless.mcpGateways.editor

Роль serverless.mcpGateways.editor позволяет создавать, изменять и удалять MCP-серверы, просматривать информацию о них и назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью serverless.mcpGateways.viewer.

serverless.mcpGateways.admin

Роль serverless.mcpGateways.admin позволяет управлять MCP-серверами и доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию об MCP-серверах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к MCP-серверам, а также изменять такие права доступа;
  • обращаться через MCP Hub к MCP-серверам, в том числе внешним.

Включает разрешения, предоставляемые ролями serverless.mcpGateways.editor, serverless.mcpGateways.invoker и serverless.mcpGateways.anonymousInvoker.

Подробнее см. Управление доступом в Yandex AI Studio.

Yandex Key Management Service

kms.keys.user

Роль kms.keys.user позволяет использовать симметричные ключи шифрования.

kms.keys.encrypter

Роль kms.keys.encrypter позволяет просматривать информацию о симметричных ключах шифрования и шифровать данные с помощью таких ключей.

kms.keys.decrypter

Роль kms.keys.decrypter позволяет просматривать информацию о симметричных ключах шифрования и расшифровывать данные с помощью таких ключей.

kms.keys.encrypterDecrypter

Роль kms.keys.encrypterDecrypter позволяет просматривать информацию о симметричных ключах шифрования, а также шифровать и расшифровывать данные с помощью таких ключей.

Включает разрешения, предоставляемые ролями kms.keys.encrypter и kms.keys.decrypter.

kms.asymmetricEncryptionKeys.publicKeyViewer

Роль kms.asymmetricEncryptionKeys.publicKeyViewer позволяет просматривать информацию об асимметричных ключевых парах шифрования, а также получать открытый ключ ключевой пары шифрования.

kms.asymmetricSignatureKeys.publicKeyViewer

Роль kms.asymmetricSignatureKeys.publicKeyViewer позволяет просматривать информацию о ключевых парах электронной подписи, а также получать открытый ключ ключевой пары электронной подписи.

kms.asymmetricSignatureKeys.signer

Роль kms.asymmetricSignatureKeys.signer позволяет подписывать данные с помощью закрытого ключа ключевой пары электронной подписи.

kms.asymmetricEncryptionKeys.decrypter

Роль kms.asymmetricEncryptionKeys.decrypter позволяет расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования.

kms.auditor

Роль kms.auditor позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

kms.viewer

Роль kms.viewer позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, о назначенных правах доступа к ним, а также о квотах сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью kms.auditor.

kms.editor

Роль kms.editor позволяет создавать ключи и ключевые пары шифрования и электронной подписи, а также использовать их для шифрования, расшифрования и подписи данных.

Пользователи с этой ролью могут:

  • просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним, а также создавать, ротировать и изменять метаданные симметричных ключей (в т.ч. период их ротации);
  • шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
  • просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним, а также создавать ассиметричные ключевые пары шифрования и изменять их метаданные;
  • получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
  • просматривать информацию о ключевых парах электронной подписи и назначенных правах доступа к ним, а также создавать ключевые пары электронной подписи и изменять их метаданные;
  • получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
  • просматривать информацию о квотах сервиса Key Management Service.

kms.admin

Роль kms.admin позволяет управлять ключами и ключевыми парами шифрования и электронной подписи и доступом к ним, а также использовать их для шифрования, расшифрования и подписи данных.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к симметричным ключам шифрования, а также изменять такие права доступа;
  • просматривать список симметричных ключей шифрования и информацию о них, а также создавать, активировать, деактивировать, ротировать, удалять симметричные ключи шифрования, изменять их основную версию и метаданные (в т.ч. период ротации);
  • шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
  • просматривать информацию о назначенных правах доступа к асимметричным ключевым парам шифрования, а также изменять такие права доступа;
  • просматривать информацию об асимметричных ключевых парах шифрования, а также создавать, активировать, деактивировать, удалять ассиметричные ключевые пары шифрования и изменять их метаданные;
  • получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
  • просматривать информацию о назначенных правах доступа к ключевым парам электронной подписи, а также изменять такие права доступа;
  • просматривать информацию о ключевых парах электронной подписи, а также создавать, активировать, деактивировать, удалять ключевые пары электронной подписи и изменять их метаданные;
  • получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
  • просматривать информацию о квотах сервиса Key Management Service;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью kms.editor.

Подробнее см. Управление доступом в Key Management Service.

Yandex Load Testing

loadtesting.viewer

Роль loadtesting.viewer позволяет просматривать информацию о генераторах нагрузки и нагрузочных тестах, а также метаданные каталога.

Пользователи с этой ролью могут:

  • просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
  • просматривать информацию о конфигурации нагрузочных тестов;
  • просматривать информацию о дашбордах регрессий нагрузочных тестов;
  • просматривать информацию об агентах;
  • просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах;
  • просматривать информацию о каталоге.

loadtesting.editor

Роль loadtesting.editor позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.

Пользователи с этой ролью могут:

  • просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
  • создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
  • просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
  • просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
  • регистрировать в Load Testing агентов, созданных за пределами сервиса;
  • просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
  • просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями loadtesting.viewer, loadtesting.loadTester и loadtesting.externalAgent.

loadtesting.admin

Роль loadtesting.admin позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.

Пользователи с этой ролью могут:

  • просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
  • создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
  • просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
  • просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
  • регистрировать в Load Testing агентов, созданных за пределами сервиса;
  • просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
  • просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью loadtesting.editor.

loadtesting.loadTester

Роль loadtesting.loadTester позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий.

Пользователи с этой ролью могут:

  • просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
  • создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
  • просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
  • просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
  • просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
  • просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
  • просматривать информацию о каталоге.

loadtesting.generatorClient

Роль loadtesting.generatorClient позволяет создавать, изменять и выполнять нагрузочные тесты на агенте, а также дает возможность загружать результаты тестов в хранилище.

Пользователи с этой ролью могут:

  • создавать, изменять и запускать нагрузочные тесты;
  • создавать и изменять конфигурацию нагрузочных тестов;
  • загружать данные результатов тестов в хранилище.

Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.

loadtesting.externalAgent

Роль loadtesting.externalAgent позволяет регистрировать в сервисе агентов, созданных вне Load Testing, а также создавать, изменять и выполнять нагрузочные тесты на агенте.

Пользователи с этой ролью могут:

  • регистрировать в Load Testing агентов, созданных за пределами сервиса;
  • создавать, изменять и запускать нагрузочные тесты;
  • создавать и изменять конфигурацию нагрузочных тестов;
  • загружать данные результатов тестов в хранилище.

Включает разрешения, предоставляемые ролью loadtesting.generatorClient.

Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.

Подробнее см. Управление доступом в Load Testing.

Yandex Lockbox

lockbox.auditor

Роль lockbox.auditor позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о квотах сервиса Yandex Lockbox и метаинформацию каталога.

lockbox.viewer

Роль lockbox.viewer позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о каталоге и квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролью lockbox.auditor.

lockbox.editor

Роль lockbox.editor позволяет управлять секретами и их версиями, а также просматривать информацию о назначенных правах доступа к секретам.

Пользователи с этой ролью могут:

  • просматривать информацию о секретах и назначенных правах доступа к ним, а также создавать, активировать, деактивировать и удалять секреты;
  • изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
  • просматривать информацию о каталоге;
  • просматривать информацию о квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролью lockbox.viewer.

lockbox.admin

Роль lockbox.admin позволяет управлять секретами, их версиями и доступом к ним, а также просматривать содержимое секретов.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к секретам, а также изменять такие права доступа;
  • просматривать информацию о секретах, в том числе содержимое секретов;
  • создавать, активировать, деактивировать и удалять секреты;
  • изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
  • просматривать информацию о каталоге;
  • просматривать информацию о квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролями lockbox.editor и lockbox.payloadViewer.

lockbox.payloadViewer

Роль lockbox.payloadViewer позволяет просматривать содержимое секретов.

Подробнее см. Управление доступом в Yandex Lockbox.

Управляемые базы данных

mdb.auditor

Роль mdb.auditor предоставляет минимально необходимые разрешения для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).

Пользователи с этой ролью могут просматривать информацию о кластерах управляемых баз данных, квотах и каталогах.

Включает разрешения, предоставляемые ролями managed-opensearch.auditor, managed-kafka.auditor, managed-mysql.auditor, managed-sqlserver.auditor, managed-postgresql.auditor, managed-greenplum.auditor, managed-clickhouse.auditor, managed-redis.auditor и managed-mongodb.auditor.

mdb.viewer

Роль mdb.viewer предоставляет доступ к чтению информации из кластеров управляемых баз данных и к логам работы кластеров.

Пользователи с этой ролью могут читать информацию из баз данных и просматривать логи кластеров управляемых баз данных, а также просматривать информацию о кластерах, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.auditor, managed-opensearch.viewer, managed-kafka.viewer, managed-mysql.viewer, managed-sqlserver.viewer, managed-postgresql.viewer, managed-greenplum.viewer, managed-clickhouse.viewer, managed-redis.viewer, managed-mongodb.viewer и dataproc.viewer.

mdb.admin

Роль mdb.admin предоставляет полный доступ к кластерам управляемых баз данных.

Пользователи с этой ролью могут могут создавать, изменять, удалять, запускать и останавливать кластеры управляемых баз данных, управлять доступом к кластерам, создавать резервные копии кластеров и восстанавливать кластеры из резервных копий, читать и сохранять информацию в базах данных, а также просматривать информацию о кластерах, логах их работы, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.viewer, vpc.user, managed-opensearch.admin, managed-kafka.admin, managed-mysql.admin, managed-sqlserver.admin, managed-postgresql.admin, managed-greenplum.admin, managed-clickhouse.admin, managed-redis.admin, managed-mongodb.admin и dataproc.admin.

mdb.restorer

Роль mdb.restorer позволяет восстанавливать кластеры управляемых баз данных из резервных копий, а также предоставляет доступ к чтению информации из кластеров и к логам их работы.

Пользователи с этой ролью могут восстанавливать кластеры управляемых баз данных из резервных копий, читать информацию из баз данных и просматривать логи кластеров, а также просматривать информацию о кластерах, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.viewer, managed-elasticsearch.restorer, managed-opensearch.restorer, managed-kafka.restorer, managed-mysql.restorer, managed-sqlserver.restorer, managed-postgresql.restorer, managed-spqr.restorer, managed-greenplum.restorer, managed-clickhouse.restorer, managed-redis.restorer и managed-mongodb.restorer.

Yandex Managed Service for Apache Airflow™

managed-airflow.auditor

Роль managed-airflow.auditor позволяет просматривать информацию о кластерах Apache Airflow™.

managed-airflow.viewer

Роль managed-airflow.viewer позволяет просматривать информацию о кластерах Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.auditor.

managed-airflow.user

Роль managed-airflow.user позволяет выполнять базовые операции с кластерами Apache Airflow™.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью managed-airflow.viewer.

managed-airflow.editor

Роль managed-airflow.editor позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью managed-airflow.user.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.admin

Роль managed-airflow.admin позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью managed-airflow.editor.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.integrationProvider

Роль managed-airflow.integrationProvider позволяет кластеру Apache Airflow™ взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Airflow™.

Сервисные аккаунты с этой ролью могут:

Включает разрешения, предоставляемые ролями logging.writer, monitoring.editor, storage.viewer и lockbox.viewer.

Роль не разрешает доступ к содержимому секретов Yandex Lockbox. Для того чтобы кластер Apache Airflow™ имел доступ к содержимому секретов в Yandex Lockbox, выдайте сервисному аккаунту дополнительную роль lockbox.payloadViewer на каталог или на определенные секреты.

Подробнее см. Управление доступом в Managed Service for Apache Airflow™.

Yandex Managed Service for Apache Kafka®

managed-kafka.auditor

Роль managed-kafka.auditor позволяет просматривать информацию о кластерах Apache Kafka®, а также о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.

managed-kafka.viewer

Роль managed-kafka.viewer позволяет просматривать информацию о кластерах Apache Kafka® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролью managed-kafka.auditor.

managed-kafka.editor

Роль managed-kafka.editor позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры Apache Kafka® из резервных копий;
  • просматривать логи работы кластеров Apache Kafka®;
  • просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролями managed-kafka.viewer, managed-kafka.restorer и managed-kafka.interfaceUser.

Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user.

managed-kafka.admin

Роль managed-kafka.admin позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам Apache Kafka®;
  • просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры Apache Kafka® из резервных копий;
  • просматривать логи работы кластеров Apache Kafka®;
  • просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролью managed-kafka.editor.

Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user.

managed-kafka.interfaceUser

Роль managed-kafka.interfaceUser позволяет использовать веб-интерфейс Kafka UI для Apache Kafka®.

Подробнее см. Управление доступом в Managed Service for Apache Kafka®.

Yandex Managed Service for Apache Spark™

managed-spark.auditor

Роль managed-spark.auditor позволяет просматривать информацию о кластерах Apache Spark™ и квотах сервиса Managed Service for Apache Spark™.

managed-spark.viewer

Роль managed-spark.viewer позволяет просматривать информацию о кластерах Apache Spark™, заданиях и квотах сервиса Managed Service for Apache Spark™.

Включает разрешения, предоставляемые ролью managed-spark.auditor.

managed-spark.user

Роль managed-spark.user позволяет выполнять базовые операции с кластерами Apache Spark™ и заданиями.

Пользователи с этой ролью могут:

  • использовать веб-интерфейс Apache Spark™;
  • просматривать информацию о кластерах Apache Spark™;
  • просматривать информацию о заданиях, а также создавать, запускать и отменять их;
  • просматривать информацию о квотах сервиса Managed Service for Apache Spark™.

Включает разрешения, предоставляемые ролью managed-spark.viewer.

managed-spark.editor

Роль managed-spark.editor позволяет управлять кластерами Apache Spark™ и заданиями, а также просматривать информацию о квотах сервиса Managed Service for Apache Spark™.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Spark™, а также создавать, изменять, запускать, останавливать и удалять их;
  • просматривать информацию о заданиях, а также создавать, запускать и отменять их;
  • использовать веб-интерфейс Apache Spark™;
  • просматривать информацию о квотах сервиса Managed Service for Apache Spark™.

Включает разрешения, предоставляемые ролью managed-spark.user.

Для создания кластеров Apache Spark™ дополнительно необходима роль vpc.user.

managed-spark.admin

Роль managed-spark.admin позволяет управлять кластерами Apache Spark™ и заданиями, а также просматривать информацию о квотах сервиса Managed Service for Apache Spark™.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Apache Spark™, а также создавать, изменять, запускать, останавливать и удалять их;
  • просматривать информацию о заданиях, а также создавать, запускать и отменять их;
  • использовать веб-интерфейс Apache Spark™;
  • просматривать информацию о квотах сервиса Managed Service for Apache Spark™.

Включает разрешения, предоставляемые ролью managed-spark.editor.

Для создания кластеров Apache Spark™ дополнительно необходима роль vpc.user.

managed-spark.integrationProvider

Роль managed-spark.integrationProvider позволяет кластеру Apache Spark™ взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Spark™.

Пользователи с этой ролью могут:

  • добавлять записи в лог-группы;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
  • просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
  • просматривать историю уведомлений;
  • просматривать информацию о квотах сервиса Monitoring;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer и monitoring.editor.

Подробнее см. Управление доступом к Yandex Managed Service for Apache Spark™.

Yandex Managed Service for ClickHouse®

managed-clickhouse.auditor

Роль managed-clickhouse.auditor позволяет просматривать информацию о кластерах ClickHouse®, а также о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.

managed-clickhouse.viewer

Роль managed-clickhouse.viewer позволяет просматривать информацию о кластерах ClickHouse® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.auditor.

managed-clickhouse.restorer

Роль managed-clickhouse.restorer позволяет восстанавливать кластеры ClickHouse® из резервных копий, просматривать информацию о кластерах ClickHouse® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.viewer.

managed-clickhouse.editor

Роль managed-clickhouse.editor позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры ClickHouse® из резервных копий;
  • просматривать логи работы кластеров ClickHouse®;
  • просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролями managed-clickhouse.viewer и managed-clickhouse.restorer.

Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user.

managed-clickhouse.admin

Роль managed-clickhouse.admin позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам ClickHouse®;
  • просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры ClickHouse® из резервных копий;
  • просматривать логи работы кластеров ClickHouse®;
  • просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.editor.

Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for ClickHouse®.

Yandex Managed Service for GitLab

gitlab.auditor

Роль gitlab.auditor позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.

gitlab.viewer

Роль gitlab.viewer позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.

Включает разрешения, предоставляемые ролью gitlab.auditor.

gitlab.editor

Роль gitlab.editor позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.

Пользователи с этой ролью могут:

  • просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
  • переносить инстансы в другую зону доступности;
  • просматривать информацию о квотах сервиса Managed Service for GitLab.

Включает разрешения, предоставляемые ролью gitlab.viewer.

Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user.

gitlab.admin

Роль gitlab.admin позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.

Пользователи с этой ролью могут:

  • просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
  • переносить инстансы в другую зону доступности;
  • просматривать информацию о квотах сервиса Managed Service for GitLab.

Включает разрешения, предоставляемые ролью gitlab.editor.

Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for GitLab.

Yandex MPP Analytics for PostgreSQL

managed-greenplum.auditor

Роль managed-greenplum.auditor позволяет просматривать информацию о кластерах и хостах Greenplum®, а также о квотах и операциях с ресурсами сервиса Yandex MPP Analytics for PostgreSQL.

managed-greenplum.viewer

Роль managed-greenplum.viewer позволяет просматривать информацию о кластерах и хостах Greenplum®, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Greenplum®;
  • просматривать информацию о хостах кластеров Greenplum®;
  • просматривать информацию о резервных копиях кластеров Greenplum®;
  • просматривать логи работы кластеров Greenplum®;
  • просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
  • просматривать информацию о квотах сервиса Yandex MPP Analytics for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Yandex MPP Analytics for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-greenplum.auditor.

managed-greenplum.restorer

Роль managed-greenplum.restorer позволяет восстанавливать кластеры Greenplum® из резервных копий, просматривать информацию о кластерах и хостах Greenplum®, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров Greenplum® и восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах Greenplum®;
  • просматривать информацию о хостах кластеров Greenplum®;
  • просматривать логи работы кластеров Greenplum®;
  • просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
  • просматривать информацию о квотах сервиса Yandex MPP Analytics for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Yandex MPP Analytics for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-greenplum.viewer.

managed-greenplum.editor

Роль managed-greenplum.editor позволяет управлять кластерами Greenplum® и просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров Greenplum®, создавать и удалять резервные копии кластеров, а также восстанавливать кластеры из резервных копий;
  • просматривать логи работы кластеров Greenplum®;
  • просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
  • просматривать информацию о квотах сервиса Yandex MPP Analytics for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Yandex MPP Analytics for PostgreSQL.

Включает разрешения, предоставляемые ролями managed-greenplum.viewer и managed-greenplum.restorer.

Для создания кластеров Greenplum® дополнительно необходима роль vpc.user.

managed-greenplum.admin

Роль managed-greenplum.admin позволяет управлять кластерами Greenplum® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам Greenplum®;
  • просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров Greenplum®, создавать и удалять резервные копии кластеров, а также восстанавливать кластеры из резервных копий;
  • просматривать логи работы кластеров Greenplum®;
  • просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
  • просматривать информацию о квотах сервиса Yandex MPP Analytics for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Yandex MPP Analytics for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-greenplum.editor.

Для создания кластеров Greenplum® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Yandex MPP Analytics for PostgreSQL.

Yandex Managed Service for Kubernetes

k8s.viewer

Роль k8s.viewer позволяет просматривать информацию о кластерах и группах узлов Kubernetes.

k8s.editor

Роль k8s.editor дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.

Включает в себя роль k8s.viewer.

k8s.admin

Роль k8s.admin дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.

Включает в себя роль k8s.editor.

k8s.cluster-api.viewer

Пользователь с ролью k8s.cluster-api.viewer получает группу yc:viewer и роль view в Kubernetes RBAC для всех пространств имен в кластере.

k8s.cluster-api.editor

Пользователь с ролью k8s.cluster-api.editor получает группу yc:editor и роль edit в Kubernetes RBAC для всех пространств имен в кластере.

k8s.cluster-api.cluster-admin

Пользователь с ролью k8s.cluster-api.cluster-admin получает группу yc:admin и роль cluster-admin в Kubernetes RBAC.

k8s.tunnelClusters.agent

k8s.tunnelClusters.agent — специальная роль для создания кластера Kubernetes с туннельным режимом. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов. Включает роли:

  • compute.admin
  • iam.serviceAccounts.user
  • k8s.viewer
  • kms.keys.encrypterDecrypter
  • load-balancer.privateAdmin

k8s.clusters.agent

k8s.clusters.agent — специальная роль для сервисного аккаунта кластера Kubernetes. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов, а также подключать заранее созданные группы безопасности. В комбинации с ролью load-balancer.admin позволяет создать сетевой балансировщик нагрузки с публичным IP-адресом. Включает роли:

  • k8s.tunnelClusters.agent
  • vpc.privateAdmin

Подробнее см. Управление доступом в Managed Service for Kubernetes.

Yandex StoreDoc

managed-mongodb.auditor

Роль managed-mongodb.auditor позволяет просматривать информацию о хостах и кластерах Yandex StoreDoc, а также о квотах и операциях с ресурсами сервиса Yandex StoreDoc.

managed-mongodb.viewer

Роль managed-mongodb.viewer позволяет просматривать информацию о кластерах, хостах, шардах, базах данных и пользователях Yandex StoreDoc, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Yandex StoreDoc;
  • просматривать информацию о хостах кластеров Yandex StoreDoc;
  • просматривать информацию о шардах кластеров Yandex StoreDoc;
  • просматривать информацию о базах данных Yandex StoreDoc;
  • просматривать информацию о пользователях Yandex StoreDoc;
  • просматривать информацию о резервных копиях кластеров Yandex StoreDoc;
  • просматривать информацию об алертах Yandex StoreDoc;
  • просматривать логи работы кластеров Yandex StoreDoc;
  • просматривать информацию о результатах диагностики производительности кластеров Yandex StoreDoc;
  • просматривать информацию о квотах сервиса Yandex StoreDoc;
  • просматривать информацию об операциях с ресурсами сервиса Yandex StoreDoc.

Включает разрешения, предоставляемые ролью managed-mongodb.auditor.

managed-mongodb.restorer

Роль managed-mongodb.restorer позволяет восстанавливать кластеры Yandex StoreDoc из резервных копий, просматривать информацию о кластерах, хостах, шардах, базах данных и пользователях Yandex StoreDoc, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров Yandex StoreDoc и восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах Yandex StoreDoc;
  • просматривать информацию о хостах кластеров Yandex StoreDoc;
  • просматривать информацию о шардах кластеров Yandex StoreDoc;
  • просматривать информацию о базах данных Yandex StoreDoc;
  • просматривать информацию о пользователях Yandex StoreDoc;
  • просматривать информацию об алертах Yandex StoreDoc;
  • просматривать логи работы кластеров Yandex StoreDoc;
  • просматривать информацию о результатах диагностики производительности кластеров Yandex StoreDoc;
  • просматривать информацию о квотах сервиса Yandex StoreDoc;
  • просматривать информацию об операциях с ресурсами сервиса Yandex StoreDoc.

Включает разрешения, предоставляемые ролью managed-mongodb.viewer.

managed-mongodb.editor

Роль managed-mongodb.editor позволяет управлять кластерами Yandex StoreDoc и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • создавать, изменять, удалять, запускать и останавливать кластеры Yandex StoreDoc и просматривать информацию о них;
  • создавать, изменять и удалять хосты кластеров Yandex StoreDoc и просматривать информацию о них;
  • создавать и удалять шарды кластеров Yandex StoreDoc и просматривать информацию о них;
  • создавать и удалять базы данных Yandex StoreDoc и просматривать информацию о них;
  • создавать, изменять и удалять пользователей Yandex StoreDoc и просматривать информацию о них;
  • создавать резервные копии кластеров Yandex StoreDoc, просматривать информацию о резервных копиях, а также восстанавливать кластеры из резервных копий;
  • создавать, изменять и удалять алерты Yandex StoreDoc и просматривать информацию о них;
  • просматривать логи работы кластеров Yandex StoreDoc;
  • просматривать информацию о результатах диагностики производительности кластеров Yandex StoreDoc;
  • просматривать информацию о квотах сервиса Yandex StoreDoc;
  • просматривать информацию об операциях с ресурсами сервиса Yandex StoreDoc.

Включает разрешения, предоставляемые ролями managed-mongodb.viewer и managed-mongodb.restorer.

Для создания кластеров Yandex StoreDoc дополнительно необходима роль vpc.user.

managed-mongodb.admin

Роль managed-mongodb.admin позволяет управлять кластерами Yandex StoreDoc и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам Yandex StoreDoc;
  • создавать, изменять, удалять, запускать и останавливать кластеры Yandex StoreDoc и просматривать информацию о них;
  • создавать, изменять и удалять хосты кластеров Yandex StoreDoc и просматривать информацию о них;
  • создавать и удалять шарды кластеров Yandex StoreDoc и просматривать информацию о них;
  • создавать и удалять базы данных Yandex StoreDoc и просматривать информацию о них;
  • создавать, изменять и удалять пользователей Yandex StoreDoc и просматривать информацию о них;
  • создавать резервные копии кластеров Yandex StoreDoc, просматривать информацию о резервных копиях, а также восстанавливать кластеры из резервных копий;
  • создавать, изменять и удалять алерты Yandex StoreDoc и просматривать информацию о них;
  • просматривать логи работы кластеров Yandex StoreDoc;
  • просматривать информацию о результатах диагностики производительности кластеров Yandex StoreDoc;
  • просматривать информацию о квотах сервиса Yandex StoreDoc;
  • просматривать информацию об операциях с ресурсами сервиса Yandex StoreDoc.

Включает разрешения, предоставляемые ролью managed-mongodb.editor.

Для создания кластеров Yandex StoreDoc дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Yandex StoreDoc.

Yandex Managed Service for MySQL®

managed-mysql.auditor

Роль managed-mysql.auditor позволяет просматривать информацию о хостах и кластерах MySQL®, а также о квотах и операциях с ресурсами сервиса Managed Service for MySQL®.

managed-mysql.viewer

Роль managed-mysql.viewer позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях MySQL®, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах MySQL®;
  • просматривать информацию о хостах кластеров MySQL®;
  • просматривать информацию о базах данных MySQL®;
  • просматривать информацию о пользователях MySQL®;
  • просматривать информацию о резервных копиях кластеров MySQL®;
  • просматривать информацию об алертах MySQL®;
  • просматривать логи работы кластеров MySQL®;
  • просматривать информацию о результатах диагностики производительности кластеров MySQL®;
  • просматривать информацию о квотах сервиса Managed Service for MySQL®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.auditor.

managed-mysql.restorer

Роль managed-mysql.restorer позволяет восстанавливать кластеры MySQL® из резервных копий, просматривать информацию о кластерах, хостах, базах данных и пользователях MySQL®, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров MySQL® и восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах MySQL®;
  • просматривать информацию о хостах кластеров MySQL®;
  • просматривать информацию о базах данных MySQL®;
  • просматривать информацию о пользователях MySQL®;
  • просматривать информацию об алертах MySQL®;
  • просматривать логи работы кластеров MySQL®;
  • просматривать информацию о результатах диагностики производительности кластеров MySQL®;
  • просматривать информацию о квотах сервиса Managed Service for MySQL®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.viewer.

managed-mysql.editor

Роль managed-mysql.editor позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров MySQL®, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров MySQL®;
  • просматривать информацию о результатах диагностики производительности кластеров MySQL®;
  • просматривать информацию о квотах сервиса Managed Service for MySQL®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролями managed-mysql.viewer и managed-mysql.restorer.

Для создания кластеров MySQL® дополнительно необходима роль vpc.user.

managed-mysql.admin

Роль managed-mysql.admin позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам MySQL®;
  • просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров MySQL®, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров MySQL®;
  • просматривать информацию о результатах диагностики производительности кластеров MySQL®;
  • просматривать информацию о квотах сервиса Managed Service for MySQL®;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.editor.

Для создания кластеров MySQL® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for MySQL®.

Yandex Managed Service for OpenSearch

managed-opensearch.auditor

Роль managed-opensearch.auditor позволяет просматривать информацию о кластерах OpenSearch, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.

managed-opensearch.viewer

Роль managed-opensearch.viewer позволяет просматривать информацию о кластерах OpenSearch и логи их работы, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.auditor.

managed-opensearch.restorer

Роль managed-opensearch.restorer позволяет восстанавливать кластеры OpenSearch из резервных копий, просматривать информацию о кластерах OpenSearch, логи их работы, а также информацию о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.viewer.

managed-opensearch.editor

Роль managed-opensearch.editor позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры OpenSearch из резервных копий;
  • просматривать логи работы кластеров OpenSearch;
  • просматривать информацию о квотах сервиса Managed Service for OpenSearch;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролями managed-opensearch.viewer и managed-opensearch.restorer.

Для создания кластеров OpenSearch дополнительно необходима роль vpc.user.

managed-opensearch.admin

Роль managed-opensearch.admin позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам OpenSearch;
  • просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
  • восстанавливать кластеры OpenSearch из резервных копий;
  • просматривать логи работы кластеров OpenSearch;
  • просматривать информацию о квотах сервиса Managed Service for OpenSearch;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.editor.

Для создания кластеров OpenSearch дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом к Managed Service for OpenSearch.

Yandex Managed Service for PostgreSQL

managed-postgresql.auditor

Роль managed-postgresql.auditor позволяет просматривать информацию о хостах и кластерах PostgreSQL, а также о квотах и операциях с ресурсами сервиса Managed Service for PostgreSQL.

managed-postgresql.viewer

Роль managed-postgresql.viewer позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах PostgreSQL;
  • просматривать информацию о хостах кластеров PostgreSQL;
  • просматривать информацию о базах данных PostgreSQL;
  • просматривать информацию о пользователях PostgreSQL;
  • просматривать информацию о резервных копиях кластеров PostgreSQL;
  • просматривать информацию об алертах PostgreSQL;
  • просматривать логи работы кластеров PostgreSQL;
  • просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.auditor.

managed-postgresql.restorer

Роль managed-postgresql.restorer позволяет восстанавливать кластеры PostgreSQL из резервных копий, просматривать информацию о кластерах, хостах, базах данных и пользователях PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров PostgreSQL и восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах PostgreSQL;
  • просматривать информацию о хостах кластеров PostgreSQL;
  • просматривать информацию о базах данных PostgreSQL;
  • просматривать информацию о пользователях PostgreSQL;
  • просматривать информацию об алертах PostgreSQL;
  • просматривать логи работы кластеров PostgreSQL;
  • просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.viewer.

managed-postgresql.editor

Роль managed-postgresql.editor позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров PostgreSQL, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров PostgreSQL;
  • просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролями managed-postgresql.viewer и managed-postgresql.restorer.

Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user.

managed-postgresql.admin

Роль managed-postgresql.admin позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам PostgreSQL;
  • просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров PostgreSQL, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров PostgreSQL;
  • просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.editor.

Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for PostgreSQL.

Yandex Managed Service for Sharded PostgreSQL

managed-spqr.auditor

Роль managed-spqr.auditor позволяет просматривать информацию о хостах и кластерах Sharded PostgreSQL, назначенных правах доступа к кластерам, а также о квотах и операциях с ресурсами сервиса Managed Service for Sharded PostgreSQL.

managed-spqr.viewer

Роль managed-spqr.viewer позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях в кластерах Sharded PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Sharded PostgreSQL и назначенных правах доступа к ним;
  • просматривать информацию о хостах кластеров Sharded PostgreSQL;
  • просматривать информацию о базах данных в кластерах Sharded PostgreSQL;
  • просматривать информацию о пользователях в кластерах Sharded PostgreSQL;
  • просматривать информацию о резервных копиях кластеров Sharded PostgreSQL;
  • просматривать логи работы кластеров Sharded PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for Sharded PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Sharded PostgreSQL.

Включает разрешения, предоставляемые ролью managed-spqr.auditor.

managed-spqr.restorer

Роль managed-spqr.restorer позволяет восстанавливать кластеры Sharded PostgreSQL из резервных копий, а также просматривать информацию о кластерах, хостах, базах данных и пользователях в кластерах Sharded PostgreSQL, логи работы кластеров, данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров Sharded PostgreSQL, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах Sharded PostgreSQL и назначенных правах доступа к ним;
  • просматривать информацию о хостах кластеров Sharded PostgreSQL;
  • просматривать информацию о базах данных в кластерах Sharded PostgreSQL;
  • просматривать информацию о пользователях в кластерах Sharded PostgreSQL;
  • просматривать логи работы кластеров Sharded PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for Sharded PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Sharded PostgreSQL.

Включает разрешения, предоставляемые ролью managed-spqr.viewer.

managed-spqr.editor

Роль managed-spqr.editor позволяет управлять кластерами Sharded PostgreSQL и просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Sharded PostgreSQL и назначенных правах доступа к ним;
  • создавать, изменять, удалять, запускать и останавливать кластеры Sharded PostgreSQL;
  • просматривать информацию о хостах кластеров Sharded PostgreSQL, а также создавать, изменять и удалять такие хосты;
  • просматривать информацию о базах данных в кластерах Sharded PostgreSQL, а также создавать, изменять и удалять такие базы данных;
  • просматривать информацию о пользователях в кластерах Sharded PostgreSQL, а также создавать, изменять и удалять таких пользователей;
  • просматривать информацию о резервных копиях кластеров Sharded PostgreSQL, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать логи работы кластеров Sharded PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for Sharded PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Sharded PostgreSQL.

Включает разрешения, предоставляемые ролями managed-spqr.viewer и managed-spqr.restorer.

managed-spqr.admin

Роль managed-spqr.admin позволяет управлять кластерами Sharded PostgreSQL и доступом к ним, просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Sharded PostgreSQL, а также создавать, изменять, восстанавливать, удалять, запускать и останавливать их;
  • просматривать информацию о назначенных правах доступа к кластерам Sharded PostgreSQL и изменять такие права доступа;
  • просматривать информацию о хостах кластеров Sharded PostgreSQL, а также создавать, изменять и удалять такие хосты;
  • просматривать информацию о базах данных в кластерах Sharded PostgreSQL, а также создавать, изменять и удалять такие базы данных;
  • просматривать информацию о пользователях в кластерах Sharded PostgreSQL, а также создавать, изменять и удалять таких пользователей;
  • просматривать информацию о резервных копиях кластеров Sharded PostgreSQL, создавать и удалять резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать логи работы кластеров Sharded PostgreSQL;
  • просматривать информацию о квотах сервиса Managed Service for Sharded PostgreSQL;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for Sharded PostgreSQL.

Включает разрешения, предоставляемые ролью managed-spqr.editor.

Подробнее см. Управление доступом в Managed Service for Sharded PostgreSQL.

Yandex Managed Service for Valkey™

managed-redis.auditor

Роль managed-redis.auditor позволяет просматривать информацию о хостах и кластерах Valkey™, а также о квотах и операциях с ресурсами сервиса Yandex Managed Service for Valkey™.

managed-redis.viewer

Роль managed-redis.viewer позволяет просматривать информацию о хостах и кластерах Valkey™, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Valkey™;
  • просматривать информацию о хостах кластеров Valkey™;
  • просматривать информацию о шардах кластеров Valkey™;
  • просматривать информацию о резервных копиях кластеров Valkey™;
  • просматривать информацию об алертах Valkey™;
  • просматривать логи работы кластеров Valkey™;
  • просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
  • просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.

Включает разрешения, предоставляемые ролью managed-redis.auditor.

managed-redis.restorer

Роль managed-redis.restorer позволяет восстанавливать кластеры Valkey™ из резервных копий, а также просматривать информацию о хостах и кластерах Valkey™, логи их работы, данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о резервных копиях кластеров Valkey™, а также восстанавливать кластеры из резервных копий;
  • просматривать информацию о кластерах Valkey™;
  • просматривать информацию о хостах кластеров Valkey™;
  • просматривать информацию о шардах кластеров Valkey™;
  • просматривать информацию об алертах Valkey™;
  • просматривать логи работы кластеров Valkey™;
  • просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
  • просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.

Включает разрешения, предоставляемые ролью managed-redis.viewer.

managed-redis.editor

Роль managed-redis.editor позволяет управлять кластерами Valkey™ и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Valkey™, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров Valkey™, а также создавать, изменять и удалять их;
  • просматривать информацию о шардах кластеров Valkey™, а также создавать и удалять их;
  • просматривать информацию о резервных копиях кластеров Valkey™, создавать резервные копии и восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах Valkey™, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров Valkey™;
  • просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
  • просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.

Включает разрешения, предоставляемые ролями managed-redis.viewer и managed-redis.restorer.

Для создания кластеров Valkey™ дополнительно необходима роль vpc.user.

managed-redis.admin

Роль managed-redis.admin позволяет управлять кластерами Valkey™ и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • управлять доступом к кластерам Valkey™;
  • просматривать информацию о кластерах Valkey™, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о хостах кластеров Valkey™, а также создавать, изменять и удалять их;
  • просматривать информацию о шардах кластеров Valkey™, а также создавать и удалять их;
  • просматривать информацию о резервных копиях кластеров Valkey™, создавать резервные копии и восстанавливать кластеры из резервных копий;
  • просматривать информацию об алертах Valkey™, а также создавать, изменять и удалять их;
  • просматривать логи работы кластеров Valkey™;
  • просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
  • просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.

Включает разрешения, предоставляемые ролью managed-redis.editor.

Для создания кластеров Valkey™ дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Yandex Managed Service for Valkey™.

Yandex Managed Service for SQL Server

managed-sqlserver.auditor

Роль managed-sqlserver.auditor позволяет просматривать информацию кластерах, хостах, пользователях, базах данных, резервных копиях кластеров SQL Server, а также о квотах и операциях с ресурсами сервиса Managed Service for SQL Server.

managed-sqlserver.viewer

Роль managed-sqlserver.viewer позволяет просматривать логи кластеров SQL Server, а также информацию о кластерах, хостах, пользователях, базах данных и резервных копиях БД SQL Server.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах SQL Server;
  • просматривать информацию о хостах кластеров SQL Server;
  • просматривать информацию о пользователях SQL Server;
  • просматривать информацию о базах данных SQL Server;
  • просматривать информацию о резервных копиях кластеров SQL Server;
  • просматривать логи кластеров SQL Server;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
  • просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.auditor.

managed-sqlserver.restorer

Роль managed-sqlserver.restorer позволяет восстанавливать кластеры SQL Server из резервных копий, а также просматривать логи кластеров SQL Server, информацию о кластерах, хостах, пользователях, базах данных и резервных копиях кластеров SQL Server.

Пользователи с этой ролью могут:

  • восстанавливать кластеры SQL Server из резервных копий;
  • просматривать информацию о кластерах SQL Server;
  • просматривать информацию о хостах кластеров SQL Server;
  • просматривать информацию о пользователях SQL Server;
  • просматривать информацию о базах данных SQL Server;
  • просматривать информацию о резервных копиях баз данных SQL Server;
  • просматривать логи кластеров SQL Server;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
  • просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.viewer.

managed-sqlserver.editor

Роль managed-sqlserver.editor позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, создавать резервные копии кластеров и восстанавливать кластеры из резервных копий, а также просматривать логи кластеров SQL Server.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
  • просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
  • просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров SQL Server, создавать резервные копии и восстанавливать кластеры из резервных копий;
  • просматривать логи кластеров SQL Server;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
  • просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролями managed-sqlserver.viewer и managed-sqlserver.restorer.

managed-sqlserver.admin

Роль managed-sqlserver.admin позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, создавать резервные копии кластеров и восстанавливать кластеры из резервных копий, а также просматривать логи кластеров SQL Server.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
  • просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
  • просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
  • просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
  • просматривать информацию о резервных копиях кластеров SQL Server, создавать резервные копии, а также восстанавливать кластеры из резервных копий;
  • просматривать логи кластеров SQL Server;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
  • просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.editor.

Yandex Managed Service for Trino

managed-trino.auditor

Роль managed-trino.auditor позволяет просматривать информацию о кластерах Trino и квотах сервиса Managed Service for Trino.

managed-trino.viewer

Роль managed-trino.viewer позволяет просматривать информацию о кластерах Trino и квотах сервиса Managed Service for Trino.

Включает разрешения, предоставляемые ролью managed-trino.auditor.

managed-trino.user

Роль managed-trino.user позволяет выполнять базовые операции с кластерами Trino.

Пользователи с этой ролью могут:

  • использовать веб-интерфейс Trino;
  • отправлять запросы к API Trino;
  • просматривать информацию о кластерах Trino;
  • просматривать информацию о квотах сервиса Managed Service for Trino.

Включает разрешения, предоставляемые ролью managed-trino.viewer.

managed-trino.editor

Роль managed-trino.editor позволяет управлять кластерами Trino и выполнять операции с ними, а также просматривать информацию о квотах сервиса Managed Service for Trino.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Trino, а также создавать, изменять, запускать, останавливать и удалять их;
  • использовать веб-интерфейс Trino;
  • отправлять запросы к API Trino;
  • просматривать информацию о квотах сервиса Managed Service for Trino.

Включает разрешения, предоставляемые ролью managed-trino.user.

Для создания кластеров Trino дополнительно необходима роль vpc.user.

managed-trino.admin

Роль managed-trino.admin позволяет управлять кластерами Trino и выполнять операции с ними, а также просматривать информацию о квотах сервиса Managed Service for Trino.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах Trino, а также создавать, изменять, запускать, останавливать и удалять их;
  • использовать веб-интерфейс Trino;
  • отправлять запросы к API Trino;
  • просматривать информацию о квотах сервиса Managed Service for Trino.

Включает разрешения, предоставляемые ролью managed-trino.editor.

Для создания кластеров Trino дополнительно необходима роль vpc.user.

managed-trino.integrationProvider

Роль managed-trino.integrationProvider позволяет кластеру Trino взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Trino.

Пользователи с этой ролью могут:

  • добавлять записи в лог-группы;
  • просматривать информацию о лог-группах;
  • просматривать информацию о приемниках логов;
  • просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
  • просматривать информацию о выгрузках логов;
  • просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
  • просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
  • просматривать историю уведомлений;
  • просматривать информацию о квотах сервиса Monitoring;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer и monitoring.editor.

Подробнее см. Управление доступом к Managed Service for Trino.

Yandex Managed Service for YTsaurus

managed-ytsaurus.auditor

Роль managed-ytsaurus.auditor позволяет просматривать информацию о кластерах YTsaurus, а также данные о квотах и операциях с ресурсами сервиса Managed Service for YTsaurus.

managed-ytsaurus.viewer

Роль managed-ytsaurus.viewer позволяет просматривать информацию о кластерах YTsaurus, квотах и операциях с ресурсами сервиса Managed Service for YTsaurus.

Включает разрешения, предоставляемые ролью managed-ytsaurus.auditor.

managed-ytsaurus.user

Роль managed-ytsaurus.user позволяет выполнять базовые операции с кластерами YTsaurus.

Пользователи с этой ролью могут:

  • использовать веб-интерфейс YTsaurus;
  • просматривать информацию о кластерах YTsaurus;
  • просматривать информацию о квотах сервиса Managed Service for YTsaurus;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for YTsaurus.

Включает разрешения, предоставляемые ролью managed-ytsaurus.viewer.

managed-ytsaurus.editor

Роль managed-ytsaurus.editor позволяет управлять кластерами YTsaurus, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах YTsaurus, а также создавать, изменять, удалять, запускать и останавливать их;
  • просматривать информацию о квотах сервиса Managed Service for YTsaurus;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for YTsaurus;
  • использовать веб-интерфейс YTsaurus.

Включает разрешения, предоставляемые ролью managed-ytsaurus.user.

Для создания кластеров YTsaurus дополнительно необходима роль vpc.user.

managed-ytsaurus.admin

Роль managed-ytsaurus.admin позволяет управлять кластерами YTsaurus, а также получать информацию о квотах и операциях с ресурсами сервиса Managed Service for YTsaurus.

Пользователи с этой ролью могут:

  • просматривать информацию о кластерах YTsaurus, а также создавать, изменять, запускать, останавливать и удалять их;
  • просматривать информацию о квотах сервиса Managed Service for YTsaurus;
  • просматривать информацию об операциях с ресурсами сервиса Managed Service for YTsaurus;
  • использовать веб-интерфейс YTsaurus.

Включает разрешения, предоставляемые ролью managed-ytsaurus.editor.

Для создания кластеров YTsaurus дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for YTsaurus.

Yandex Managed Service for YDB

ydb.auditor

Роль ydb.auditor позволяет устанавливать соединения c базами данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

  • устанавливать соединения c базами данных;
  • просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

ydb.viewer

Роль ydb.viewer позволяет устанавливать соединения c БД и выполнять запросы на чтение данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

  • устанавливать соединения c базами данных и выполнять запросы на чтение данных;
  • просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.auditor.

ydb.editor

Роль ydb.editor позволяет управлять базами данных, схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

  • просматривать список баз данных и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных;
  • устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.viewer.

ydb.admin

Роль ydb.admin позволяет управлять базами данных и доступом к ним, управлять схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

  • просматривать список баз данных и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных;
  • просматривать информацию о назначенных правах доступа к базам данных и изменять такие права доступа;
  • устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
  • просматривать информацию о резервных копиях баз данных, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
  • просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
  • просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
  • просматривать информацию о квотах сервиса Managed Service for YDB;
  • просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.editor.

ydb.kafkaApi.client

Роль ydb.kafkaApi.client позволяет работать с ydb по протоколу Kafka API с использованием plain-аутентификации через SSL-соединение.

Подробнее см. Управление доступом в Managed Service for YDB.

Yandex Message Queue

ymq.reader

Роль ymq.reader дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.

ymq.writer

Роль ymq.writer дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.

ymq.admin

Роль ymq.admin включает права ролей ymq.reader и ymq.writer, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.

Подробнее см. Управление доступом в Message Queue.

Yandex Monitoring

monitoring.viewer

Роль monitoring.viewer позволяет выгружать метрики, а также просматривать информацию о метриках, дашбордах и виджетах.

Пользователи с этой ролью могут:

monitoring.editor

Роль monitoring.editor позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений и информацию о квотах сервиса.

Пользователи с этой ролью могут:

  • просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
  • просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
  • просматривать историю уведомлений;
  • просматривать информацию о квотах сервиса Monitoring;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью monitoring.viewer.

monitoring.admin

Роль monitoring.admin позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений, информацию о квотах сервиса и метаданные каталога.

Пользователи с этой ролью могут:

  • просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
  • просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
  • просматривать историю уведомлений;
  • просматривать информацию о квотах сервиса Monitoring;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью monitoring.editor.

Подробнее см. Управление доступом в Monitoring.

Yandex Network Load Balancer

load-balancer.auditor

Роль load-balancer.auditor позволяет просматривать список целевых групп и сетевых балансировщиков, а также информацию о них и о квотах сервиса.

Пользователи с этой ролью могут:

load-balancer.viewer

Роль load-balancer.viewer позволяет просматривать список целевых групп и сетевых балансировщиков, информацию о них и список операций с ними, а также информацию о каталоге, облаке и квотах сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью load-balancer.auditor.

load-balancer.privateAdmin

Роль load-balancer.privateAdmin позволяет управлять внутренними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:

  • просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
  • просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список облачных сетей и информацию о них;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролями load-balancer.viewer и vpc.viewer.

load-balancer.editor

Роль load-balancer.editor позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах. Роль не позволяет создавать публичные IP-адреса.

Пользователи с этой ролью могут:

  • просматривать список сетевых балансировщиков и информацию о них;
  • создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
  • просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах, а также создавать внутренние адреса и использовать их;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью load-balancer.privateAdmin.

load-balancer.admin

Роль load-balancer.admin позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:

  • просматривать список сетевых балансировщиков и информацию о них;
  • создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
  • просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
  • просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах, а также создавать внутренние и публичные адреса и использовать их;
  • просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
  • просматривать список операций с ресурсами сервиса Network Load Balancer;
  • просматривать информацию об облаке и каталоге;
  • просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью load-balancer.editor.

Подробнее см. Управление доступом в Network Load Balancer.

Yandex Object Storage

storage.viewer

Роль storage.viewer позволяет читать данные в бакетах, просматривать информацию о бакетах и объектах в них, а также о каталоге и квотах сервиса Object Storage.

Пользователи с этой ролью могут:
  • просматривать список бакетов;
  • просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
  • просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
  • просматривать информацию о конфигурации CORS бакетов;
  • просматривать информацию о конфигурации хостинга статических сайтов бакетов;
  • просматривать информацию о протоколе обращения к бакету;
  • просматривать настройки логирования действий с бакетами;
  • просматривать настройки версионирования бакетов;
  • просматривать настройки шифрования бакетов;
  • просматривать информацию о классе хранилища по умолчанию для бакета;
  • просматривать метки бакетов;
  • просматривать информацию о регионе, в котором расположен бакет;
  • просматривать информацию о конфигурации жизненных циклов объектов;
  • просматривать списки версий объектов и информацию о таких версиях;
  • просматривать информацию о блокировках версий объектов;
  • просматривать метки объектов и версий объектов;
  • просматривать информацию о текущих составных загрузках объектов и их частях;
  • просматривать статистику облака, каталога и сервиса Object Storage;
  • просматривать информацию о квотах сервиса Object Storage;
  • просматривать информацию о каталоге.

storage.configViewer

Роль storage.configViewer позволяет просматривать информацию о настройках бакетов и объектов в них, но не позволяет просматривать данные внутри бакета.

Пользователи с этой ролью могут:

storage.configurer

Роль storage.configurer позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS. Не позволяет управлять настройками списка управления доступом (ACL) и настройками публичного доступа. Не предоставляет доступа к данным в бакете.

Пользователи с этой ролью могут:
  • просматривать информацию о политиках доступа к бакетам, а также создавать, изменять и удалять такие политики;
  • просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
  • просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
  • просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
  • просматривать настройки логирования действий с бакетами и изменять настройки логирования;
  • просматривать настройки шифрования бакетов и изменять настройки шифрования;
  • просматривать информацию о регионе, в котором расположен бакет;
  • просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
  • просматривать настройки версионирования бакетов;
  • просматривать информацию о каталоге.

storage.uploader

Роль storage.uploader позволяет загружать объекты в бакеты, в том числе перезаписывать загруженные ранее, а также читать данные в бакетах, просматривать информацию о бакетах и объектах в них, а также о каталоге и квотах сервиса Object Storage. Не позволяет удалять объекты и конфигурировать бакеты.

Пользователи с этой ролью могут:
  • просматривать список бакетов;
  • просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
  • загружать объекты в бакет;
  • просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
  • просматривать информацию о конфигурации CORS бакетов;
  • просматривать информацию о конфигурации хостинга статических сайтов бакетов;
  • просматривать информацию о протоколе обращения к бакету;
  • просматривать настройки логирования действий с бакетами;
  • просматривать настройки версионирования бакетов;
  • просматривать настройки шифрования бакетов;
  • просматривать информацию о классе хранилища по умолчанию для бакета;
  • просматривать метки бакетов;
  • просматривать информацию о регионе, в котором расположен бакет;
  • просматривать информацию о конфигурации жизненных циклов объектов;
  • просматривать списки версий объектов и информацию о таких версиях;
  • просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
  • просматривать метки объектов и версий объектов, а также изменять такие метки;
  • просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
  • просматривать статистику облака, каталога и сервиса Object Storage;
  • просматривать информацию о квотах сервиса Object Storage;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью storage.viewer.

storage.editor

Роль storage.editor позволяет выполнять любые операции с бакетами и объектами: создавать, удалять и изменять их. Не позволяет управлять настройками списка управления доступом (ACL), а также создавать публично доступные бакеты.

Пользователи с этой ролью могут:
  • просматривать список бакетов, а также создавать и удалять бакеты;
  • просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
  • просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
  • загружать объекты в бакет, а также удалять объекты и версии объектов;
  • просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
  • просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
  • просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
  • просматривать настройки логирования действий с бакетами и изменять настройки логирования;
  • просматривать настройки версионирования бакетов;
  • просматривать настройки шифрования бакетов и изменять настройки шифрования;
  • просматривать информацию о классе хранилища по умолчанию для бакета, а также изменять класс хранилища по умолчанию;
  • просматривать метки бакетов и изменять такие метки;
  • просматривать информацию о регионе, в котором расположен бакет;
  • просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
  • просматривать списки версий объектов и информацию о таких версиях;
  • восстанавливать версии объектов в версионируемых бакетах;
  • просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
  • просматривать метки объектов и версий объектов, а также изменять и удалять такие метки;
  • просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
  • просматривать статистику облака, каталога и сервиса Object Storage;
  • просматривать информацию о квотах сервиса Object Storage;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью storage.uploader.

storage.admin

Роль storage.admin позволяет управлять сервисом Object Storage.

Пользователи с этой ролью могут:
  • просматривать список бакетов;
  • создавать бакеты, в том числе доступные публично, и удалять бакеты;
  • просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
  • просматривать информацию о назначенных правах доступа к бакетам и объектам в них, а также изменять назначенные права доступа к бакетам и объектам;
  • просматривать информацию о политиках доступа к бакетам, а также создавать, изменять и удалять такие политики;
  • назначать список управления доступом (ACL);
  • настраивать доступ к бакету через сервисное подключение из Virtual Private Cloud;
  • загружать объекты в бакет, а также удалять объекты и версии объектов;
  • просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
  • просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
  • просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
  • просматривать настройки логирования действий с бакетами и изменять настройки логирования;
  • просматривать настройки версионирования бакетов и изменять настройки версионирования;
  • просматривать настройки шифрования бакетов и изменять настройки шифрования;
  • просматривать информацию о классе хранилища по умолчанию для бакета, а также изменять класс хранилища по умолчанию;
  • просматривать метки бакетов и изменять такие метки;
  • просматривать информацию о регионе, в котором расположен бакет;
  • просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
  • просматривать списки версий объектов и информацию о таких версиях;
  • восстанавливать версии объектов в версионируемых бакетах;
  • просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
  • обходить временную управляемую блокировку (governance-mode retention);
  • просматривать метки объектов и версий объектов, а также изменять и удалять такие метки;
  • просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
  • просматривать статистику облака, каталога и сервиса Object Storage;
  • просматривать информацию о квотах сервиса Object Storage;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями storage.editor, storage.configViewer и storage.configurer.

Подробнее см. Управление доступом с помощью Yandex Identity and Access Management.

Yandex Query

yq.auditor

Роль yq.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках и запросах.

yq.viewer

Пользователь с ролью yq.viewer может просматривать запросы и результаты.

Включает разрешения, предоставляемые ролью yq.auditor.

yq.editor

Пользователь с ролью yq.editor может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor включает в себя все разрешения роли yq.viewer.

yq.admin

Роль yq.admin разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin включает в себя все разрешения роли yq.editor.

yq.invoker

Пользователь с ролью yq.invoker может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.

Подробнее см. Управление доступом в Query.

Yandex Resource Manager

resource-manager.auditor

Роль resource-manager.auditor позволяет просматривать метаинформацию облаков и каталогов, а также информацию о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

  • просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
  • просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
  • просматривать информацию о квотах сервиса Resource Manager.

resource-manager.viewer

Роль resource-manager.viewer позволяет просматривать информацию об облаках и каталогах, а также о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

  • просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
  • просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
  • просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.auditor.

resource-manager.editor

Роль resource-manager.editor позволяет управлять облаками и каталогами, а также просматривать информацию о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

  • просматривать информацию об облаках, их настройках и назначенных правах доступа к облакам, а также создавать, изменять и удалять облака;
  • просматривать информацию о каталогах, их настройках и назначенных правах доступа к каталогам, а также создавать, изменять и удалять каталоги;
  • просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.viewer.

resource-manager.admin

Роль resource-manager.admin позволяет управлять облаками и каталогами, а также доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к облакам и изменять такие права доступа;
  • просматривать информацию об облаках и их настройках, а также создавать, изменять и удалять облака;
  • просматривать информацию о назначенных правах доступа к каталогам и изменять такие права доступа;
  • просматривать информацию о каталогах и их настройках, а также создавать, изменять и удалять каталоги;
  • просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.editor.

resource-manager.clouds.member

Роль resource-manager.clouds.member позволяет просматривать информацию об облаке и обращаться в техническую поддержку Yandex Cloud.

Можно назначить только на облако.

Пользователи с этой ролью могут:

  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать и закрывать такие обращения, оставлять в них комментарии и прикреплять файлы;
  • просматривать информацию об облаках и их настройках.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner позволяет совершать любые действия в облаке и дочерних ресурсах.

Роль также позволяет управлять привязкой облака к платежному аккаунту, для этого у пользователя должны быть права на этот платежный аккаунт. Подробнее об управлении доступом к платежному аккаунту см. в документации Yandex Cloud Billing.

По умолчанию пользователи с этой ролью получают уведомления о событиях в облаке и его каталогах.

Роль можно назначить только на облако. Пользователю, создающему облако, автоматически назначается данная роль на это облако.

Включает разрешения, предоставляемые ролями admin и resource-manager.clouds.member.

Подробнее см. Управление доступом в Resource Manager.

Yandex Search API

search-api.executor

Роль search-api.executor позволяет использовать сервис Yandex Search API и выполнять поисковые запросы посредством API v1.

search-api.webSearch.user

Роль search-api.webSearch.user позволяет выполнять поисковые запросы в сервисе Yandex Search API с использованием API v2, а также просматривать информацию об облаке, каталоге и квотах сервиса Yandex Search API.

search-api.auditor

Роль search-api.auditor позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.

search-api.viewer

Роль search-api.viewer позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.

Включает разрешения, предоставляемые ролью search-api.auditor.

search-api.editor

Роль search-api.editor позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролями search-api.viewer, search-api.webSearch.user и search-api.executor.

search-api.admin

Роль search-api.admin позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью search-api.editor.

Подробнее см. Управление доступом в Yandex Search API.

Yandex Security Deck

Общие роли Security Deck

security-deck.worker

Роль security-deck.worker позволяет просматривать информацию об области сканирования модуля DSPM и контролируемых ресурсах модулей KSPM и CSPM в Security Deck.

Пользователи с этой ролью могут:

  • просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем модуля DSPM области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах;
  • просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать список кластеров Kubernetes, информацию о них и их настройках в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать информацию об организации, просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля CSPM.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование DSPM, проверка KSPM или CSPM. Роль назначается на организацию, облако, каталог или (при использовании модуля DSPM) бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

Включает разрешения, предоставляемые ролями dspm.worker, kspm.worker и cspm.worker.

Примечание

Роль не может гарантировать доступа к бакету, если к бакету применена политика доступа Yandex Object Storage.

security-deck.auditor

Роль security-deck.auditor позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности;
  • просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

Включает разрешения, предоставляемые ролью dspm.auditor.

security-deck.viewer

Роль security-deck.viewer позволяет просматривать информацию о событиях доступа к ресурсам организации со стороны сотрудников Yandex Cloud, информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности;
  • просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

Включает разрешения, предоставляемые ролями dspm.viewer и access-transparency.viewer.

security-deck.editor

Роль security-deck.editor позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
  • просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролями dspm.editor и access-transparency.editor.

security-deck.admin

Роль security-deck.admin позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:

  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • использовать ресурсы Yandex Cloud в источниках данных DSPM;
  • просматривать информацию о категориях данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
  • просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролями dspm.admin и access-transparency.admin.

Подробнее см. Общие роли Yandex Security Deck.

Сервисные роли для контроля данных (DSPM)

dspm.worker

Роль dspm.worker позволяет просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование, и назначается на организацию, облако, каталог или бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

Примечание

Роль не может гарантировать доступа к бакету, если к бакету применена политика доступа Yandex Object Storage.

dspm.inspector

Роль dspm.inspector позволяет создавать источники данных DSPM с использованием заданных ресурсов Yandex Cloud. Чтобы создать источник данных в DSPM, эту роль необходимо назначить пользователю на соответствующий облачный ресурс.

Роль dspm.inspector устарела и больше не используется.

dspm.auditor

Роль dspm.auditor позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности.

dspm.viewer

Роль dspm.viewer позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности.

Включает разрешения, предоставляемые ролью dspm.auditor.

dspm.editor

Роль dspm.editor позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, запускать, изменять и удалять такие задания.

Включает разрешения, предоставляемые ролью dspm.viewer.

dspm.admin

Роль dspm.admin позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • использовать ресурсы Yandex Cloud в источниках данных DSPM;
  • просматривать информацию о категориях данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах.

Включает разрешения, предоставляемые ролью dspm.editor.

Подробнее см. Управление доступом в DSPM.

Сервисные роли для модуля Контроль Kubernetes® (KSPM)

kspm.worker

Роль kspm.worker позволяет просматривать информацию о кластерах Managed Service for Kubernetes и устанавливать в них компоненты модуля KSPM.

Роль выдается сервисному аккаунту, от имени которого будут выполняться проверки кластера, и назначается на организацию, облако или каталог. Этот сервисный аккаунт указывается при создании окружения.

kspm.auditor

Роль kspm.auditor позволяет просматривать информацию о настройках модуля KSPM, операциях в модуле и списке исключений из правил.

kspm.viewer

Роль kspm.viewer позволяет просматривать информацию о настройках модуля KSPM, кластерах Managed Service for Kubernetes, подключенных к KSPM, исключениях из правил, исключениях из области контроля, пользователях KSPM и операциях в модуле.

Включает разрешения, предоставляемые ролью kspm.auditor.

kspm.editor

Роль kspm.editor позволяет задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля, просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле.

Включает разрешения, предоставляемые ролью kspm.viewer.

kspm.admin

Роль kspm.admin позволяет задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля, просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле.

Включает разрешения, предоставляемые ролью kspm.editor.

Подробнее см. Управление доступом в KSPM.

Сервисные роли для модуля Контроль конфигурации (CSPM)

cspm.worker

Роль cspm.worker позволяет просматривать информацию об организации, просматривать список облаков и каталогов, а также информацию о них в составе контролируемых ресурсов окружения Security Deck.

Роль выдается сервисному аккаунту, от имени которого будет выполняться проверка на соответствие стандартам безопасности, заданным в настройках модуля CSPM, и назначается на организацию, облако или каталог.

cspm.auditor

Роль cspm.auditor позволяет просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM.

cspm.viewer

Роль cspm.viewer позволяет просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM, о результатах таких проверок, а также о заданных исключениях из правил проверок.

Включает разрешения, предоставляемые ролью cspm.auditor.

cspm.editor

Роль cspm.editor позволяет управлять заданиями проверок инфраструктуры на соответствие стандартам безопасности модуля CSPM и исключениями из правил проверок.

Пользователи с этой ролью могут:

  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения.

Включает разрешения, предоставляемые ролью cspm.viewer.

cspm.admin

Роль cspm.admin позволяет управлять заданиями проверок инфраструктуры на соответствие стандартам безопасности модуля CSPM и исключениями из правил проверок.

Пользователи с этой ролью могут:

  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения.

Включает разрешения, предоставляемые ролью cspm.editor.

Подробнее см. Управление доступом в CSPM.

Сервисные роли для анализа данных Access Transparency

access-transparency.viewer

Роль access-transparency.viewer позволяет просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

access-transparency.editor

Роль access-transparency.editor позволяет выбирать платежный аккаунт в модуле Access Transparency, управлять подписками организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

Включает разрешения, предоставляемые ролями access-transparency.billingProvider и access-transparency.subscriptionManager.

access-transparency.admin

Роль access-transparency.admin позволяет выбирать платежный аккаунт в модуле Access Transparency, управлять подписками организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

Включает разрешения, предоставляемые ролью access-transparency.editor.

access-transparency.billingProvider

Роль access-transparency.billingProvider позволяет выбирать платежный аккаунт в модуле Access Transparency.

access-transparency.subscriptionManager

Роль access-transparency.subscriptionManager позволяет управлять подписками организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

Включает разрешения, предоставляемые ролью access-transparency.viewer.

Подробнее см. Управление доступом в Access Transparency.

Yandex Serverless Containers

serverless-containers.auditor

Роль serverless-containers.auditor позволяет просматривать информацию о контейнерах, кроме информации о переменных окружения ревизии.

serverless-containers.viewer

Роль serverless-containers.viewer позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью serverless-containers.auditor.

serverless-containers.editor

Роль serverless-containers.editor позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью serverless-containers.viewer.

serverless-containers.admin

Роль serverless-containers.admin позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.

Пользователи с этой ролью могут:

  • создавать, вызывать, изменять и удалять контейнеры;
  • просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
  • просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью serverless-containers.editor.

serverless-containers.containerInvoker

Роль serverless-containers.containerInvoker позволяет вызывать контейнеры.

serverless.containers.viewer

Роль serverless.containers.viewer позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.

Пользователи с этой ролью могут:

  • просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
  • просматривать информацию о назначенных правах доступа к контейнерам;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.viewer.

serverless.containers.editor

Роль serverless.containers.editor позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.

Пользователи с этой ролью могут:

  • создавать, вызывать, изменять и удалять контейнеры;
  • просматривать информацию о контейнерах, в том числе о переменных окружения ревизии, а также о назначенных правах доступа к контейнерам;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.editor.

serverless.containers.admin

Роль serverless.containers.admin позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.

Пользователи с этой ролью могут:

  • создавать, вызывать, изменять и удалять контейнеры;
  • просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
  • просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.admin.

serverless.containers.invoker

Роль serverless.containers.invoker позволяет вызывать контейнеры.

Эта роль недоступна. Используйте роль serverless-containers.containerInvoker.

Подробнее см. Управление доступом в Serverless Containers.

Yandex Serverless Integrations

Сервисные роли Yandex EventRouter

serverless.eventrouter.auditor

Роль serverless.eventrouter.auditor позволяет просматривать информацию о шинах, коннекторах и правилах, а также о назначенных правах доступа к ним.

serverless.eventrouter.viewer

Роль serverless.eventrouter.viewer позволяет просматривать информацию о шинах, коннекторах и правилах, а также о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью serverless.eventrouter.auditor.

serverless.eventrouter.supplier

Роль serverless.eventrouter.supplier позволяет отправлять пользовательские события в шины, а также передавать события аудита.

Пользователи с этой ролью могут:

  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Send;
  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Put;
  • передавать события аудита.

serverless.eventrouter.editor

Роль serverless.eventrouter.editor позволяет управлять шинами, коннекторами и правилами, а также отправлять в шины пользовательские и аудитные события.

Пользователи с этой ролью могут:

  • просматривать информацию о шинах и назначенных правах доступа к ним, а также создавать, изменять и удалять шины;
  • просматривать информацию о коннекторах и назначенных правах доступа к ним, а также создавать, изменять и удалять коннекторы;
  • просматривать информацию о правилах и назначенных правах доступа к ним, а также создавать, изменять и удалять правила;
  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Send;
  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Put;
  • передавать события аудита.

Включает разрешения, предоставляемые ролями serverless.eventrouter.viewer и serverless.eventrouter.supplier.

serverless.eventrouter.admin

Роль serverless.eventrouter.admin позволяет управлять шинами, коннекторами, правилами и доступом к ним, а также отправлять в шины пользовательские и аудитные события.

Пользователи с этой ролью могут:

  • просматривать информацию о шинах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к шинам, а также изменять такие права доступа;
  • просматривать информацию о коннекторах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к коннекторам, а также изменять такие права доступа;
  • просматривать информацию о правилах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к правилам, а также изменять такие права доступа;
  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Send;
  • отправлять пользовательские события в шины с помощью вызова gRPC API EventService/Put;
  • передавать события аудита;
  • просматривать информацию о квотах EventRouter.

Включает разрешения, предоставляемые ролью serverless.eventrouter.editor.

Подробнее см. Управление доступом в EventRouter.

Сервисные роли Yandex Workflows

serverless.workflows.auditor

Роль serverless.workflows.auditor позволяет просматривать информацию о рабочих процессах и историю их запусков, а также информацию о квотах Yandex Workflows.

serverless.workflows.viewer

Роль serverless.workflows.viewer позволяет просматривать информацию о рабочих процессах и историю их запусков, а также информацию о квотах Yandex Workflows.

Включает разрешения, предоставляемые ролью serverless.workflows.auditor.

serverless.workflows.executor

Роль serverless.workflows.executor позволяет запускать, приостанавливать, возобновлять и останавливать рабочие процессы, просматривать информацию о рабочих процессах и историю их запусков, а также просматривать информацию о квотах Yandex Workflows.

Включает разрешения, предоставляемые ролью serverless.workflows.viewer.

serverless.workflows.editor

Роль serverless.workflows.editor позволяет управлять рабочими процессами.

Пользователи с этой ролью могут:

  • просматривать информацию о рабочих процессах, а также создавать, изменять и удалять их;
  • запускать, приостанавливать, возобновлять и останавливать рабочие процессы;
  • просматривать историю запусков рабочих процессов;
  • просматривать информацию о квотах Yandex Workflows.

Включает разрешения, предоставляемые ролью serverless.workflows.executor.

serverless.workflows.admin

Роль serverless.workflows.admin позволяет управлять рабочими процессами.

Пользователи с этой ролью могут:

  • просматривать информацию о рабочих процессах, а также создавать, изменять и удалять их;
  • запускать, приостанавливать, возобновлять и останавливать рабочие процессы;
  • просматривать историю запусков рабочих процессов;
  • просматривать информацию о квотах Yandex Workflows.

Включает разрешения, предоставляемые ролью serverless.workflows.editor.

Подробнее см. Управление доступом в Workflows.

Yandex SmartCaptcha

smart-captcha.auditor

Роль smart-captcha.auditor позволяет просматривать информацию о капчах и назначенных правах доступа к ним.

smart-captcha.viewer

Роль smart-captcha.viewer позволяет просматривать информацию о капчах и назначенных правах доступа к ним, а также получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.auditor.

smart-captcha.editor

Роль smart-captcha.editor позволяет управлять капчами, просматривать информацию о них и получать ключи капчи.

Пользователи с этой ролью могут:

  • просматривать информацию о капчах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к капчам;
  • получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.viewer.

smart-captcha.admin

Роль smart-captcha.admin позволяет управлять капчами и доступом к ним, а также получать ключи капчи.

Пользователи с этой ролью могут:

  • просматривать информацию о капчах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к капчам и изменять такие права доступа;
  • получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.editor.

Подробнее см. Управление доступом в SmartCaptcha.

Yandex Smart Web Security

smart-web-security.auditor

Роль smart-web-security.auditor позволяет просматривать информацию о профилях безопасности Smart Web Security и метаинформацию облака и каталога.

Пользователи с этой ролью могут:

Назначить роль smart-web-security.auditor может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.viewer

Роль smart-web-security.viewer позволяет просматривать информацию о профилях безопасности Smart Web Security, а также об облаке и каталоге.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью smart-web-security.auditor.

Назначить роль smart-web-security.viewer может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.user

Роль smart-web-security.user позволяет просматривать информацию о профилях безопасности Smart Web Security и использовать их.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях безопасности Smart Web Security и использовать их в других сервисах Yandex Cloud;
  • просматривать информацию о назначенных правах доступа к профилям безопасности;
  • просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.viewer.

Назначить роль smart-web-security.user может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.editor

Роль smart-web-security.editor позволяет использовать профили безопасности Smart Web Security и управлять ими.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
  • просматривать информацию о назначенных правах доступа к профилям безопасности;
  • просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.user.

Назначить роль smart-web-security.editor может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.admin

Роль smart-web-security.admin позволяет использовать профили безопасности Smart Web Security, управлять ими и доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к профилям безопасности и изменять такие права доступа;
  • просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
  • просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.editor.

Назначить роль smart-web-security.admin может пользователь с ролью admin в облаке.

Подробнее см. Управление доступом в Smart Web Security.

Yandex SpeechKit

ai.speechkit-stt.user

Роль ai.speechkit-stt.user позволяет использовать сервис Yandex SpeechKit для распознавания речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.

ai.speechkit-tts.user

Роль ai.speechkit-tts.user позволяет использовать сервис Yandex SpeechKit для синтеза речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в SpeechKit.

Yandex SpeechSense

speech-sense.auditor

Роль speech-sense.auditor позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.

speech-sense.viewer

Роль speech-sense.viewer позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.

Роль speech-sense.viewer включает в себя все разрешения роли speech-sense.auditor.

speech-sense.editor

Роль speech-sense.editor позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство роль позволяет редактировать пространство и создавать в нем проекты, подключения и словари.

Роль speech-sense.editor включает в себя все разрешения роли speech-sense.viewer.

speech-sense.admin

Роль speech-sense.admin, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.

Роль speech-sense.admin включает в себя все разрешения ролей speech-sense.editor и speech-sense.data.editor.

speech-sense.spaces.creator

Роль speech-sense.spaces.creator позволяет создавать пространства в SpeechSense.

speech-sense.data.viewer

Роль speech-sense.data.viewer позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.

speech-sense.data.editor

Роль speech-sense.data.editor позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.

Роль speech-sense.data.editor включает в себя все разрешения роли speech-sense.data.viewer.

Подробнее см. Управление доступом в SpeechSense.

Yandex Translate

ai.translate.user

Роль ai.translate.user позволяет использовать сервис Yandex Translate для перевода текста, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в Translate.

Yandex Virtual Private Cloud

vpc.auditor

Роль vpc.auditor позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них;
  • просматривать список подсетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

vpc.viewer

Роль vpc.viewer позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них;
  • просматривать список подсетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.auditor.

vpc.user

Роль vpc.user позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.externalAddresses.user

Роль vpc.externalAddresses.user позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.

vpc.admin

Роль vpc.admin позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
  • настраивать внешний доступ к облачным сетям;
  • управлять связностью нескольких облачных сетей;
  • управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
  • просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
  • просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
  • привязывать таблицы маршрутизации к подсетям;
  • просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
  • просматривать список групп безопасности и информацию о них, а также создавать, изменять и удалять группы безопасности;
  • создавать и удалять в облачных сетях группы безопасности по умолчанию;
  • создавать и удалять правила групп безопасности, изменять их метаданные;
  • настраивать DHCP в подсетях;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями vpc.privateAdmin, vpc.publicAdmin и vpc.securityGroups.admin.

vpc.bridgeAdmin

Роль vpc.bridgeAdmin позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • управлять связностью нескольких облачных сетей;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список облачных сетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.privateAdmin

Роль vpc.privateAdmin позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
  • просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
  • просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
  • привязывать таблицы маршрутизации к подсетям;
  • просматривать список групп безопасности и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
  • настраивать DHCP в подсетях;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать внутренние IP-адреса;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.publicAdmin

Роль vpc.publicAdmin позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
  • управлять связностью нескольких облачных сетей;
  • управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
  • просматривать список подсетей и информацию о них, а также изменять подсети;
  • просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

Роль можно назначить на облако или каталог.

Важно

Если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.

vpc.gateways.viewer

Роль vpc.gateways.viewer позволяет просматривать информацию о NAT-шлюзах.

vpc.gateways.user

Роль vpc.gateways.user позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.

vpc.gateways.editor

Роль vpc.gateways.editor позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.

vpc.securityGroups.user

Роль vpc.securityGroups.user позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • назначать группы безопасности сетевым интерфейсам виртуальных машин;
  • получать список облачных сетей и просматривать информацию о них;
  • получать список подсетей и просматривать информацию о них;
  • получать список адресов облачных ресурсов и просматривать информацию о них;
  • получать список таблиц маршрутизации и просматривать информацию о них;
  • получать список групп безопасности и просматривать информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.securityGroups.admin

Роль vpc.securityGroups.admin позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
  • создавать и удалять в облачных сетях группы безопасности по умолчанию;
  • создавать и удалять правила групп безопасности, изменять их метаданные;
  • получать список облачных сетей и просматривать информацию о них;
  • получать список подсетей и просматривать информацию о них;
  • получать список адресов облачных ресурсов и просматривать информацию о них;
  • получать список таблиц маршрутизации и просматривать информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.privateEndpoints.viewer

Роль vpc.privateEndpoints.viewer позволяет просматривать информацию о сервисных подключениях.

vpc.privateEndpoints.editor

Роль vpc.privateEndpoints.editor позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью vpc.privateEndpoints.viewer.

vpc.privateEndpoints.admin

Роль vpc.privateEndpoints.admin позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью vpc.privateEndpoints.editor.

Подробнее см. Управление доступом в Virtual Private Cloud.

Yandex Vision OCR

ai.vision.user

Роль ai.vision.user позволяет использовать сервис Yandex Vision OCR для анализа изображений, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в Vision OCR.

Yandex WebSQL

websql.executedQueries.auditor

Роль websql.executedQueries.auditor позволяет просматривать метаданные опубликованного запроса из истории и информацию о назначенных правах доступа к нему.

websql.savedQueries.auditor

Роль websql.savedQueries.auditor позволяет просматривать метаданные опубликованного сохраненного запроса и информацию о назначенных правах доступа к нему.

websql.executedQueries.viewer

Роль websql.executedQueries.viewer позволяет просматривать информацию об опубликованном запросе из истории и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролью websql.executedQueries.auditor.

websql.savedQueries.viewer

Роль websql.savedQueries.viewer позволяет просматривать информацию об опубликованном сохраненном запросе и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролью websql.savedQueries.auditor.

websql.executedQueries.editor

Роль websql.executedQueries.editor позволяет просматривать информацию об опубликованном запросе из истории и удалять его.

Пользователи с этой ролью могут:

  • просматривать информацию об опубликованном запросе из истории и удалять его;
  • просматривать информацию о назначенных правах доступа к опубликованному запросу из истории.

Включает разрешения, предоставляемые ролью websql.executedQueries.viewer.

websql.savedQueries.editor

Роль websql.savedQueries.editor позволяет изменять и удалять опубликованный сохраненный запрос.

Пользователи с этой ролью могут:

  • просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его;
  • просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу.

Включает разрешения, предоставляемые ролью websql.savedQueries.viewer.

websql.executedQueries.admin

Роль websql.executedQueries.admin позволяет управлять опубликованным запросом из истории и доступом к нему.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к опубликованному запросу из истории и изменять такие права доступа;
  • просматривать информацию об опубликованном запросе из истории и удалять его.

Включает разрешения, предоставляемые ролью websql.executedQueries.editor.

websql.savedQueries.admin

Роль websql.savedQueries.admin позволяет управлять опубликованным сохраненным запросом и доступом к нему.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу и изменять такие права доступа;
  • просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его.

Включает разрешения, предоставляемые ролью websql.savedQueries.editor.

websql.auditor

Роль websql.auditor позволяет просматривать метаданные всех опубликованных запросов в сервисе WebSQL и информацию о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями websql.savedQueries.auditor и websql.executedQueries.auditor.

websql.viewer

Роль websql.viewer позволяет просматривать информацию обо всех опубликованных запросах в сервисе WebSQL и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

  • просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
  • просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями websql.savedQueries.viewer и websql.executedQueries.viewer.

websql.user

Роль websql.user позволяет просматривать информацию об опубликованных запросах в сервисе WebSQL, а также создавать, изменять и удалять приватные запросы.

Пользователи с этой ролью могут:

  • просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
  • приватно сохранять запросы, а также изменять и удалять приватные сохраненные запросы;
  • просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним;
  • сохранять исполненные запросы в приватную историю и удалять такие запросы из истории.

Включает разрешения, предоставляемые ролью websql.viewer.

websql.editor

Роль websql.editor позволяет управлять опубликованными и приватными запросами в сервисе WebSQL.

Пользователи с этой ролью могут:

  • просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним, а также изменять и удалять опубликованные сохраненные запросы;
  • приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
  • просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним, а также удалять опубликованные запросы из истории;
  • сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.

Включает разрешения, предоставляемые ролями websql.user, websql.savedQueries.editor и websql.executedQueries.editor.

websql.admin

Роль websql.admin позволяет управлять приватными запросами и публиковать их, а также управлять опубликованными запросами и доступом к ним.

Пользователи с этой ролью могут:

  • просматривать информацию о назначенных правах доступа к опубликованным сохраненным запросам и изменять такие права доступа;
  • просматривать информацию об опубликованных сохраненных запросах, а также изменять и удалять их;
  • приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
  • просматривать информацию о назначенных правах доступа к опубликованным запросам из истории и изменять такие права доступа;
  • просматривать информацию об опубликованных запросах из истории и удалять их;
  • сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.

Включает разрешения, предоставляемые ролями websql.editor, websql.savedQueries.admin и websql.executedQueries.admin.

Подробнее см. Управление доступом в WebSQL.

Yandex Wiki

wiki.viewer

Роль wiki.viewer назначается на организацию.

Дает право читать страницы в Yandex Wiki организации.

wiki.admin

Роль wiki.admin назначается на организацию.

Дает право редактировать страницы, настраивать права доступа для других пользователей, изменять список авторов и назначать владельца страницы.

ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc.

Предыдущая
Правила тарификации
Следующая
Overview