Справочник ролей Yandex Cloud
- Примитивные роли
- Служебные роли
- Сервисы искусственного интеллекта
- Yandex API Gateway
- Yandex Application Load Balancer
- Yandex Audit Trails
- Yandex Certificate Manager
- Yandex Cloud Backup
- Yandex Cloud Billing
- Yandex Cloud CDN
- Yandex Cloud Desktop
- Yandex Cloud DNS
- Yandex Cloud Functions
- Yandex Cloud Logging
- Yandex Cloud Marketplace
- Yandex Cloud Organization
- Yandex Cloud Postbox
- Yandex Cloud Registry
- Yandex Cloud Video
- Yandex Compute Cloud
- Yandex Connection Manager
- Yandex Container Registry
- Yandex DataLens
- Yandex Data Processing
- Yandex DataSphere
- Yandex Data Streams
- Yandex Data Transfer
- Yandex Identity and Access Management
- Yandex IoT Core
- Yandex Foundation Models
- Yandex Key Management Service
- Yandex Load Testing
- Yandex Lockbox
- Управляемые базы данных
- Yandex Managed Service for Apache Airflow™
- Yandex Managed Service for Apache Kafka®
- Yandex Managed Service for ClickHouse®
- Yandex Managed Service for GitLab
- Yandex Managed Service for Greenplum®
- Yandex Managed Service for Kubernetes
- Yandex Managed Service for MongoDB
- Yandex Managed Service for MySQL®
- Yandex Managed Service for OpenSearch
- Yandex Managed Service for PostgreSQL
- Yandex Managed Service for Valkey™
- Yandex Managed Service for SQL Server
- Yandex Managed Service for YDB
- Yandex Message Queue
- Yandex Monitoring
- Yandex Network Load Balancer
- Yandex Object Storage
- Yandex Query
- Yandex Resource Manager
- Yandex Search API
- Yandex Security Deck
- Yandex Serverless Containers
- Yandex SmartCaptcha
- Yandex Smart Web Security
- Yandex SpeechKit
- Yandex SpeechSense
- Yandex Translate
- Yandex Virtual Private Cloud
- Yandex Vision OCR
- Yandex WebSQL
- Yandex Wiki
Примитивные роли
На диаграмме показано, какие примитивные роли есть в Yandex Cloud и как они наследуют разрешения друг друга. Например, в роль editor
входят все разрешения роли viewer
. После диаграммы дано описание каждой роли.
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor
предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor
— наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Служебные роли
quota-manager.viewer
Роль quota-manager.viewer
позволяет просматривать информацию о квотах сервисов Yandex Cloud и о запросах на увеличение таких квот, а также об облаках.
quota-manager.requestOperator
Роль quota-manager.requestOperator
позволяет создавать запросы на новые квоты для сервисов Yandex Cloud. Это разрешение также входит в роли admin
и editor
.
Сервисы искусственного интеллекта
ai.auditor
Роль ai.auditor
позволяет просматривать квоты для сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, просматривать информацию об AI-ассистентах, датасетах и моделях генерации текста Yandex Foundation Models, а также читать метаинформацию каталогов.
Включает разрешения, предоставляемые ролями ai.assistants.auditor
, ai.datasets.auditor
и ai.models.auditor
.
ai.viewer
Роль ai.viewer
позволяет просматривать информацию о квотах сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, об AI-ассистентах, датасетах и моделях генерации текста Yandex Foundation Models, а также о каталоге.
Включает разрешения, предоставляемые ролями ai.auditor
, ai.assistants.viewer
, ai.datasets.viewer
и ai.models.viewer
.
ai.editor
Роль ai.editor
позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.
Пользователи с этой ролью могут:
- использовать сервис Yandex Translate для перевода текста;
- использовать сервис Yandex Vision OCR для анализа изображений;
- использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
- использовать языковые модели генерации YandexGPT API, модели генерации изображений YandexART, а также AI-ассистентов в сервисе Yandex Foundation Models;
- просматривать информацию о датасетах, а также создавать, изменять и удалять датасеты;
- дообучать модели генерации текста Yandex Foundation Models, а также создавать, изменять и удалять дообученные модели;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.
Включает разрешения, предоставляемые ролями ai.viewer
, ai.translate.user
, ai.vision.user
, ai.speechkit-stt.user
, ai.speechkit-tts.user
, ai.languageModels.user
, ai.imageGeneration.user
, ai.assistants.editor
, ai.datasets.editor
и ai.models.editor
.
ai.admin
Роль ai.admin
позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.
Пользователи с этой ролью могут:
- использовать сервис Yandex Translate для перевода текста;
- использовать сервис Yandex Vision OCR для анализа изображений;
- использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
- использовать языковые модели генерации YandexGPT API, модели генерации изображений YandexART, а также AI-ассистентов в сервисе Yandex Foundation Models;
- просматривать информацию о датасетах, а также создавать, изменять и удалять датасеты;
- дообучать модели генерации текста Yandex Foundation Models, а также создавать, изменять и удалять дообученные модели;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.
Включает разрешения, предоставляемые ролями ai.editor
, ai.assistants.admin
, ai.datasets.admin
и ai.models.admin
.
Yandex API Gateway
api-gateway.auditor
Роль api-gateway.auditor
позволяет просматривать список API-шлюзов и информацию о назначенных правах доступа к ним, а также метаинформацию каталога.
api-gateway.viewer
Роль api-gateway.viewer
позволяет просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.auditor
.
api-gateway.editor
Роль api-gateway.editor
позволяет просматривать информацию об API-шлюзах и управлять ими, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также создавать, изменять и удалять API-шлюзы;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.websocketWriter
.
api-gateway.websocketWriter
Роль api-gateway.websocketWriter
позволяет работать с API WebSocket, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.viewer
.
api-gateway.websocketBroadcaster
Роль api-gateway.websocketBroadcaster
позволяет отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам;
- просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.websocketWriter
.
api-gateway.admin
Роль api-gateway.admin
позволяет управлять API-шлюзами и доступом к ним, просматривать информацию об API-шлюзах, а также работать с API WebSocket.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к API-шлюзам и изменять такие права доступа;
- просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
- просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
- использовать ограничение скорости обработки запросов;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью api-gateway.editor
.
Подробнее см. Управление доступом в API Gateway.
Yandex Application Load Balancer
alb.auditor
Роль alb.auditor
позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
alb.viewer
Роль alb.viewer
позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них;
- просматривать список HTTP-роутеров и информацию о них;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них;
- просматривать список целевых групп и информацию о них;
- просматривать информацию о квотах сервиса Application Load Balancer.
Включает разрешения, предоставляемые ролью alb.auditor
.
alb.user
Роль alb.user
позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
- просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них;
- просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
- просматривать список целевых групп и информацию о них, а также использовать целевые группы;
- просматривать информацию о квотах сервиса Application Load Balancer.
Роль можно назначить на каталог.
alb.editor
Роль alb.editor
позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.privateAdmin
и vpc.user
.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin
на сеть, в которой находится балансировщик.
alb.admin
Роль alb.admin
позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.
Пользователи с этой ролью могут:
- просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
- просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
- просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
- просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
- просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью alb.editor
.
Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin
на сеть, в которой находится балансировщик.
Подробнее см. Управление доступом в Application Load Balancer.
Yandex Audit Trails
audit-trails.auditor
Роль audit-trails.auditor
позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.
audit-trails.viewer
Роль audit-trails.viewer
позволяет читать аудитные логи, а также просматривать список трейлов и информацию о трейлах, облаке, каталоге и квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.auditor
.
audit-trails.editor
Роль audit-trails.editor
позволяет управлять трейлами и читать аудитные логи.
Пользователи с этой ролью могут:
- просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
- читать аудитные логи;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.viewer
.
audit-trails.admin
Роль audit-trails.admin
позволяет управлять трейлами и доступом к ним, а также читать аудитные логи.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к трейлам, а также изменять такие права доступа;
- просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
- читать аудитные логи;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Audit Trails.
Включает разрешения, предоставляемые ролью audit-trails.editor
.
audit-trails.configViewer
Роль audit-trails.configViewer
позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.
Эта роль недоступна. Используйте роль audit-trails.auditor
.
Подробнее см. Управление доступом Audit Trails.
Yandex Certificate Manager
certificate-manager.auditor
Роль certificate-manager.auditor
позволяет просматривать информацию о сертификатах и доменах, а также о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и о назначенных правах доступа к ним;
- просматривать список доменов и зависимых ресурсов, а также информацию о доменах и о назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Certificate Manager.
certificate-manager.viewer
Роль certificate-manager.viewer
позволяет просматривать информацию о сертификатах и доменах, а также о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и о назначенных правах доступа к ним;
- просматривать список доменов и зависимых ресурсов, а также информацию о доменах и о назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Certificate Manager.
Включает разрешения, предоставляемые ролью certificate-manager.auditor
.
certificate-manager.editor
Роль certificate-manager.editor
позволяет управлять сертификатами и доменами, просматривать информацию о них, о назначенных правах доступа к ним и о квотах сервиса Certificate Manager.
Пользователи с этой ролью могут:
- просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и назначенных правах доступа к ним;
- добавлять, изменять, обновлять и удалять сертификаты;
- просматривать список доменов и зависимых ресурсов, а также информацию о доменах и назначенных правах доступа к ним;
- создавать, изменять и удалять домены, а также привязывать сертификаты к доменам;
- просматривать информацию о квотах сервиса Certificate Manager.
Включает разрешения, предоставляемые ролью certificate-manager.viewer
.
certificate-manager.admin
Роль certificate-manager.admin
позволяет управлять сертификатами, доменами и доступом к ним, а также получать содержимое сертификатов.
Пользователи с этой ролью могут:
- просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах;
- просматривать информацию о назначенных правах доступа к сертификатам и изменять такие права доступа;
- добавлять, изменять, обновлять и удалять сертификаты;
- получать содержимое сертификатов;
- просматривать список доменов и зависимых ресурсов, а также информацию о доменах;
- просматривать информацию о назначенных правах доступа к доменам и изменять такие права доступа;
- создавать, изменять и удалять домены, а также привязывать сертификаты к доменам;
- просматривать информацию о квотах сервиса Certificate Manager;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью certificate-manager.editor
.
certificate-manager.certificates.downloader
Роль certificate-manager.certificates.downloader
позволяет просматривать список сертификатов и информацию о них, а также получать содержимое сертификатов.
Подробнее см. Управление доступом в Certificate Manager.
Yandex Cloud Backup
backup.viewer
Роль backup.viewer
позволяет просматривать информацию о виртуальных машинах и серверах BareMetal, подключенных к сервису Cloud Backup, о политиках резервного копирования и резервных копиях, а также о квотах сервиса, облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о подключенных провайдерах резервного копирования;
- просматривать информацию о назначенных правах доступа к политикам резервного копирования;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
- просматривать информацию о подключенных к сервису виртуальных машинах и серверах BareMetal;
- просматривать информацию о резервных копиях;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Назначить роль backup.viewer
может пользователь с ролью admin
в облаке или backup.admin
в каталоге.
backup.editor
Роль backup.editor
позволяет управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, управлять политиками резервного копирования, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.
Пользователи с этой ролью могут:
- просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
- создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
- просматривать информацию о назначенных правах доступа к политикам резервного копирования;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
- просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
- просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Включает разрешения, предоставляемые ролью backup.viewer
.
Назначить роль backup.editor
может пользователь с ролью admin
в облаке или backup.admin
в каталоге.
backup.admin
Роль backup.admin
позволяет управлять политиками резервного копирования и доступом к ним, управлять подключением виртуальных машин и серверов BareMetal к сервису Cloud Backup, выполнять резервное копирование, восстанавливать ВМ и серверы BareMetal из резервных копий.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к политикам резервного копирования и изменять такие права доступа;
- просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
- создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах и серверах BareMetal;
- просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах и серверах BareMetal;
- просматривать информацию о подключенных к Cloud Backup виртуальных машинах и серверах BareMetal, а также подключать и отключать виртуальные машины и серверы BareMetal от сервиса;
- просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины и серверы BareMetal;
- просматривать информацию о квотах сервиса Cloud Backup;
- просматривать информацию об облаке;
- просматривать информацию о каталоге и его статистику.
Включает разрешения, предоставляемые ролью backup.editor
.
Назначить роль backup.admin
может пользователь с ролью admin
в облаке.
Подробнее см. Управление доступом в Cloud Backup.
Yandex Cloud Billing
billing.accounts.member
Роль billing.accounts.member
автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.
billing.accounts.owner
Роль billing.accounts.owner
автоматически выдается при создании платежного аккаунта. Роль, выданную при создании, нельзя отозвать, но можно выдать такую же роль другим пользователям и отозвать ее у них.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа;
- подключать, отключать, изменять тарифный план технической поддержки, а также изменять платежный аккаунт, с которого будет списываться плата по тарифу;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- пополнять лицевой счет с помощью банковской карты;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- изменять контакты плательщика;
- изменять платежные реквизиты;
- изменять банковскую карту;
- изменять способ оплаты;
- активировать промокоды;
- активировать пробный период;
- активировать платную версию;
- удалять платежные аккаунты.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- обновлять данные записей о сабаккаунтах;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- удалять сабаккаунты (до подтверждения клиентом);
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.accounts.admin
.
billing.accounts.viewer
Роль billing.accounts.viewer
назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать список и данные сабаккаунтов;
- просматривать потребление сервисов клиентами;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок.
billing.accounts.accountant
Роль billing.accounts.accountant
назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- пополнять лицевой счет с помощью расчетного счета.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- просматривать список и данные сабаккаунтов;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок.
Включает разрешения, предоставляемые ролью billing.accounts.viewer
.
billing.accounts.editor
Роль billing.accounts.editor
назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.accounts.viewer
.
billing.accounts.admin
Роль billing.accounts.admin
назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner
).
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа (за исключением назначения и отзыва роли
billing.accounts.owner
); - подключать, отключать, изменять тарифный план технической поддержки, а также изменять платежный аккаунт, с которого будет списываться плата по тарифу;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать присвоенные специализации;
- просматривать список партнерских премий и информацию о них;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- просматривать список реферальных ссылок;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролями billing.accounts.editor
и billing.partners.editor
.
billing.accounts.varWithoutDiscounts
Роль billing.accounts.varWithoutDiscounts
назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.
В сервисе Yandex Cloud Billing пользователи с этой ролью могут:
- показывать платежные аккаунты в списке всех аккаунтов;
- просматривать данные платежных аккаунтов;
- просматривать информацию о назначенных правах доступа к платежным аккаунтам;
- просматривать и скачивать отчетные (закрывающие) документы;
- генерировать новые акты сверки;
- просматривать и скачивать сгенерированные акты сверки;
- получать и просматривать уведомления о потреблении;
- проверять расходы;
- просматривать детализацию;
- создавать экспорт детализации;
- создавать бюджеты;
- резервировать потребление ресурсов;
- пополнять лицевой счет с помощью расчетного счета;
- привязывать облака к платежному аккаунту;
- переименовывать платежные аккаунты;
- активировать промокоды.
На партнерском портале Yandex Cloud пользователи с этой ролью могут:
- создавать записи о клиентах (сабаккаунты);
- просматривать список и данные сабаккаунтов;
- активировать сабаккаунты;
- приостанавливать работу сабаккаунтов;
- возобновлять работу сабаккаунтов;
- привязывать облака к сабаккаунтам;
- управлять назначенными правами доступа к сабаккаунтам;
- просматривать потребление сервисов клиентами;
- просматривать историю начисления рибейта;
- выводить рибейт;
- просматривать историю начисления вознаграждений по реферальной программе;
- выводить вознаграждение по реферальной программе;
- просматривать статус расчетов с компанией-реферером;
- создавать реферальные ссылки;
- активировать реферальные ссылки;
- изменять реферальные ссылки.
Включает разрешения, предоставляемые ролью billing.partners.editor
.
billing.partners.editor
Роль billing.partners.editor
назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.
Подробнее см. Управление доступом в сервисе Yandex Cloud Billing.
Yandex Cloud CDN
cdn.viewer
Роль cdn.viewer
позволяет просматривать информацию о каталоге, группах источников, CDN-ресурсах и квотах сервиса Cloud CDN.
cdn.editor
Роль cdn.editor
позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о группах источников, а также создавать, изменять и удалять их;
- просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
- управлять выгрузкой логов запросов к CDN-серверам;
- управлять экранированием источников;
- просматривать информацию о квотах сервиса Cloud CDN;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью cdn.viewer
.
cdn.admin
Роль cdn.admin
позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о группах источников, а также создавать, изменять и удалять их;
- просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
- управлять выгрузкой логов запросов к CDN-серверам;
- управлять экранированием источников;
- просматривать информацию о квотах сервиса Cloud CDN;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью cdn.editor
.
Позже роль получит дополнительные возможности.
Подробнее см. Управление доступом в Cloud CDN.
Yandex Cloud Desktop
vdi.viewer
Роль vdi.viewer
позволяет использовать рабочие столы, а также просматривать информацию о рабочих столах и группах рабочих столов.
Пользователи с этой ролью могут:
- просматривать информацию о группах рабочих столов и назначенных правах доступа к таким группам;
- просматривать информацию о рабочих столах и использовать их;
- просматривать информацию о квотах сервиса Cloud Desktop.
vdi.editor
Роль vdi.editor
позволяет управлять группами рабочих столов и рабочими столами, а также использовать рабочие столы.
Пользователи с этой ролью могут:
- просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы;
- просматривать информацию о назначенных правах доступа к группам рабочих столов;
- просматривать информацию о рабочих столах и использовать их;
- создавать, изменять, запускать, перезапускать, останавливать и удалять рабочие столы;
- просматривать информацию о квотах сервиса Cloud Desktop.
Включает разрешения, предоставляемые ролью vdi.viewer
.
vdi.admin
Роль vdi.admin
позволяет управлять группами рабочих столов и доступом к ним, а также управлять рабочими столами и использовать их.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к группам рабочих столов, а также изменять такие права доступа;
- просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы;
- просматривать информацию о рабочих столах и использовать их;
- создавать, изменять, запускать, перезапускать, останавливать и удалять рабочие столы;
- просматривать информацию о квотах сервиса Cloud Desktop;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vdi.editor
.
Подробнее см. Управление доступом в Yandex Cloud Desktop.
Yandex Cloud DNS
dns.auditor
Роль dns.auditor
позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, а также о каталоге и квотах сервиса Cloud DNS. Роль не дает доступа к ресурсным записям.
dns.viewer
Роль dns.viewer
позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, о ресурсных записях, а также о каталоге и квотах сервиса Cloud DNS.
Включает разрешения, предоставляемые ролью dns.auditor
.
dns.editor
Роль dns.editor
позволяет управлять DNS-зонами и ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.
Пользователи с этой ролью могут:
- просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
- создавать вложенные публичные DNS-зоны;
- просматривать информацию о назначенных правах доступа к DNS-зонам;
- просматривать информацию о квотах сервиса Cloud DNS;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dns.viewer
.
dns.admin
Роль dns.admin
позволяет управлять DNS-зонами и доступом к ним, ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к DNS-зонам, а также создавать, изменять и удалять такие права доступа;
- просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
- создавать вложенные публичные DNS-зоны;
- просматривать информацию о квотах сервиса Cloud DNS;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dns.editor
.
Подробнее см. Управление доступом в Cloud DNS.
Yandex Cloud Functions
functions.auditor
Роль functions.auditor
позволяет просматривать информацию о функциях, триггерах и подключениях к управляемым БД.
Пользователи с этой ролью могут:
- просматривать список функций и информацию о них;
- просматривать список триггеров и информацию о них;
- просматривать список подключений к БД и информацию о таких подключениях;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions.
functions.viewer
Роль functions.viewer
позволяет просматривать информацию о функциях, в том числе код и переменные окружения версий функций, а также информацию о триггерах и подключениях к управляемым БД.
Пользователи с этой ролью могут:
- просматривать список функций и информацию о них;
- просматривать переменные окружения и программный код версий функций;
- просматривать список триггеров и информацию о них;
- просматривать список подключений к БД и информацию о таких подключениях;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
- просматривать информацию о квотах сервиса Cloud Functions;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью functions.auditor
.
functions.functionInvoker
Роль functions.functionInvoker
позволяет вызывать функции.
functions.editor
Роль functions.editor
позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД.
Пользователи с этой ролью могут:
- просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
- просматривать переменные окружения и программный код версий функций;
- просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
- просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
- создавать, изменять и удалять API-шлюзы;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
- просматривать информацию о квотах сервиса Cloud Functions;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью functions.viewer
.
functions.mdbProxiesUser
Роль functions.mdbProxiesUser
позволяет подключаться к управляемым БД из функций.
functions.admin
Роль functions.admin
позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
- просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
- просматривать переменные окружения и программный код версий функций;
- просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
- просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
- создавать, изменять и удалять API-шлюзы;
- просматривать информацию о квотах сервиса Cloud Functions;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью functions.editor
.
serverless.mdbProxies.user
Роль serverless.mdbProxies.user
позволяет подключаться к управляемым БД из функций Cloud Functions.
Эта роль недоступна. Используйте роль functions.mdbProxiesUser
.
serverless.functions.invoker
Роль serverless.functions.invoker
позволяет вызывать функции.
Эта роль недоступна. Используйте роль functions.functionInvoker
.
serverless.functions.admin
Роль serverless.functions.admin
позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
- просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
- просматривать переменные окружения и программный код версий функций;
- просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
- просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
- просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
- просматривать информацию о квотах сервиса Cloud Functions;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Эта роль недоступна. Используйте роль functions.admin
.
Подробнее см. Управление доступом в Cloud Functions.
Yandex Cloud Logging
logging.viewer
Роль logging.viewer
позволяет просматривать информацию о лог-группах, приемниках логов и назначенных правах доступа к ним, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать информацию об облаке и каталоге.
logging.editor
Роль logging.editor
позволяет просматривать информацию о ресурсах сервиса и управлять ими.
Пользователи с этой ролью могут:
- просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
- просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью logging.viewer
.
logging.reader
Роль logging.reader
позволяет просматривать записи в лог-группах и информацию о ресурсах сервиса, а также метаинформацию облака и каталога.
Пользователи с этой ролью могут:
- просматривать записи в лог-группах;
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью logging.viewer
.
logging.writer
Роль logging.writer
позволяет добавлять записи в лог-группы и просматривать информацию о ресурсах сервиса, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- добавлять записи в лог-группы;
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью logging.viewer
.
logging.admin
Роль logging.admin
позволяет управлять ресурсами сервиса и доступом к ним, а также просматривать и добавлять записи в лог-группы.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging и изменять такие права доступа;
- просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
- просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
- просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
- просматривать и добавлять записи в лог-группы;
- просматривать информацию о квотах сервиса Cloud Logging.
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями logging.editor
, logging.reader
и logging.writer
.
Подробнее см. Управление доступом в Cloud Logging.
Yandex Cloud Marketplace
Роли партнера
marketplace.meteringAgent
Роль marketplace.meteringAgent
позволяет регистрировать потребление продуктов Marketplace.
Роль позволяет партнеру:
- авторизовывать приложения в Metering API;
- отслеживать установленные метрики приложений, чтобы тарифицировать их потребление.
Роль можно назначить на сервисный аккаунт, от имени которого отправляются метрики потребления.
license-manager.saasSubscriptionSupervisor
Роль license-manager.saasSubscriptionSupervisor
позволяет просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам, а также создавать такие привязки.
Роль предназначена для продуктов SaaS и может быть назначена на сервисный аккаунт, от имени которого будут создаваться привязки к ресурсам, приложениям или сервисам.
marketplace.product.creator
Роль marketplace.product.creator
позволяет создавать продукты Marketplace в профиле партнера и управлять доступом к таким продуктам.
marketplace.product.admin
Роль marketplace.product.admin
позволяет управлять продуктами Marketplace и доступом к ним, а также их версиями, тарифами, пробными периодами, формами и заявками на модерацию.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
- просматривать информацию о продуктах, а также создавать и изменять их;
- просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
- просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
- просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
- просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
- просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
- просматривать список категорий продуктов.
marketplace.publishers.reportViewer
Роль marketplace.publishers.reportViewer
позволяет просматривать отчеты по продуктам Marketplace в профиле партнера.
marketplace.publishers.viewer
Роль marketplace.publishers.viewer
позволяет просматривать информацию о профиле партнера и продуктах Marketplace в нем, а также обращаться в техническую поддержку.
Пользователи с этой ролью могут:
- просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
- просматривать список версий продуктов партнера и информацию о таких версиях;
- просматривать список заявок на модерацию продуктов партнера и информацию о таких заявках;
- создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.
Включает разрешения, предоставляемые ролью marketplace.publishers.member
.
marketplace.publishers.editor
Роль marketplace.publishers.editor
позволяет управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также обращаться в техническую поддержку.
Пользователи с этой ролью могут:
- просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
- просматривать информацию о продуктах, а также создавать и изменять их;
- просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
- просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
- просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
- просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
- просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
- просматривать список категорий продуктов;
- создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.
Включает разрешения, предоставляемые ролями marketplace.publishers.viewer
и marketplace.product.admin
.
marketplace.publishers.admin
Роль marketplace.publishers.admin
позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.
Пользователи с этой ролью могут:
- просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
- просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
- просматривать информацию о продуктах, а также создавать и изменять их;
- просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
- просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
- просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
- просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
- просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
- просматривать список категорий продуктов;
- просматривать отчеты по продуктам Marketplace в профиле партнера;
- создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.
Включает разрешения, предоставляемые ролями marketplace.publishers.editor
и marketplace.publishers.reportViewer
.
marketplace.publishers.owner
Роль marketplace.publishers.owner
позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.
Роль выдается владельцу платежного аккаунта при создании профиля партнера и не может быть переназначена.
Пользователи с этой ролью могут:
- просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
- просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
- просматривать информацию о продуктах, а также создавать и изменять их;
- просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
- просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
- просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
- просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
- просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
- просматривать список категорий продуктов;
- просматривать отчеты по продуктам Marketplace в профиле партнера;
- создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.
Включает разрешения, предоставляемые ролью marketplace.publishers.admin
.
marketplace.publishers.member
Роль marketplace.publishers.member
предоставляет права участника профиля партнера, но не дает доступа к ресурсам профиля. Чтобы предоставить пользователю доступ к продуктам или отчетам в профиле партнера, дополнительно назначьте ему роль marketplace.publishers.viewer
, marketplace.publishers.editor
, marketplace.publishers.admin
или marketplace.publishers.owner
.
Подробнее см. Управление доступом партнера в Marketplace.
Роли пользователя
license-manager.auditor
Роль license-manager.auditor
позволяет просматривать информацию о подписках.
license-manager.viewer
Роль license-manager.viewer
позволяет просматривать информацию о подписках и их привязках к ресурсу, приложению или сервису.
Включает разрешения, предоставляемые ролью license-manager.auditor
.
license-manager.user
Роль license-manager.user
позволяет управлять подписками, а также просматривать информацию о них и их привязках к ресурсам, приложениям или сервисам.
Пользователи с этой ролью могут:
- просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам;
- покупать подписки;
- отключать автопродление подписок;
- привязывать подписки к ресурсам, приложениям или сервисам и отвязывать подписки от них;
- перемещать подписки между каталогами.
Включает разрешения, предоставляемые ролью license-manager.viewer
.
license-manager.subscriptionAgent
Роль license-manager.subscriptionAgent
позволяет привязывать подписки к ресурсам, приложениям или сервисам, а также просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам.
Подробнее см. Управление доступом пользователя в Marketplace.
Yandex Cloud Organization
organization-manager.viewer
Роль organization-manager.viewer
позволяет просматривать информацию об организации, о входящих в нее пользователях и группах пользователей, а также о настройках OS Login.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к организации;
- просматривать список пользователей организации;
- просматривать список групп, в которые входят пользователи;
- просматривать информацию о настройках OS Login и список профилей OS Login пользователей организации;
- просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
- просматривать информацию о действующем тарифном плане технической поддержки.
Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer
.
organization-manager.admin
Роль organization-manager.admin
позволяет управлять настройками организации, пользователями организации и их группами, а также правами доступа пользователей к организации и ресурсам в ней.
Пользователи с этой ролью могут:
- привязывать платежный аккаунт к организации;
- просматривать информацию о назначенных правах доступа к организации и к группам пользователей организации, а также изменять такие права доступа;
- просматривать список групп пользователей организации и информацию о таких группах, а также просматривать и изменять списки пользователей, входящих в группы;
- настраивать сопоставление групп пользователей;
- просматривать список пользователей организации и удалять пользователей из организации;
- просматривать информацию об отправленных пользователям приглашениях в организацию, а также отправлять и удалять такие приглашения;
- просматривать информацию о настройках OS Login организации и изменять такие настройки;
- просматривать список профилей OS Login пользователей организации, а также создавать, изменять и удалять профили OS Login;
- просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей;
- просматривать информацию о действующем тарифном плане технической поддержки.
Включает разрешения, предоставляемые ролями organization-manager.viewer
и organization-manager.osLogins.admin
.
organization-manager.organizations.owner
Роль organization-manager.organizations.owner
позволяет совершать любые действия с любыми ресурсами в организации и с платежными аккаунтами, в том числе создавать платежные аккаунты и привязывать их к облакам. Роль также позволяет назначать дополнительных владельцев организации.
Прежде чем назначить эту роль, ознакомьтесь с информацией о защите привилегированных аккаунтов.
organization-manager.federations.viewer
Роль organization-manager.federations.viewer
позволяет просматривать информацию об организации и ее настройках, информацию о федерациях удостоверений и сертификатах, а также списки сопоставлений групп пользователей и информацию о таких сопоставлениях.
organization-manager.federations.userAdmin
Роль organization-manager.federations.userAdmin
позволяет добавлять федеративных пользователей в организацию и удалять их, просматривать список пользователей организации, а также атрибуты федеративных пользователей.
organization-manager.federations.admin
Роль organization-manager.federations.admin
позволяет создавать, изменять и удалять федерации удостоверений, сертификаты и федеративных пользователей, просматривать настройки организации и информацию о сопоставлении групп пользователей.
Пользователи с этой ролью могут:
- просматривать информацию об организации и ее настройках;
- просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять федерации удостоверений;
- просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
- просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
- создавать и удалять федеративных пользователей.
Включает разрешения, предоставляемые ролью organization-manager.federations.viewer
.
organization-manager.osLogins.viewer
Роль organization-manager.osLogins.viewer
позволяет просматривать информацию о настройках OS Login организации и список профилей OS Login пользователей организации, а также просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах.
organization-manager.osLogins.admin
Роль organization-manager.osLogins.admin
позволяет управлять настройками OS Login организации, а также профилями OS Login и SSH-ключами пользователей организации.
Пользователи с этой ролью могут:
- просматривать информацию о настройках OS Login организации и изменять такие настройки;
- просматривать список профилей OS Login пользователей организации, а также создавать, изменять и удалять профили OS Login;
- просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей.
Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer
.
organization-manager.groups.memberAdmin
Роль organization-manager.groups.memberAdmin
позволяет просматривать информацию о группах пользователей, настраивать сопоставление групп пользователей, а также просматривать и изменять списки пользователей, входящих в группы.
organization-manager.users.viewer
Роль organization-manager.users.viewer
позволяет просматривать список пользователей организации и информацию о них, а также атрибуты федеративных пользователей.
Подробнее см. Управление доступом в Yandex Cloud Organization.
Yandex Cloud Postbox
postbox.sender
Роль postbox.sender
позволяет отправлять письма из Yandex Cloud Postbox.
postbox.auditor
Роль postbox.auditor
позволяет просматривать информацию об адресах Yandex Cloud Postbox.
Пользователи с этой ролью могут:
- просматривать информацию об адресах и их конфигурациях;
- получать списки адресов и их конфигураций.
postbox.viewer
Роль postbox.viewer
позволяет просматривать информацию об адресах Yandex Cloud Postbox.
Пользователи с этой ролью могут:
- просматривать информацию об адресах и их конфигурациях;
- получать списки адресов и их конфигураций.
Включает разрешения, предоставляемые ролью postbox.auditor
.
postbox.editor
Роль postbox.editor
позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.
Пользователи с этой ролью могут:
- создавать, изменять и удалять адреса и их конфигурации;
- просматривать информацию об адресах и их конфигурациях;
- получать список адресов и их конфигураций;
- отправлять письма.
Включает разрешения, предоставляемые ролью postbox.viewer
.
postbox.admin
Роль postbox.admin
позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.
Пользователи с этой ролью могут:
- создавать, изменять и удалять адреса и их конфигурации;
- просматривать информацию об адресах и их конфигурациях;
- получать список адресов и их конфигураций;
- отправлять письма.
Включает разрешения, предоставляемые ролью postbox.editor
.
Подробнее см. Управление доступом в Yandex Cloud Postbox.
Yandex Cloud Registry
cloud-registry.auditor
Роль cloud-registry.auditor
позволяет просматривать метаданные артефактов, информацию о реестрах и назначенных правах доступа к ним, а также о квотах сервиса Cloud Registry.
Пользователи с этой ролью могут:
- просматривать метаданные артефактов;
- просматривать информацию о реестрах;
- просматривать список IP-разрешений реестров;
- просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
- просматривать информацию о квотах сервиса Cloud Registry;
- просматривать информацию об облаке и каталоге.
cloud-registry.viewer
Роль cloud-registry.viewer
позволяет скачивать артефакты, просматривать информацию об артефактах и реестрах, о назначенных правах доступа к реестрам, а также о квотах сервиса Cloud Registry.
Пользователи с этой ролью могут:
- просматривать информацию об артефактах и скачивать их;
- просматривать информацию о реестрах;
- просматривать список IP-разрешений реестров;
- просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
- просматривать информацию о квотах сервиса Cloud Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью cloud-registry.auditor
.
cloud-registry.editor
Роль cloud-registry.editor
позволяет управлять артефактами и реестрами, а также просматривать информацию о назначенных правах доступа к реестрам и квотах сервиса Cloud Registry.
Пользователи с этой ролью могут:
- просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
- просматривать информацию о реестрах, а также создавать, изменять и удалять их;
- создавать и удалять папки внутри реестров;
- просматривать список IP-разрешений реестров;
- просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров;
- просматривать информацию о квотах сервиса Cloud Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями cloud-registry.viewer
и cloud-registry.artifacts.pusher
.
cloud-registry.admin
Роль cloud-registry.admin
позволяет управлять артефактами, реестрами и доступом к реестрам, а также просматривать информацию о квотах сервиса Cloud Registry.
Пользователи с этой ролью могут:
- просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
- просматривать информацию о реестрах, а также создавать, изменять и удалять их;
- просматривать информацию о назначенных правах доступа к реестрам и папкам внутри реестров, а также изменять такие права доступа;
- создавать и удалять папки внутри реестров;
- просматривать и изменять список IP-разрешений реестров;
- просматривать информацию о квотах сервиса Cloud Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью cloud-registry.editor
.
cloud-registry.artifacts.puller
Роль cloud-registry.artifacts.puller
позволяет скачивать артефакты, а также получать информацию об артефактах и реестрах.
cloud-registry.artifacts.pusher
Роль cloud-registry.artifacts.pusher
позволяет управлять артефактами, а также просматривать информацию о реестрах и управлять папками в них.
Пользователи с этой ролью могут:
- просматривать информацию об артефактах, а также создавать, изменять, скачивать и удалять их;
- просматривать информацию о реестрах;
- создавать и удалять папки внутри реестров.
Подробнее см. Управление доступом в Yandex Cloud Registry.
Yandex Cloud Video
video.auditor
Роль video.auditor
позволяет просматривать информацию о ресурсах сервиса Cloud Video и их параметрах.
video.viewer
Роль video.viewer
позволяет просматривать информацию о ресурсах сервиса Cloud Video и их параметрах.
Включает разрешения, предоставляемые ролью video.auditor
.
video.editor
Роль video.editor
позволяет управлять ресурсами сервиса Cloud Video, а также выполнять трансляцию видеопотока.
Пользователи с этой ролью могут:
- просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
- выполнять трансляцию видеопотока Cloud Video в прямом эфире.
Включает разрешения, предоставляемые ролью video.viewer
.
video.admin
Роль video.admin
позволяет управлять ресурсами сервиса Cloud Video и доступом к ним.
Пользователи с этой ролью могут:
- управлять доступом других пользователей к ресурсам сервиса Cloud Video;
- просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
- выполнять трансляцию видеопотока Cloud Video в прямом эфире.
Включает разрешения, предоставляемые ролью video.editor
.
Yandex Compute Cloud
compute.auditor
Роль compute.auditor
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.
Пользователи с этой ролью могут:
- просматривать список виртуальных машин и информацию о них;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин и информацию о них;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов и информацию о них;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
- просматривать список дисков и информацию о них;
- просматривать список файловых хранилищ и информацию о них;
- просматривать список групп размещения нереплицируемых дисков и информацию о них;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов и информацию о них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков и информацию о них;
- просматривать информацию о расписаниях создания снимков дисков;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности и информацию о них.
compute.viewer
Роль compute.viewer
позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.
Пользователи с этой ролью могут:
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролью compute.auditor
.
compute.editor
Роль compute.editor
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.
Пользователи с этой ролью могут:
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
- просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать кластеры GPU, а также создавать, изменять и удалять их;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
- создавать зашифрованные диски;
- просматривать и обновлять ссылки на диски;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
- создавать, изменять и удалять семейства образов, обновлять образы в них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.viewer
, compute.osLogin
и vpc.user
.
compute.admin
Роль compute.admin
позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.
Пользователи с этой ролью могут:
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (
sudo
); - использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
- просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки виртуальных машин, входящих в группы размещения;
- использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
- создавать зашифрованные диски;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать и обновлять ссылки на диски;
- использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать информацию об облачных сетях и использовать их;
- просматривать информацию о подсетях и использовать их;
- просматривать информацию об адресах облачных ресурсов и использовать их;
- просматривать информацию о таблицах маршрутизации и использовать их;
- просматривать информацию о группах безопасности и использовать их;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию о доступных платформах и использовать их;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями compute.editor
и compute.osAdminLogin
.
compute.osLogin
Роль compute.osLogin
позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.
compute.osAdminLogin
Роль compute.osAdminLogin
позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo
).
compute.disks.user
Роль compute.disks.user
позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.
compute.images.user
Роль compute.images.user
позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.
compute.operator
Роль compute.operator
позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.
Пользователи с этой ролью могут:
- запускать, перезапускать и останавливать виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- запускать и останавливать группы виртуальных машин;
- просматривать список групп виртуальных машин и информацию о них;
- просматривать вывод последовательного порта виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
- просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
- просматривать информацию о доступных платформах;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролью compute.viewer
.
compute.snapshotSchedules.viewer
Роль compute.snapshotSchedules.viewer
позволяет просматривать информацию о создании снимков дисков по расписаниям.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
- просматривать списки дисков;
- просматривать списки снимков дисков;
- просматривать список операций со снимками дисков.
compute.snapshotSchedules.editor
Роль compute.snapshotSchedules.editor
позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.
Пользователи с этой ролью могут:
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
- просматривать списки дисков и использовать диски для создания снимков;
- просматривать списки снимков дисков, создавать и удалять снимки;
- просматривать список операций со снимками дисков и информацию об этих операциях.
Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer
.
Подробнее см. Управление доступом в Compute Cloud.
Yandex Connection Manager
connection-manager.auditor
Роль connection-manager.auditor
позволяет просматривать несекретную информацию о подключениях и назначенных правах доступа к ним. Если роль выдана на облако, то она позволяет просматривать квоты сервиса Connection Manager.
connection-manager.viewer
Роль connection-manager.viewer
позволяет просматривать информацию о подключениях и назначенных правах доступа к ним, а также о квотах сервиса Connection Manager.
Включает разрешения, предоставляемые ролью connection-manager.auditor
.
connection-manager.editor
Роль connection-manager.editor
позволяет управлять подключениями, а также просматривать информацию о них.
Пользователи с этой ролью могут:
- создавать, использовать, изменять и удалять подключения;
- просматривать информацию о подключениях и назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Connection Manager.
Включает разрешения, предоставляемые ролью connection-manager.viewer
.
connection-manager.admin
Роль connection-manager.admin
позволяет управлять подключениями и доступом к ним, а также просматривать информацию о подключениях.
Пользователи с этой ролью могут:
- создавать, использовать, изменять и удалять подключения, а также управлять доступом к ним;
- просматривать информацию о подключениях и назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Connection Manager.
Включает разрешения, предоставляемые ролью connection-manager.editor
.
Подробнее см. Управление доступом в Connection Manager.
Yandex Container Registry
container-registry.viewer
Роль container-registry.viewer
позволяет просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
- просматривать информацию о репозиториях и назначенных правах доступа к ним;
- просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
- просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
- просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
- просматривать историю сканирования Docker-образов на уязвимости и информацию о результатах такого сканирования;
- просматривать информацию о квотах сервиса Container Registry;
- просматривать информацию об облаке и каталоге.
container-registry.editor
Роль container-registry.editor
позволяет управлять реестрами, Docker-образами, репозиториями и их настройками.
Пользователи с этой ролью могут:
- просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
- просматривать информацию о назначенных правах доступа к реестрам, а также о настройках политик доступа для IP-адресов;
- просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
- просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
- запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
- просматривать информацию о репозиториях и назначенных правах доступа к ним, а также создавать и удалять репозитории;
- просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
- запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
- просматривать информацию о квотах сервиса Container Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью container-registry.viewer
.
container-registry.admin
Роль container-registry.admin
позволяет управлять доступом к реестрам и репозиториям, а также управлять реестрами, Docker-образами, репозиториями и их настройками.
Пользователи с этой ролью могут:
- просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
- просматривать информацию о назначенных правах доступа к реестрам и изменять такие права доступа;
- просматривать информацию о настройках политик доступа для IP-адресов и изменять такие настройки;
- просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
- просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
- запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
- просматривать информацию о репозиториях, а также создавать и удалять репозитории;
- просматривать информацию о назначенных правах доступа к репозиториям и изменять такие права доступа;
- просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
- запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
- просматривать информацию о квотах сервиса Container Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью container-registry.editor
.
container-registry.images.pusher
Роль container-registry.images.pusher
позволяет управлять Docker-образами и репозиториями, а также просматривать информацию о Docker-образах, репозиториях и реестрах.
Пользователи с этой ролью могут:
- просматривать список реестров и информацию о них;
- просматривать список Docker-образов в реестре и информацию о них, а также загружать, скачивать, обновлять, и удалять Docker-образы;
- создавать и удалять репозитории.
container-registry.images.puller
Роль container-registry.images.puller
позволяет скачивать Docker-образы из реестра и просматривать список реестров и Docker-образов, а также информацию о них.
container-registry.images.scanner
Роль container-registry.images.scanner
позволяет сканировать Docker-образы на наличие уязвимостей, а также просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
- запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
- просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
- просматривать информацию о репозиториях и назначенных правах доступа к ним;
- просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
- просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
- просматривать информацию о квотах сервиса Container Registry;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью container-registry.viewer
.
Подробнее см. Управление доступом в Container Registry.
Yandex DataLens
datalens.workbooks.limitedViewer
Роль datalens.workbooks.limitedViewer
назначается на воркбук и позволяет просматривать вложенные в него чарты и дашборды, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Ограниченный просмотр
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
datalens.workbooks.viewer
Роль datalens.workbooks.viewer
назначается на воркбук и позволяет просматривать все вложенные в него объекты, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Просмотр
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer
.
datalens.workbooks.editor
Роль datalens.workbooks.editor
назначается на воркбук и позволяет редактировать его и все вложенные в него объекты. В интерфейсе DataLens эта роль называется Редактирование
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- редактировать воркбук и создавать его копии;
- просматривать все вложенные в воркбук объекты и редактировать их;
- просматривать информацию о назначенных правах доступа к воркбуку.
Включает разрешения, предоставляемые ролью datalens.workbooks.viewer
.
datalens.workbooks.admin
Роль datalens.workbooks.admin
назначается на воркбук и позволяет управлять им, доступом к нему и всеми вложенными в него объектами. В интерфейсе DataLens эта роль называется Администрирование
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к воркбуку и изменять такие права доступа;
- редактировать, перемещать воркбук, создавать копии и удалять его;
- просматривать все вложенные в воркбук объекты и редактировать их;
- встраивать вложенные в воркбук непубличные объекты на сайты и в приложения;
- публиковать вложенные в воркбук объекты.
Включает разрешения, предоставляемые ролью datalens.workbooks.editor
.
datalens.collections.limitedViewer
Роль datalens.collections.limitedViewer
назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, в том числе просматривать чарты и дашборды вложенных воркбуков. В интерфейсе DataLens эта роль называется Ограниченный просмотр
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
- просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
- просматривать чарты и дашборды, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.
Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer
.
datalens.collections.viewer
Роль datalens.collections.viewer
назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, а также просматривать все объекты вложенных воркбуков. В интерфейсе DataLens эта роль называется Просмотр
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
- просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
- просматривать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.
Включает разрешения, предоставляемые ролями datalens.collections.limitedViewer
и datalens.workbooks.viewer
.
datalens.collections.editor
Роль datalens.collections.editor
назначается на коллекцию и позволяет редактировать ее и все вложенные в нее коллекции, воркбуки, а также все объекты в таких воркбуках. В интерфейсе DataLens эта роль называется Редактирование
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
- редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки;
- создавать копии текущей коллекции и всех вложенных в нее коллекций и воркбуков;
- создавать новые коллекции и воркбуки внутри текущей и всех вложенных коллекций;
- просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
- просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам.
Включает разрешения, предоставляемые ролями datalens.collections.viewer
и datalens.workbooks.editor
.
datalens.collections.admin
Роль datalens.collections.admin
назначается на коллекцию и позволяет управлять ей, доступом к ней, а также всеми вложенными в нее коллекциями, воркбуками и объектами в таких воркбуках. В интерфейсе DataLens эта роль называется Администрирование
. Рекомендуем выдавать эту роль только через интерфейс DataLens.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к текущей коллекции, к вложенным в нее коллекциям и воркбукам, а также изменять такие права доступа;
- просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
- редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки, а также создавать их копии;
- перемещать и удалять текущую коллекцию и все вложенные в нее коллекции и воркбуки;
- создавать новые коллекции и воркбуки внутри текущей коллекции;
- просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
- встраивать на сайты и в приложения непубличные объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
- публиковать объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.
Включает разрешения, предоставляемые ролями datalens.collections.editor
и datalens.workbooks.admin
.
datalens.visitor
Роль datalens.visitor
предоставляет доступ к сервису DataLens. Просмотр или редактирование воркбуков и коллекций возможны при наличии соответствующих ролей для доступа к этим воркбукам и коллекциям.
datalens.creator
Роль datalens.creator
предоставляет доступ к сервису DataLens с правами на создание воркбуков и коллекций в корне DataLens. Просмотр или редактирование воркбуков и коллекций, созданных другими пользователями, возможны только при наличии прав доступа к этим воркбукам и коллекциям.
Включает разрешения, предоставляемые ролью datalens.visitor
.
datalens.admin
Роль datalens.admin
предоставляет полный доступ к сервису DataLens и всем воркбукам и коллекциям в нем.
Включает разрешения, предоставляемые ролью datalens.creator
.
datalens.instances.user
Роль datalens.instances.user
предоставляет доступ к сервису DataLens в качестве пользователя с правами на создание, чтение и изменение объектов согласно правам доступа к ним, а также позволяет просматривать информацию о каталогах.
После назначения сервисной роли вы можете назначить пользователю права доступа к объектам и папкам в сервисе DataLens.
Совет
Рекомендуем использовать роль datalens.creator
вместо datalens.instances.user
. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.
datalens.instances.admin
Роль datalens.instances.admin
предоставляет доступ к сервису DataLens в качестве администратора экземпляра DataLens. Администратор получает полные права на все объекты и папки в сервисе DataLens, доступ к настройкам DataLens, а также позволяет просматривать информацию о каталогах.
Включает разрешения, предоставляемые ролью datalens.instances.user
.
Совет
Рекомендуем использовать роль datalens.admin
вместо datalens.instances.admin
. При аналогичном наборе разрешений она более безопасна, так как предоставляет доступ только к экземпляру DataLens и не дает прав на просмотр всех каталогов в организации.
Подробнее см. Роли в DataLens.
Yandex Data Processing
dataproc.agent
Роль dataproc.agent
позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Processing, сообщать сервису о состоянии хостов кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Processing.
Сервисные аккаунты с этой ролью могут:
- сообщать сервису Yandex Data Processing о состоянии хостов кластера;
- получать информацию о заданиях и статусах их выполнения;
- получать информацию о лог-группах и добавлять в них записи.
Сейчас эту роль можно назначить только на каталог или облако.
dataproc.auditor
Роль dataproc.auditor
позволяет просматривать информацию о кластерах Yandex Data Processing.
dataproc.viewer
Роль dataproc.viewer
позволяет просматривать информацию о кластерах Yandex Data Processing и заданиях.
dataproc.user
Роль dataproc.user
предоставляет доступ к веб-интерфейсам компонентов Yandex Data Processing и позволяет создавать задания, а также позволяет просматривать информацию о кластерах управляемых баз данных Yandex Cloud.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Yandex Data Processing и заданиях, а также создавать задания;
- использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
- просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Valkey™, OpenSearch и SQL Server;
- просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Valkey™;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
- просматривать информацию о шардах кластеров MongoDB и Valkey™;
- просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Yandex Managed Service for Valkey™ и SQL Server;
- просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями dataproc.viewer
и mdb.viewer
.
dataproc.provisioner
Роль dataproc.provisioner
предоставляет доступ к API для создания, изменения и удаления объектов кластеров Yandex Data Processing.
Пользователи с этой ролью могут:
- просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
- создавать вложенные публичные DNS-зоны;
- просматривать информацию о назначенных правах доступа к DNS-зонам;
- просматривать информацию о доступных платформах и использовать их;
- создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
- просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
- подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
- создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
- привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
- просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта;
- использовать последовательный порт виртуальной машины в режиме чтения и записи;
- имитировать события обслуживания виртуальной машины;
- просматривать метаданные виртуальной машины;
- просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
- просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
- просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
- просматривать списки ВМ, входящих в группы размещения;
- просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
- просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
- изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
- использовать кластеры GPU, а также создавать, изменять и удалять их;
- просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
- просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
- создавать зашифрованные диски;
- просматривать и обновлять ссылки на диски;
- просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
- просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
- просматривать списки дисков, входящих в группы размещения;
- просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
- создавать, изменять и удалять семейства образов, обновлять образы в них;
- просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
- просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
- просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о метриках Monitoring и их метках, а также выгружать метрики;
- просматривать список дашбордов и виджетов Monitoring, а также информацию о них;
- просматривать историю уведомлений Monitoring;
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
- просматривать информацию о квотах сервисов Cloud DNS,
Virtual Private Cloud, и Monitoring; - просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями iam.serviceAccounts.user
, dns.editor
, compute.editor
, monitoring.viewer
и logging.viewer
.
dataproc.editor
Роль dataproc.editor
позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Yandex Data Processing, а также создавать, изменять, запускать останавливать и удалять такие кластеры;
- просматривать информацию о заданиях, а также создавать задания;
- использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
- просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Valkey™, OpenSearch и SQL Server;
- просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Valkey™;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
- просматривать информацию о шардах кластеров MongoDB и Valkey™;
- просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Yandex Managed Service for Valkey™ и SQL Server;
- просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dataproc.user
.
dataproc.admin
Роль dataproc.admin
позволяет управлять кластерами Yandex Data Processing, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Yandex Data Processing, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
- просматривать информацию о заданиях, а также создавать задания;
- использовать веб-интерфейс для доступа к компонентам Yandex Data Processing;
- просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Valkey™, OpenSearch и SQL Server;
- просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
- просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Valkey™;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
- просматривать информацию о шардах кластеров MongoDB и Valkey™;
- просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Valkey™ и SQL Server;
- просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Yandex Managed Service for Valkey™ и SQL Server;
- просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью dataproc.editor
.
mdb.dataproc.agent
Роль mdb.dataproc.agent
позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Processing, сообщать сервису о состоянии хостов кластера.
Сервисные аккаунты с этой ролью могут:
- сообщать сервису Yandex Data Processing о состоянии хостов кластера;
- получать информацию о заданиях и статусах их выполнения;
- получать информацию о лог-группах и добавлять в них записи.
Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Processing.
Эта роль недоступна. Используйте роль dataproc.agent
.
managed-metastore.auditor
Роль managed-metastore.auditor
позволяет просматривать информацию о кластерах Hive Metastore и квотах сервисов управляемых баз данных Yandex Cloud.
managed-metastore.viewer
Роль managed-metastore.viewer
позволяет просматривать информацию о кластерах Hive Metastore и логи их работы, а также информацию о квотах сервисов управляемых баз данных Yandex Cloud.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Hive Metastore;
- просматривать логи кластеров Hive Metastore;
- просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью managed-metastore.auditor
.
managed-metastore.editor
Роль managed-metastore.editor
позволяет управлять кластерами Hive Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Hive Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
- экспортировать и импортировать кластеры Hive Metastore;
- просматривать логи кластеров Hive Metastore;
- просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью managed-metastore.viewer
.
Для создания кластеров дополнительно необходима роль vpc.user
.
managed-metastore.admin
Роль managed-metastore.admin
позволяет управлять кластерами Hive Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Hive Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
- экспортировать и импортировать кластеры Hive Metastore;
- просматривать логи кластеров Hive Metastore;
- просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью managed-metastore.editor
.
Для создания кластеров дополнительно необходима роль vpc.user
.
managed-metastore.integrationProvider
Роль managed-metastore.integrationProvider
позволяет кластеру Hive Metastore взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Hive Metastore.
Пользователи с этой ролью могут:
- добавлять записи в лог-группы;
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
- просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
- просматривать историю уведомлений Monitoring;
- просматривать информацию о квотах сервиса Monitoring;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями logging.writer
и monitoring.editor
.
Подробнее см. Управление доступом в Yandex Data Processing.
Yandex DataSphere
datasphere.community-projects.viewer
Роль datasphere.community-projects.viewer
позволяет просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer
имеют роль Viewer
на вкладке Участники на странице проекта.
datasphere.community-projects.developer
Роль datasphere.community-projects.developer
позволяет работать в проектах и управлять ресурсами, которые закреплены за проектами.
Пользователи с этой ролью могут:
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
- создавать, изменять и удалять ресурсы в проектах;
- запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию о назначенных правах доступа к проектам.
Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer
имеют роль Developer
на вкладке Участники на странице проекта.
datasphere.community-projects.editor
Роль datasphere.community-projects.editor
позволяет работать в проектах, изменять и удалять их, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.
Пользователи с этой ролью могут:
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
- создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет права
Developer
(рольdatasphere.communities.developer
и выше); - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию о назначенных правах доступа к проектам.
Включает разрешения, предоставляемые ролью datasphere.community-projects.developer
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor
имеют роль Editor
на вкладке Участники на странице проекта.
datasphere.community-projects.admin
Роль datasphere.community-projects.admin
позволяет управлять доступом к проектам, работать в них, изменять и удалять проекты, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
- создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет роль
Developer
(datasphere.communities.developer
) и выше; - запускать IDE и исполнение ячеек с кодом в проектах.
Включает разрешения, предоставляемые ролью datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin
имеют роль Admin
на вкладке Участники на странице проекта.
datasphere.communities.viewer
Роль datasphere.communities.viewer
позволяет просматривать информацию о сообществах и проектах, а также о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним;
- просматривать информацию о проектах сообществ, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer
имеют роль Viewer
на вкладке Участники на странице сообщества.
datasphere.communities.developer
Роль datasphere.communities.developer
позволяет создавать новые проекты и публиковать ресурсы проектов в сообществах, а также просматривать информацию о сообществах и проектах.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним;
- создавать новые проекты в сообществах;
- публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer
(рольdatasphere.communities.developer
) и выше; - просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролью datasphere.communities.viewer
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer
имеют роль Developer
на вкладке Участники на странице сообщества.
datasphere.communities.editor
Роль datasphere.communities.editor
позволяет привязывать платежный аккаунт к сообществам, удалять сообщества и редактировать их настройки, а также управлять проектами и ресурсами сообществ.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах и назначенных правах доступа к ним, а также изменять и удалять сообщества;
- привязывать платежный аккаунт к сообществам;
- создавать новые проекты в сообществах, а также изменять и удалять проекты;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
- создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer
(рольdatasphere.communities.developer
) и выше; - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролями datasphere.communities.developer
и datasphere.community-projects.editor
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor
имеют роль Editor
на вкладке Участники на странице сообщества.
datasphere.communities.admin
Роль datasphere.communities.admin
позволяет управлять сообществами и проектами сообществ, а также доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах, а также изменять и удалять сообщества;
- просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
- привязывать платежный аккаунт к сообществам;
- создавать новые проекты в сообществах, а также изменять и удалять проекты;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
- просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
- создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer
(рольdatasphere.communities.developer
и выше); - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать информацию об организации.
Включает разрешения, предоставляемые ролями datasphere.communities.editor
и datasphere.community-projects.admin
.
В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin
имеют роль Admin
на вкладке Участники на странице сообщества.
datasphere.user
Роль datasphere.user
позволяет запускать в проектах исполнение ячеек с кодом, просматривать информацию о проектах и квотах сервиса DataSphere, а также об облаке и каталоге.
Роль datasphere.user
устарела и больше не используется.
data-sphere.user
Роль data-sphere.user
устарела и больше не используется.
datasphere.admin
Роль datasphere.admin
позволяет управлять сообществами, проектами сообществ и доступом к ним, а также использовать облачные сети и ресурсы сервиса Virtual Private Cloud.
Пользователи с этой ролью могут:
- просматривать информацию о сообществах, а также изменять и удалять сообщества;
- просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
- привязывать платежный аккаунт к сообществам;
- создавать новые проекты в сообществах, а также изменять и удалять проекты;
- просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
- просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
- создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права
Developer
(рольdatasphere.communities.developer
и выше); - запускать IDE и исполнение ячеек с кодом в проектах;
- просматривать список сервисных аккаунтов и использовать их;
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать информацию о квотах сервисов DataSphere и Virtual Private Cloud;
- просматривать информацию об организации, облаке и каталоге.
Роль datasphere.admin
устарела и больше не используется.
data-sphere.admin
Роль data-sphere.admin
устарела и больше не используется.
Подробнее см. Управление доступом в DataSphere.
Yandex Data Streams
yds.auditor
Роль yds.auditor
позволяет просматривать метаданные потоков данных Data Streams, устанавливать соединения c базами данных YDB, просматривать информацию о БД YDB и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД YDB.
Пользователи с этой ролью могут:
- просматривать метаданные потоков данных Data Streams;
- устанавливать соединения c базами данных YDB;
- просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных YDB;
- просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к таким резервным копиям;
- просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.auditor
.
yds.viewer
Роль yds.viewer
позволяет читать данные из потоков данных Data Streams и просматривать их настройки, а также устанавливать соединения c БД YDB, выполнять запросы на чтение данных, просматривать информацию о БД YDB и назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать метаданные потоков данных Data Streams и читать данные из таких потоков;
- устанавливать соединения c базами данных YDB и выполнять запросы на чтение данных;
- просматривать список баз данных YDB и информацию о них, а также о назначенных правах доступа к базам данных YDB;
- просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям;
- просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.viewer
.
yds.writer
Роль yds.writer
позволяет записывать данные в потоки Data Streams, а также устанавливать соединения c базами данных YDB.
yds.editor
Роль yds.editor
позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.
Пользователи с этой ролью могут:
- просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
- выполнять чтение и запись данных в потоках Data Streams;
- просматривать список баз данных YDB и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
- устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
- просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями ydb.editor
и yds.writer
.
yds.admin
Роль yds.admin
позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.
Пользователи с этой ролью могут:
- просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
- выполнять чтение и запись данных в потоках Data Streams;
- просматривать список баз данных YDB и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
- просматривать информацию о назначенных правах доступа к базам данных YDB и изменять такие права доступа;
- устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных YDB, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
- просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
- просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.admin
.
Подробнее см. Управление доступом в Data Streams.
Yandex Data Transfer
data-transfer.auditor
Роль data-transfer.auditor
позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.viewer
Роль data-transfer.viewer
позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.auditor
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.privateAdmin
Роль data-transfer.privateAdmin
позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.viewer
.
Сейчас эту роль можно назначить только на каталог или облако.
data-transfer.admin
Роль data-transfer.admin
позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.
Пользователи с этой ролью могут:
- просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
- просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Data Transfer.
Включает разрешения, предоставляемые ролью data-transfer.privateAdmin
.
Сейчас эту роль можно назначить только на каталог или облако.
Подробнее см. Управление доступом в Data Transfer.
Yandex Identity and Access Management
iam.serviceAccounts.user
Роль iam.serviceAccounts.user
позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.
Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.
iam.serviceAccounts.admin
Роль iam.serviceAccounts.admin
позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять сервисные аккаунты;
- просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
- получать IAM-токен для сервисного аккаунта;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о каталоге и его настройки.
iam.serviceAccounts.accessKeyAdmin
Роль iam.serviceAccounts.accessKeyAdmin
позволяет управлять статическими ключами доступа сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- создавать, изменять и удалять статические ключи доступа сервисных аккаунтов.
iam.serviceAccounts.apiKeyAdmin
Роль iam.serviceAccounts.apiKeyAdmin
позволяет управлять API-ключами сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- создавать, изменять и удалять API-ключи сервисных аккаунтов.
iam.serviceAccounts.authorizedKeyAdmin
Роль iam.serviceAccounts.authorizedKeyAdmin
позволяет просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.
iam.serviceAccounts.keyAdmin
Роль iam.serviceAccounts.keyAdmin
позволяет управлять статическими ключами доступа, API-ключами и авторизованными ключами сервисных аккаунтов.
Пользователи с этой ролью могут:
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять статические ключи доступа;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять API-ключи;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.
Включает разрешения, предоставляемые ролями iam.serviceAccounts.accessKeyAdmin
, iam.serviceAccounts.apiKeyAdmin
и iam.serviceAccounts.authorizedKeyAdmin
.
iam.serviceAccounts.tokenCreator
Роль iam.serviceAccounts.tokenCreator
позволяет пользователю получать IAM-токен для сервисного аккаунта.
C помощью такого IAM-токена пользователь сможет имперсонироваться в сервисный аккаунт и выполнять действия, разрешенные для этого сервисного аккаунта.
Роль не позволяет пользователю изменять права доступа или удалять сервисный аккаунт.
iam.serviceAccounts.federatedCredentialViewer
Роль iam.serviceAccounts.federatedCredentialViewer
позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках.
iam.serviceAccounts.federatedCredentialEditor
Роль iam.serviceAccounts.federatedCredentialEditor
позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках, а также создавать и удалять привязки.
Включает разрешения, предоставляемые ролью iam.serviceAccounts.federatedCredentialViewer
.
iam.workloadIdentityFederations.auditor
Роль iam.workloadIdentityFederations.auditor
позволяет просматривать метаданные федераций сервисных аккаунтов.
iam.workloadIdentityFederations.viewer
Роль iam.workloadIdentityFederations.viewer
позволяет просматривать информацию о федерациях сервисных аккаунтов.
Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.auditor
.
iam.workloadIdentityFederations.user
Роль iam.workloadIdentityFederations.user
позволяет использовать федерации сервисных аккаунтов.
iam.workloadIdentityFederations.editor
Роль iam.workloadIdentityFederations.editor
позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять и удалять такие федерации.
Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.viewer
.
iam.workloadIdentityFederations.admin
Роль iam.workloadIdentityFederations.admin
позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять, использовать и удалять такие федерации.
Включает разрешения, предоставляемые ролями iam.workloadIdentityFederations.editor
и iam.workloadIdentityFederations.user
.
iam.auditor
Роль iam.auditor
позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них;
- просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- просматривать информацию об авторизованных ключах сервисных аккаунтов;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталоге и его настройки.
iam.viewer
Роль iam.viewer
позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них;
- просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
- просматривать информацию об авторизованных ключах сервисных аккаунтов;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталоге и его настройки.
Включает разрешения, предоставляемые ролью iam.auditor
.
iam.editor
Роль iam.editor
позволяет управлять сервисными аккаунтами и их ключами, управлять каталогами, а также просматривать информацию об операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталогах и их настройки;
- создавать, изменять, удалять и настраивать каталоги.
Включает разрешения, предоставляемые ролью iam.viewer
.
iam.admin
Роль iam.admin
позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, управлять каталогами, просматривать информацию о квотах и операциях с ресурсами сервиса, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.
Пользователи с этой ролью могут:
- просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
- просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
- получать IAM-токен для сервисного аккаунта;
- просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
- просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
- просматривать информацию о федерациях удостоверений;
- просматривать список операций и информацию об операциях с ресурсами сервиса;
- просматривать информацию о квотах сервиса Identity and Access Management;
- просматривать информацию об облаке и его настройки;
- просматривать информацию о каталогах и их настройки;
- создавать, изменять, удалять и настраивать каталоги.
Включает разрешения, предоставляемые ролями iam.editor
и iam.serviceAccounts.admin
.
Подробнее см. Управление доступом в сервисе Identity and Access Management.
Yandex IoT Core
iot.devices.writer
Роль iot.devices.writer
позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.
iot.registries.writer
Роль iot.registries.writer
позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.
iot.auditor
Роль iot.auditor
позволяет просматривать метаинформацию об устройствах и реестрах устройств, а также брокерах и квотах в Yandex IoT Core.
iot.viewer
Роль iot.viewer
позволяет просматривать все ресурсы Yandex IoT Core.
iot.editor
Роль iot.editor
позволяет создавать, редактировать и удалять все ресурсы Yandex IoT Core.
Подробнее см. Управление доступом в Yandex IoT Core.
Yandex Foundation Models
ai.languageModels.user
Роль ai.languageModels.user
позволяет использовать языковые модели генерации YandexGPT API в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.
ai.imageGeneration.user
Роль ai.imageGeneration.user
позволяет использовать модели генерации изображений YandexART в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Yandex Foundation Models.
Yandex Key Management Service
kms.keys.user
Роль kms.keys.user
позволяет использовать симметричные ключи шифрования.
kms.keys.encrypter
Роль kms.keys.encrypter
позволяет просматривать информацию о симметричных ключах шифрования и шифровать данные с помощью таких ключей.
kms.keys.decrypter
Роль kms.keys.decrypter
позволяет просматривать информацию о симметричных ключах шифрования и расшифровывать данные с помощью таких ключей.
kms.keys.encrypterDecrypter
Роль kms.keys.encrypterDecrypter
позволяет просматривать информацию о симметричных ключах шифрования, а также шифровать и расшифровывать данные с помощью таких ключей.
Включает разрешения, предоставляемые ролями kms.keys.encrypter
и kms.keys.decrypter
.
kms.asymmetricEncryptionKeys.publicKeyViewer
Роль kms.asymmetricEncryptionKeys.publicKeyViewer
позволяет просматривать информацию об асимметричных ключевых парах шифрования, а также получать открытый ключ ключевой пары шифрования.
kms.asymmetricSignatureKeys.publicKeyViewer
Роль kms.asymmetricSignatureKeys.publicKeyViewer
позволяет просматривать информацию о ключевых парах электронной подписи, а также получать открытый ключ ключевой пары электронной подписи.
kms.asymmetricSignatureKeys.signer
Роль kms.asymmetricSignatureKeys.signer
позволяет подписывать данные с помощью закрытого ключа ключевой пары электронной подписи.
kms.asymmetricEncryptionKeys.decrypter
Роль kms.asymmetricEncryptionKeys.decrypter
позволяет расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования.
kms.auditor
Роль kms.auditor
позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, а также о назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним;
- просматривать информацию о ключевых парах электронной подписи и о назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Key Management Service.
kms.viewer
Роль kms.viewer
позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, о назначенных правах доступа к ним, а также о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним;
- просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним;
- просматривать информацию о ключевых парах электронной подписи и о назначенных правах доступа к ним;
- просматривать информацию о квотах сервиса Key Management Service.
Включает разрешения, предоставляемые ролью kms.auditor
.
kms.editor
Роль kms.editor
позволяет создавать ключи и ключевые пары шифрования и электронной подписи, а также использовать их для шифрования, расшифрования и подписи данных.
Пользователи с этой ролью могут:
- просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним, а также создавать, ротировать и изменять метаданные симметричных ключей (в т.ч. период их ротации);
- шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
- просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним, а также создавать ассиметричные ключевые пары шифрования и изменять их метаданные;
- получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
- просматривать информацию о ключевых парах электронной подписи и назначенных правах доступа к ним, а также создавать ключевые пары электронной подписи и изменять их метаданные;
- получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
- просматривать информацию о квотах сервиса Key Management Service.
kms.admin
Роль kms.admin
позволяет управлять ключами и ключевыми парами шифрования и электронной подписи и доступом к ним, а также использовать их для шифрования, расшифрования и подписи данных.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к симметричным ключам шифрования, а также изменять такие права доступа;
- просматривать список симметричных ключей шифрования и информацию о них, а также создавать, активировать, деактивировать, ротировать, удалять симметричные ключи шифрования, изменять их основную версию и метаданные (в т.ч. период ротации);
- шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
- просматривать информацию о назначенных правах доступа к асимметричным ключевым парам шифрования, а также изменять такие права доступа;
- просматривать информацию об асимметричных ключевых парах шифрования, а также создавать, активировать, деактивировать, удалять ассиметричные ключевые пары шифрования и изменять их метаданные;
- получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
- просматривать информацию о назначенных правах доступа к ключевым парам электронной подписи, а также изменять такие права доступа;
- просматривать информацию о ключевых парах электронной подписи, а также создавать, активировать, деактивировать, удалять ключевые пары электронной подписи и изменять их метаданные;
- получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
- просматривать информацию о квотах сервиса Key Management Service;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью kms.editor
.
Подробнее см. Управление доступом в Key Management Service.
Yandex Load Testing
loadtesting.viewer
Роль loadtesting.viewer
позволяет просматривать информацию о генераторах нагрузки и нагрузочных тестах, а также метаданные каталога.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- просматривать информацию о конфигурации нагрузочных тестов;
- просматривать информацию о дашбордах регрессий нагрузочных тестов;
- просматривать информацию об агентах;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах;
- просматривать информацию о каталоге.
loadtesting.editor
Роль loadtesting.editor
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями loadtesting.viewer
, loadtesting.loadTester
и loadtesting.externalAgent
.
loadtesting.admin
Роль loadtesting.admin
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью loadtesting.editor
.
loadtesting.loadTester
Роль loadtesting.loadTester
позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий.
Пользователи с этой ролью могут:
- просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
- создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
- просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
- просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
- просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
- просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
- просматривать информацию о каталоге.
loadtesting.generatorClient
Роль loadtesting.generatorClient
позволяет создавать, изменять и выполнять нагрузочные тесты на агенте, а также дает возможность загружать результаты тестов в хранилище.
Пользователи с этой ролью могут:
- создавать, изменять и запускать нагрузочные тесты;
- создавать и изменять конфигурацию нагрузочных тестов;
- загружать данные результатов тестов в хранилище.
Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.
loadtesting.externalAgent
Роль loadtesting.externalAgent
позволяет регистрировать в сервисе агентов, созданных вне Load Testing, а также создавать, изменять и выполнять нагрузочные тесты на агенте.
Пользователи с этой ролью могут:
- регистрировать в Load Testing агентов, созданных за пределами сервиса;
- создавать, изменять и запускать нагрузочные тесты;
- создавать и изменять конфигурацию нагрузочных тестов;
- загружать данные результатов тестов в хранилище.
Включает разрешения, предоставляемые ролью loadtesting.generatorClient
.
Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.
Подробнее см. Управление доступом в Load Testing.
Yandex Lockbox
lockbox.auditor
Роль lockbox.auditor
позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о квотах сервиса Yandex Lockbox и метаинформацию каталога.
lockbox.viewer
Роль lockbox.viewer
позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о каталоге и квотах сервиса Yandex Lockbox.
Включает разрешения, предоставляемые ролью lockbox.auditor
.
lockbox.editor
Роль lockbox.editor
позволяет управлять секретами и их версиями, а также просматривать информацию о назначенных правах доступа к секретам.
Пользователи с этой ролью могут:
- просматривать информацию о секретах и назначенных правах доступа к ним, а также создавать, активировать, деактивировать и удалять секреты;
- изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Yandex Lockbox.
Включает разрешения, предоставляемые ролью lockbox.viewer
.
lockbox.admin
Роль lockbox.admin
позволяет управлять секретами, их версиями и доступом к ним, а также просматривать содержимое секретов.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к секретам, а также изменять такие права доступа;
- просматривать информацию о секретах, в том числе содержимое секретов;
- создавать, активировать, деактивировать и удалять секреты;
- изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
- просматривать информацию о каталоге;
- просматривать информацию о квотах сервиса Yandex Lockbox.
Включает разрешения, предоставляемые ролями lockbox.editor
и lockbox.payloadViewer
.
lockbox.payloadViewer
Роль lockbox.payloadViewer
позволяет просматривать содержимое секретов.
Подробнее см. Управление доступом в Yandex Lockbox.
Управляемые базы данных
mdb.auditor
Роль mdb.auditor
предоставляет минимально необходимые разрешения для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).
Пользователи с этой ролью могут просматривать информацию о кластерах управляемых баз данных, квотах и каталогах.
Включает разрешения, предоставляемые ролями managed-opensearch.auditor
, managed-kafka.auditor
, managed-mysql.auditor
, managed-sqlserver.auditor
, managed-postgresql.auditor
, managed-greenplum.auditor
, managed-clickhouse.auditor
, managed-redis.auditor
и managed-mongodb.auditor
.
mdb.viewer
Роль mdb.viewer
предоставляет доступ к чтению информации из кластеров управляемых баз данных и к логам работы кластеров.
Пользователи с этой ролью могут читать информацию из баз данных и просматривать логи кластеров управляемых баз данных, а также просматривать информацию о кластерах, квотах и каталогах.
Включает разрешения, предоставляемые ролями mdb.auditor
, managed-opensearch.viewer
, managed-kafka.viewer
, managed-mysql.viewer
, managed-sqlserver.viewer
, managed-postgresql.viewer
, managed-greenplum.viewer
, managed-clickhouse.viewer
, managed-redis.viewer
, managed-mongodb.viewer
и dataproc.viewer
.
mdb.admin
Роль mdb.admin
предоставляет полный доступ к кластерам управляемых баз данных.
Пользователи с этой ролью могут могут создавать, изменять, удалять, запускать и останавливать кластеры управляемых баз данных, управлять доступом к кластерам, читать и сохранять информацию в базах данных, а также просматривать информацию о кластерах, логах их работы, квотах и каталогах.
Включает разрешения, предоставляемые ролями mdb.viewer
, vpc.user
, managed-opensearch.admin
, managed-kafka.admin
, managed-mysql.admin
, managed-sqlserver.admin
, managed-postgresql.admin
, managed-greenplum.admin
, managed-clickhouse.admin
, managed-redis.admin
, managed-mongodb.admin
и dataproc.admin
.
Yandex Managed Service for Apache Airflow™
managed-airflow.auditor
Роль managed-airflow.auditor
позволяет просматривать информацию о кластерах Apache Airflow™.
managed-airflow.viewer
Роль managed-airflow.viewer
позволяет просматривать информацию о кластерах Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.auditor
.
managed-airflow.user
Роль managed-airflow.user
позволяет выполнять базовые операции с кластерами Apache Airflow™.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Apache Airflow™;
- использовать веб-интерфейс Apache Airflow™;
- отправлять запросы к API Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.viewer
.
managed-airflow.editor
Роль managed-airflow.editor
позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
- использовать веб-интерфейс Apache Airflow™;
- отправлять запросы к API Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.user
.
Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user
.
managed-airflow.admin
Роль managed-airflow.admin
позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Apache Airflow™;
- просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
- использовать веб-интерфейс Apache Airflow™;
- отправлять запросы к API Apache Airflow™.
Включает разрешения, предоставляемые ролью managed-airflow.editor
.
Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user
.
managed-airflow.integrationProvider
Роль managed-airflow.integrationProvider
позволяет кластеру Apache Airflow™ взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Airflow™.
Сервисные аккаунты с этой ролью могут:
- добавлять записи в лог-группы;
- просматривать информацию о лог-группах;
- просматривать информацию о приемниках логов;
- просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
- просматривать информацию о выгрузках логов;
- просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
- просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
- просматривать историю уведомлений Monitoring;
- просматривать список бакетов и информацию о них, в том числе о регионе размещения, версионировании, шифровании, конфигурации CORS, конфигурации хостинга статических сайтов, конфигурации HTTPS, настройках логирования, назначенных правах доступа, публичном доступе и классе хранилища по умолчанию;
- просматривать списки объектов в бакетах и информацию об объектах, в том числе о конфигурации жизненных циклов объектов, назначенных правах доступа к объектам, текущих составных загрузках, версиях объектов c их метаданными, временных и бессрочных блокировках версий объектов;
- просматривать метки бакетов, объектов и версий объектов, а также статистику сервиса Object Storage;
- просматривать информацию о секретах Yandex Lockbox и назначенных правах доступа к ним;
- просматривать информацию о квотах сервисов Object Storage, Monitoring и Yandex Lockbox;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролями logging.writer
, monitoring.editor
, storage.viewer
и lockbox.viewer
.
Роль не разрешает доступ к содержимому секретов Yandex Lockbox. Для того чтобы кластер Apache Airflow™ имел доступ к содержимому секретов в Yandex Lockbox, выдайте сервисному аккаунту дополнительную роль lockbox.payloadViewer
на каталог или на определенные секреты.
Подробнее см. Управление доступом в Managed Service for Apache Airflow™.
Yandex Managed Service for Apache Kafka®
managed-kafka.auditor
Роль managed-kafka.auditor
позволяет просматривать информацию о кластерах Apache Kafka®, а также о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.
managed-kafka.viewer
Роль managed-kafka.viewer
позволяет просматривать информацию о кластерах Apache Kafka® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.auditor
.
managed-kafka.editor
Роль managed-kafka.editor
позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров Apache Kafka®;
- просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.viewer
.
Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user
.
managed-kafka.admin
Роль managed-kafka.admin
позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Apache Kafka®;
- просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров Apache Kafka®;
- просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.
Включает разрешения, предоставляемые ролью managed-kafka.editor
.
Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Apache Kafka®.
Yandex Managed Service for ClickHouse®
managed-clickhouse.auditor
Роль managed-clickhouse.auditor
позволяет просматривать информацию о кластерах ClickHouse®, а также о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.
managed-clickhouse.viewer
Роль managed-clickhouse.viewer
позволяет просматривать информацию о кластерах ClickHouse® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.auditor
.
managed-clickhouse.editor
Роль managed-clickhouse.editor
позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров ClickHouse®;
- просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.viewer
.
Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user
.
managed-clickhouse.admin
Роль managed-clickhouse.admin
позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам ClickHouse®;
- просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров ClickHouse®;
- просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.
Включает разрешения, предоставляемые ролью managed-clickhouse.editor
.
Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for ClickHouse®.
Yandex Managed Service for GitLab
gitlab.auditor
Роль gitlab.auditor
позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.
gitlab.viewer
Роль gitlab.viewer
позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.
Включает разрешения, предоставляемые ролью gitlab.auditor
.
gitlab.editor
Роль gitlab.editor
позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.
Пользователи с этой ролью могут:
- просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
- переносить инстансы в другую зону доступности;
- просматривать информацию о квотах сервиса Managed Service for GitLab.
Включает разрешения, предоставляемые ролью gitlab.viewer
.
Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user
.
gitlab.admin
Роль gitlab.admin
позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.
Пользователи с этой ролью могут:
- просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
- переносить инстансы в другую зону доступности;
- просматривать информацию о квотах сервиса Managed Service for GitLab.
Включает разрешения, предоставляемые ролью gitlab.editor
.
Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for GitLab.
Yandex Managed Service for Greenplum®
managed-greenplum.auditor
Роль managed-greenplum.auditor
позволяет просматривать информацию о кластерах и хостах Greenplum®, а также о квотах и операциях с ресурсами сервиса Managed Service for Greenplum®.
managed-greenplum.viewer
Роль managed-greenplum.viewer
позволяет просматривать информацию о кластерах и хостах Greenplum®, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Greenplum®;
- просматривать информацию о хостах кластеров Greenplum®;
- просматривать информацию о резервных копиях Greenplum®;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.auditor
.
managed-greenplum.editor
Роль managed-greenplum.editor
позволяет управлять кластерами Greenplum® и просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.viewer
.
Для создания кластеров Greenplum® дополнительно необходима роль vpc.user
.
managed-greenplum.admin
Роль managed-greenplum.admin
позволяет управлять кластерами Greenplum® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Greenplum®;
- просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
- просматривать логи работы кластеров Greenplum®;
- просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
- просматривать информацию о квотах сервиса Managed Service for Greenplum®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.
Включает разрешения, предоставляемые ролью managed-greenplum.editor
.
Для создания кластеров Greenplum® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for Greenplum®.
Yandex Managed Service for Kubernetes
k8s.viewer
Роль k8s.viewer
позволяет просматривать информацию о кластерах и группах узлов Kubernetes.
k8s.editor
Роль k8s.editor
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
Включает в себя роль k8s.viewer
.
k8s.admin
Роль k8s.admin
дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.
Включает в себя роль k8s.editor
.
k8s.cluster-api.viewer
Пользователь с ролью k8s.cluster-api.viewer
получает группу yc:view
и роль view
в Kubernetes RBAC для всех пространств имен в кластере.
k8s.cluster-api.editor
Пользователь с ролью k8s.cluster-api.editor
получает группу yc:edit
и роль edit
в Kubernetes RBAC для всех пространств имен в кластере.
k8s.cluster-api.cluster-admin
Пользователь с ролью k8s.cluster-api.cluster-admin
получает группу yc:cluster-admin
и роль cluster-admin
в Kubernetes RBAC.
k8s.tunnelClusters.agent
k8s.tunnelClusters.agent
— специальная роль для создания кластера Kubernetes с туннельным режимом. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов. Включает роли:
compute.admin
iam.serviceAccounts.user
k8s.viewer
kms.keys.encrypterDecrypter
load-balancer.privateAdmin
k8s.clusters.agent
k8s.clusters.agent
— специальная роль для сервисного аккаунта кластера Kubernetes. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов, а также подключать заранее созданные группы безопасности. В комбинации с ролью load-balancer.admin
позволяет создать сетевой балансировщик нагрузки с публичным IP-адресом. Включает роли:
k8s.tunnelClusters.agent
vpc.privateAdmin
Подробнее см. Управление доступом в Managed Service for Kubernetes.
Yandex Managed Service for MongoDB
managed-mongodb.auditor
Роль managed-mongodb.auditor
позволяет просматривать информацию о хостах и кластерах MongoDB, а также о квотах и операциях с ресурсами сервиса Managed Service for MongoDB.
managed-mongodb.viewer
Роль managed-mongodb.viewer
позволяет просматривать информацию о кластерах, хостах, шардах, базах данных и пользователях MongoDB, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MongoDB;
- просматривать информацию о хостах кластеров MongoDB;
- просматривать информацию о шардах кластеров MongoDB;
- просматривать информацию о базах данных MongoDB;
- просматривать информацию о пользователях MongoDB;
- просматривать информацию о резервных копиях MongoDB;
- просматривать информацию об алертах MongoDB;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.auditor
.
managed-mongodb.editor
Роль managed-mongodb.editor
позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
- создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
- создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
- создавать и удалять базы данных MongoDB и просматривать информацию о них;
- создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
- создавать резервные копии MongoDB и просматривать информацию о них;
- создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.viewer
.
Для создания кластеров MongoDB дополнительно необходима роль vpc.user
.
managed-mongodb.admin
Роль managed-mongodb.admin
позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам MongoDB;
- создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
- создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
- создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
- создавать и удалять базы данных MongoDB и просматривать информацию о них;
- создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
- создавать резервные копии MongoDB и просматривать информацию о них;
- создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
- просматривать логи работы кластеров MongoDB;
- просматривать информацию о результатах диагностики производительности кластеров MongoDB;
- просматривать информацию о квотах сервиса Managed Service for MongoDB;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.
Включает разрешения, предоставляемые ролью managed-mongodb.editor
.
Для создания кластеров MongoDB дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for MongoDB.
Yandex Managed Service for MySQL®
managed-mysql.auditor
Роль managed-mysql.auditor
позволяет просматривать информацию о хостах и кластерах MySQL®, а также о квотах и операциях с ресурсами сервиса Managed Service for MySQL®.
managed-mysql.viewer
Роль managed-mysql.viewer
позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях MySQL®, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MySQL®;
- просматривать информацию о хостах кластеров MySQL®;
- просматривать информацию о базах данных MySQL®;
- просматривать информацию о пользователях MySQL®;
- просматривать информацию о резервных копиях БД MySQL®;
- просматривать информацию об алертах MySQL®;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.auditor
.
managed-mysql.editor
Роль managed-mysql.editor
позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
- просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.viewer
.
Для создания кластеров MySQL® дополнительно необходима роль vpc.user
.
managed-mysql.admin
Роль managed-mysql.admin
позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам MySQL®;
- просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
- просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров MySQL®;
- просматривать информацию о результатах диагностики производительности кластеров MySQL®;
- просматривать информацию о квотах сервиса Managed Service for MySQL®;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.
Включает разрешения, предоставляемые ролью managed-mysql.editor
.
Для создания кластеров MySQL® дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for MySQL®.
Yandex Managed Service for OpenSearch
managed-opensearch.auditor
Роль managed-opensearch.auditor
позволяет просматривать информацию о кластерах OpenSearch, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.
managed-opensearch.viewer
Роль managed-opensearch.viewer
позволяет просматривать информацию о кластерах OpenSearch и логи их работы, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.auditor
.
managed-opensearch.editor
Роль managed-opensearch.editor
позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров OpenSearch;
- просматривать информацию о квотах сервиса Managed Service for OpenSearch;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.viewer
.
Для создания кластеров OpenSearch дополнительно необходима роль vpc.user
.
managed-opensearch.admin
Роль managed-opensearch.admin
позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам OpenSearch;
- просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать логи работы кластеров OpenSearch;
- просматривать информацию о квотах сервиса Managed Service for OpenSearch;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.
Включает разрешения, предоставляемые ролью managed-opensearch.editor
.
Для создания кластеров OpenSearch дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом к Managed Service for OpenSearch.
Yandex Managed Service for PostgreSQL
managed-postgresql.auditor
Роль managed-postgresql.auditor
позволяет просматривать информацию о хостах и кластерах PostgreSQL, а также о квотах и операциях с ресурсами сервиса Managed Service for PostgreSQL.
managed-postgresql.viewer
Роль managed-postgresql.viewer
позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах PostgreSQL;
- просматривать информацию о хостах кластеров PostgreSQL;
- просматривать информацию о базах данных PostgreSQL;
- просматривать информацию о пользователях PostgreSQL;
- просматривать информацию о резервных копиях БД PostgreSQL;
- просматривать информацию об алертах PostgreSQL;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.auditor
.
managed-postgresql.editor
Роль managed-postgresql.editor
позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
- просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.viewer
.
Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user
.
managed-postgresql.admin
Роль managed-postgresql.admin
позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам PostgreSQL;
- просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
- просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров PostgreSQL;
- просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
- просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.
Включает разрешения, предоставляемые ролью managed-postgresql.editor
.
Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Managed Service for PostgreSQL.
Yandex Managed Service for Valkey™
managed-redis.auditor
Роль managed-redis.auditor
позволяет просматривать информацию о хостах и кластерах Valkey™, а также о квотах и операциях с ресурсами сервиса Yandex Managed Service for Valkey™.
managed-redis.viewer
Роль managed-redis.viewer
позволяет просматривать информацию о хостах и кластерах Valkey™, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Valkey™;
- просматривать информацию о хостах кластеров Valkey™;
- просматривать информацию о шардах кластеров Valkey™;
- просматривать информацию о резервных копиях БД Valkey™;
- просматривать информацию об алертах Valkey™;
- просматривать логи работы кластеров Valkey™;
- просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
- просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.
Включает разрешения, предоставляемые ролью managed-redis.auditor
.
managed-redis.editor
Роль managed-redis.editor
позволяет управлять кластерами Valkey™ и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах Valkey™, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Valkey™, а также создавать, изменять и удалять их;
- просматривать информацию о шардах кластеров Valkey™, а также создавать и удалять их;
- просматривать информацию о резервных копиях БД Valkey™ и создавать резервные копии;
- просматривать информацию об алертах Valkey™, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров Valkey™;
- просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
- просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.
Включает разрешения, предоставляемые ролью managed-redis.viewer
.
Для создания кластеров Valkey™ дополнительно необходима роль vpc.user
.
managed-redis.admin
Роль managed-redis.admin
позволяет управлять кластерами Valkey™ и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять доступом к кластерам Valkey™;
- просматривать информацию о кластерах Valkey™, а также создавать, изменять, удалять, запускать и останавливать их;
- просматривать информацию о хостах кластеров Valkey™, а также создавать, изменять и удалять их;
- просматривать информацию о шардах кластеров Valkey™, а также создавать и удалять их;
- просматривать информацию о резервных копиях БД Valkey™ и создавать резервные копии;
- просматривать информацию об алертах Valkey™, а также создавать, изменять и удалять их;
- просматривать логи работы кластеров Valkey™;
- просматривать информацию о квотах сервиса Yandex Managed Service for Valkey™;
- просматривать информацию об операциях с ресурсами сервиса Yandex Managed Service for Valkey™.
Включает разрешения, предоставляемые ролью managed-redis.editor
.
Для создания кластеров Valkey™ дополнительно необходима роль vpc.user
.
Подробнее см. Управление доступом в Yandex Managed Service for Valkey™.
Yandex Managed Service for SQL Server
managed-sqlserver.auditor
Роль managed-sqlserver.auditor
позволяет просматривать информацию кластерах, хостах, пользователях, базах данных и резервных копиях БД SQL Server, а также о квотах и операциях с ресурсами сервиса Managed Service for SQL Server.
managed-sqlserver.viewer
Роль managed-sqlserver.viewer
позволяет просматривать логи кластеров SQL Server, а также информацию о кластерах, хостах, пользователях, базах данных и резервных копиях БД SQL Server.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах SQL Server;
- просматривать информацию о хостах кластеров SQL Server;
- просматривать информацию о пользователях SQL Server;
- просматривать информацию о базах данных SQL Server;
- просматривать информацию о резервных копиях баз данных SQL Server;
- просматривать логи кластеров SQL Server;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
- просматривать информацию о квотах сервиса Managed Service for SQL Server.
Включает разрешения, предоставляемые ролью managed-sqlserver.auditor
.
managed-sqlserver.editor
Роль managed-sqlserver.editor
позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, а также создавать резервные копии БД и просматривать логи кластеров SQL Server.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
- просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
- просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях баз данных SQL Server, а также создавать такие резервные копии;
- просматривать логи кластеров SQL Server;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
- просматривать информацию о квотах сервиса Managed Service for SQL Server.
Включает разрешения, предоставляемые ролью managed-sqlserver.viewer
.
managed-sqlserver.admin
Роль managed-sqlserver.admin
позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, а также создавать резервные копии БД и просматривать логи кластеров SQL Server.
Пользователи с этой ролью могут:
- просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
- просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
- просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
- просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
- просматривать информацию о резервных копиях баз данных SQL Server, а также создавать такие резервные копии;
- просматривать логи кластеров SQL Server;
- просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
- просматривать информацию о квотах сервиса Managed Service for SQL Server.
Включает разрешения, предоставляемые ролью managed-sqlserver.editor
.
Yandex Managed Service for YDB
ydb.auditor
Роль ydb.auditor
позволяет устанавливать соединения c базами данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.
Пользователи с этой ролью могут:
- устанавливать соединения c базами данных;
- просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
ydb.viewer
Роль ydb.viewer
позволяет устанавливать соединения c БД и выполнять запросы на чтение данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.
Пользователи с этой ролью могут:
- устанавливать соединения c базами данных и выполнять запросы на чтение данных;
- просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.auditor
.
ydb.editor
Роль ydb.editor
позволяет управлять базами данных, схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.
Пользователи с этой ролью могут:
- просматривать список баз данных и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных;
- устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.viewer
.
ydb.admin
Роль ydb.admin
позволяет управлять базами данных и доступом к ним, управлять схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.
Пользователи с этой ролью могут:
- просматривать список баз данных и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных;
- просматривать информацию о назначенных правах доступа к базам данных и изменять такие права доступа;
- устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
- просматривать информацию о резервных копиях баз данных, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
- просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
- просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
- просматривать информацию о квотах сервиса Managed Service for YDB;
- просматривать информацию об облаке и каталоге.
Включает разрешения, предоставляемые ролью ydb.editor
.
ydb.kafkaApi.client
Роль ydb.kafkaApi.client
позволяет работать с ydb
по протоколу Kafka API
Подробнее см. Управление доступом в Managed Service for YDB.
Yandex Message Queue
ymq.reader
Роль ymq.reader
дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.
ymq.writer
Роль ymq.writer
дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.
ymq.admin
Роль ymq.admin
включает права ролей ymq.reader
и ymq.writer
, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.
Подробнее см. Управление доступом в Message Queue.
Yandex Monitoring
monitoring.viewer
Роль monitoring.viewer
позволяет выгружать метрики, а также просматривать информацию о метриках, дашбордах и виджетах.
Пользователи с этой ролью могут:
- просматривать информацию о метриках и их метках, а также выгружать метрики;
- просматривать список дашбордов и виджетов, а также информацию о них;
- просматривать историю уведомлений;
- просматривать информацию о квотах сервиса Monitoring;
- просматривать информацию о каталоге.
monitoring.editor
Роль monitoring.editor
позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений и информацию о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
- просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
- просматривать историю уведомлений;
- просматривать информацию о квотах сервиса Monitoring;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью monitoring.viewer
.
monitoring.admin
Роль monitoring.admin
позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений, информацию о квотах сервиса и метаданные каталога.
Пользователи с этой ролью могут:
- просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
- просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
- просматривать историю уведомлений;
- просматривать информацию о квотах сервиса Monitoring;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью monitoring.editor
.
Подробнее см. Управление доступом в Monitoring.
Yandex Network Load Balancer
load-balancer.auditor
Роль load-balancer.auditor
позволяет просматривать список целевых групп и сетевых балансировщиков, а также информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список целевых групп и информацию о них;
- просматривать список сетевых балансировщиков и информацию о них;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Network Load Balancer.
load-balancer.viewer
Роль load-balancer.viewer
позволяет просматривать список целевых групп и сетевых балансировщиков, информацию о них и список операций с ними, а также информацию о каталоге, облаке и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список целевых групп и информацию о них;
- просматривать список сетевых балансировщиков и информацию о них;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Network Load Balancer.
Включает разрешения, предоставляемые ролью load-balancer.auditor
.
load-balancer.privateAdmin
Роль load-balancer.privateAdmin
позволяет управлять внутренними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.viewer
и vpc.viewer
.
load-balancer.editor
Роль load-balancer.editor
позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах. Роль не позволяет создавать публичные IP-адреса.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них;
- создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах, а также создавать внутренние адреса и использовать их;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью load-balancer.privateAdmin
.
load-balancer.admin
Роль load-balancer.admin
позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них;
- создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах, а также создавать внутренние и публичные адреса и использовать их;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью load-balancer.editor
.
Подробнее см. Управление доступом в Network Load Balancer.
Yandex Object Storage
storage.viewer
Роль storage.viewer
дает доступ на чтение списка бакетов, их настроек и данных в бакетах.
storage.configViewer
Роль storage.configViewer
позволяет просматривать настройки безопасности бакетов и объектов в них, но не дает доступа к данным внутри бакета.
storage.configurer
Роль storage.configurer
позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.
Не позволяет управлять настройками списка управления доступом (ACL) и настройками публичного доступа. Не предоставляет доступа к данным в бакете.
storage.uploader
Роль storage.uploader
позволяет загружать объекты в бакет, в том числе перезаписывать загруженные ранее. Также роль позволяет просматривать список объектов в бакете и скачивать их, поскольку роль storage.uploader
наследует права роли storage.viewer
.
Роль не позволяет удалять объекты и конфигурировать бакет.
storage.editor
Роль storage.editor
позволяет выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.
Роль не позволяет управлять настройками списка управления доступом (ACL).
storage.admin
Роль storage.admin
предназначена для управления сервисом Object Storage.
Пользователи с этой ролью могут:
- создавать бакеты;
- удалять бакеты;
- назначать список управления доступом (ACL);
- управлять всеми объектами бакета;
- управлять всеми веб-сайтами бакета;
- настраивать другие параметры бакета и объектов в нем.
Роль позволяет предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.
Выдать данную роль может администратор облака (роль admin
).
Подробнее см. Управление доступом с помощью Yandex Identity and Access Management.
Yandex Query
yq.auditor
Роль yq.auditor
позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках и запросах.
yq.viewer
Пользователь с ролью yq.viewer
может просматривать запросы и результаты.
Включает разрешения, предоставляемые ролью yq.auditor
.
yq.editor
Пользователь с ролью yq.editor
может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor
включает в себя все разрешения роли yq.viewer
.
yq.admin
Роль yq.admin
разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin
включает в себя все разрешения роли yq.editor
.
yq.invoker
Пользователь с ролью yq.invoker
может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.
Подробнее см. Управление доступом в Query.
Yandex Resource Manager
resource-manager.auditor
Роль resource-manager.auditor
позволяет просматривать метаинформацию облаков и каталогов, а также информацию о назначенных правах доступа к облакам и каталогам.
Пользователи с этой ролью могут:
- просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
- просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
- просматривать информацию о квотах сервиса Resource Manager.
resource-manager.viewer
Роль resource-manager.viewer
позволяет просматривать информацию об облаках и каталогах, а также о назначенных правах доступа к облакам и каталогам.
Пользователи с этой ролью могут:
- просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
- просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
- просматривать информацию о квотах сервиса Resource Manager.
Включает разрешения, предоставляемые ролью resource-manager.auditor
.
resource-manager.editor
Роль resource-manager.editor
позволяет управлять облаками и каталогами, а также просматривать информацию о назначенных правах доступа к облакам и каталогам.
Пользователи с этой ролью могут:
- просматривать информацию об облаках, их настройках и назначенных правах доступа к облакам, а также создавать, изменять и удалять облака;
- просматривать информацию о каталогах, их настройках и назначенных правах доступа к каталогам, а также создавать, изменять и удалять каталоги;
- просматривать информацию о квотах сервиса Resource Manager.
Включает разрешения, предоставляемые ролью resource-manager.viewer
.
resource-manager.admin
Роль resource-manager.admin
позволяет управлять облаками и каталогами, а также доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к облакам и изменять такие права доступа;
- просматривать информацию об облаках и их настройках, а также создавать, изменять и удалять облака;
- просматривать информацию о назначенных правах доступа к каталогам и изменять такие права доступа;
- просматривать информацию о каталогах и их настройках, а также создавать, изменять и удалять каталоги;
- просматривать информацию о квотах сервиса Resource Manager.
Включает разрешения, предоставляемые ролью resource-manager.editor
.
resource-manager.clouds.member
Роль resource-manager.clouds.member
позволяет просматривать информацию об облаке и обращаться в техническую поддержку Yandex Cloud.
Можно назначить только на облако.
Пользователи с этой ролью могут:
- просматривать список обращений в техническую поддержку и информацию о них, а также создавать и закрывать такие обращения, оставлять в них комментарии и прикреплять файлы;
- просматривать информацию об облаках и их настройках.
resource-manager.clouds.owner
Роль resource-manager.clouds.owner
позволяет совершать любые действия в облаке и дочерних ресурсах, а также просматривать список платежных аккаунтов и привязывать к ним облако. Роль должна быть выдана на платежный аккаунт. По умолчанию пользователи с этой ролью получают уведомления о событиях в облаке и его каталогах.
Включает разрешения, предоставляемые ролями admin
и resource-manager.clouds.member
.
Можно назначить только на облако.
Подробнее см. Управление доступом в Resource Manager.
Yandex Search API
search-api.executor
Роль search-api.executor
позволяет использовать сервис Yandex Search API и выполнять поисковые запросы посредством API v1.
search-api.webSearch.user
Роль search-api.webSearch.user
позволяет выполнять поисковые запросы в сервисе Yandex Search API с использованием API v2, а также просматривать информацию об облаке, каталоге и квотах сервиса Yandex Search API.
search-api.auditor
Роль search-api.auditor
позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.
search-api.viewer
Роль search-api.viewer
позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.
Включает разрешения, предоставляемые ролью search-api.auditor
.
search-api.editor
Роль search-api.editor
позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.
Пользователи с этой ролью могут:
- просматривать информацию о зарегистрированных IP-адресах, изменять и удалять их, а также регистрировать новые IP-адреса;
- выполнять поисковые запросы с использованием API v1 и API v2;
- просматривать информацию о квотах сервиса Yandex Search API;
- просматривать информацию об облаках и каталогах.
Включает разрешения, предоставляемые ролями search-api.viewer
, search-api.webSearch.user
и search-api.executor
.
search-api.admin
Роль search-api.admin
позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.
Пользователи с этой ролью могут:
- просматривать информацию о зарегистрированных IP-адресах, изменять и удалять их, а также регистрировать новые IP-адреса;
- выполнять поисковые запросы с использованием API v1 и API v2;
- просматривать информацию о квотах сервиса Yandex Search API;
- просматривать информацию об облаках и каталогах.
Включает разрешения, предоставляемые ролью search-api.editor
.
Подробнее см. Управление доступом в Yandex Search API.
Yandex Security Deck
Сервисные роли для анализа данных Access Transparency
access-transparency.viewer
Роль access-transparency.viewer
позволяет просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.
access-transparency.editor
Роль access-transparency.editor
позволяет создавать и удалять подписки организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.
Включает разрешения, предоставляемые ролью access-transparency.viewer
.
access-transparency.admin
Роль access-transparency.admin
позволяет создавать и удалять подписки организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.
Включает разрешения, предоставляемые ролью access-transparency.editor
.
Подробнее см. Управление доступом в Access Transparency.
Сервисные роли для контроля данных (DSPM)
dspm.inspector
Роль dspm.inspector
позволяет создавать источники данных DSPM с использованием заданных ресурсов Yandex Cloud. Чтобы создать источник данных в DSPM, эту роль необходимо назначить пользователю на соответствующий облачный ресурс.
dspm.auditor
Роль dspm.auditor
позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.
Пользователи с этой ролью могут:
- просматривать информацию о профилях DSPM;
- просматривать информацию об источниках данных DSPM;
- просматривать информацию о заданиях сканирования на угрозы безопасности;
- просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.
dspm.viewer
Роль dspm.viewer
позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.
Пользователи с этой ролью могут:
- просматривать информацию о профилях DSPM;
- просматривать информацию об источниках данных DSPM;
- просматривать информацию о заданиях сканирования на угрозы безопасности;
- просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.
Включает разрешения, предоставляемые ролью dspm.auditor
.
dspm.editor
Роль dspm.editor
позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.
Пользователи с этой ролью могут:
- просматривать информацию о профилях DSPM и использовать их;
- просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
- просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
- запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
- просматривать метаданные бакетов.
Включает разрешения, предоставляемые ролью dspm.viewer
.
dspm.admin
Роль dspm.admin
позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.
Пользователи с этой ролью могут:
- просматривать информацию о профилях DSPM и использовать их;
- просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
- использовать ресурсы Yandex Cloud в источниках данных DSPM;
- просматривать информацию о категориях данных DSPM;
- просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
- запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
- просматривать метаданные бакетов.
Включает разрешения, предоставляемые ролями dspm.editor
и dspm.inspector
.
Подробнее см. Управление доступом в DSPM.
Yandex Serverless Containers
serverless-containers.auditor
Роль serverless-containers.auditor
позволяет просматривать информацию о контейнерах, кроме информации о переменных окружения ревизии.
serverless-containers.viewer
Роль serverless-containers.viewer
позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
- просматривать информацию о назначенных правах доступа к контейнерам;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью serverless-containers.auditor
.
serverless-containers.editor
Роль serverless-containers.editor
позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- создавать, вызывать, изменять и удалять контейнеры;
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии, а также о назначенных правах доступа к контейнерам;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью serverless-containers.viewer
.
serverless-containers.admin
Роль serverless-containers.admin
позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.
Пользователи с этой ролью могут:
- создавать, вызывать, изменять и удалять контейнеры;
- просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью serverless-containers.editor
.
serverless-containers.containerInvoker
Роль serverless-containers.containerInvoker
позволяет вызывать контейнеры.
serverless.containers.viewer
Роль serverless.containers.viewer
позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
- просматривать информацию о назначенных правах доступа к контейнерам;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Эта роль недоступна. Используйте роль serverless-containers.viewer
.
serverless.containers.editor
Роль serverless.containers.editor
позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- создавать, вызывать, изменять и удалять контейнеры;
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии, а также о назначенных правах доступа к контейнерам;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Эта роль недоступна. Используйте роль serverless-containers.editor
.
serverless.containers.admin
Роль serverless.containers.admin
позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.
Пользователи с этой ролью могут:
- создавать, вызывать, изменять и удалять контейнеры;
- просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
- просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Эта роль недоступна. Используйте роль serverless-containers.admin
.
serverless.containers.invoker
Роль serverless.containers.invoker
позволяет вызывать контейнеры.
Эта роль недоступна. Используйте роль serverless-containers.containerInvoker
.
Подробнее см. Управление доступом в Serverless Containers.
Yandex SmartCaptcha
smart-captcha.auditor
Роль smart-captcha.auditor
позволяет просматривать информацию о капчах и назначенных правах доступа к ним.
smart-captcha.viewer
Роль smart-captcha.viewer
позволяет просматривать информацию о капчах и назначенных правах доступа к ним, а также получать ключи капчи.
Включает разрешения, предоставляемые ролью smart-captcha.auditor
.
smart-captcha.editor
Роль smart-captcha.editor
позволяет управлять капчами, просматривать информацию о них и получать ключи капчи.
Пользователи с этой ролью могут:
- просматривать информацию о капчах, а также создавать, изменять и удалять их;
- просматривать информацию о назначенных правах доступа к капчам;
- получать ключи капчи.
Включает разрешения, предоставляемые ролью smart-captcha.viewer
.
smart-captcha.admin
Роль smart-captcha.admin
позволяет управлять капчами и доступом к ним, а также получать ключи капчи.
Пользователи с этой ролью могут:
- просматривать информацию о капчах, а также создавать, изменять и удалять их;
- просматривать информацию о назначенных правах доступа к капчам и изменять такие права доступа;
- получать ключи капчи.
Включает разрешения, предоставляемые ролью smart-captcha.editor
.
Подробнее см. Управление доступом в SmartCaptcha.
Yandex Smart Web Security
smart-web-security.auditor
Роль smart-web-security.auditor
позволяет просматривать информацию о профилях безопасности Smart Web Security и метаинформацию облака и каталога.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security;
- просматривать информацию о назначенных правах доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Назначить роль smart-web-security.auditor
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.viewer
Роль smart-web-security.viewer
позволяет просматривать информацию о профилях безопасности Smart Web Security, а также об облаке и каталоге.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security;
- просматривать информацию о назначенных правах доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.auditor
.
Назначить роль smart-web-security.viewer
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.user
Роль smart-web-security.user
позволяет просматривать информацию о профилях безопасности Smart Web Security и использовать их.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security и использовать их в других сервисах Yandex Cloud;
- просматривать информацию о назначенных правах доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.viewer
.
Назначить роль smart-web-security.user
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.editor
Роль smart-web-security.editor
позволяет использовать профили безопасности Smart Web Security и управлять ими.
Пользователи с этой ролью могут:
- просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
- просматривать информацию о назначенных правах доступа к профилям безопасности;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.user
.
Назначить роль smart-web-security.editor
может пользователь с ролью admin
в облаке или smart-web-security.admin
в каталоге.
smart-web-security.admin
Роль smart-web-security.admin
позволяет использовать профили безопасности Smart Web Security, управлять ими и доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к профилям безопасности и изменять такие права доступа;
- просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
- просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью smart-web-security.editor
.
Назначить роль smart-web-security.admin
может пользователь с ролью admin
в облаке.
Подробнее см. Управление доступом в Smart Web Security.
Yandex SpeechKit
ai.speechkit-stt.user
Роль ai.speechkit-stt.user
позволяет использовать сервис Yandex SpeechKit для распознавания речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.
ai.speechkit-tts.user
Роль ai.speechkit-tts.user
позволяет использовать сервис Yandex SpeechKit для синтеза речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в SpeechKit.
Yandex SpeechSense
speech-sense.auditor
Роль speech-sense.auditor
позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.
speech-sense.viewer
Роль speech-sense.viewer
позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.
Роль speech-sense.viewer
включает в себя все разрешения роли speech-sense.auditor
.
speech-sense.editor
Роль speech-sense.editor
позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство роль позволяет редактировать пространство и создавать в нем проекты, подключения и словари.
Роль speech-sense.editor
включает в себя все разрешения роли speech-sense.viewer
.
speech-sense.admin
Роль speech-sense.admin
, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.
Роль speech-sense.admin
включает в себя все разрешения ролей speech-sense.editor
и speech-sense.data.editor
.
speech-sense.spaces.creator
Роль speech-sense.spaces.creator
позволяет создавать пространства в SpeechSense.
speech-sense.data.viewer
Роль speech-sense.data.viewer
позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.
speech-sense.data.editor
Роль speech-sense.data.editor
позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.
Роль speech-sense.data.editor
включает в себя все разрешения роли speech-sense.data.viewer
.
Подробнее см. Управление доступом в SpeechSense.
Yandex Translate
ai.translate.user
Роль ai.translate.user
позволяет использовать сервис Yandex Translate для перевода текста, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Translate.
Yandex Virtual Private Cloud
vpc.auditor
Роль vpc.auditor
позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
vpc.viewer
Роль vpc.viewer
позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.auditor
.
vpc.user
Роль vpc.user
позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.externalAddresses.user
Роль vpc.externalAddresses.user
позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.
vpc.admin
Роль vpc.admin
позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
- настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
- просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать список групп безопасности и информацию о них, а также создавать, изменять и удалять группы безопасности;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- настраивать DHCP в подсетях;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями vpc.privateAdmin
, vpc.publicAdmin
и vpc.securityGroups.admin
.
vpc.bridgeAdmin
Роль vpc.bridgeAdmin
позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять связностью нескольких облачных сетей;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список облачных сетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.privateAdmin
Роль vpc.privateAdmin
позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
- просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
- просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
- привязывать таблицы маршрутизации к подсетям;
- просматривать список групп безопасности и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
- настраивать DHCP в подсетях;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать внутренние IP-адреса;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.publicAdmin
Роль vpc.publicAdmin
позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать список подсетей и информацию о них, а также изменять подсети;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
Роль можно назначить на облако или каталог.
Важно
Если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin
проверяется на том каталоге, в котором находится сеть.
vpc.gateways.viewer
Роль vpc.gateways.viewer
позволяет просматривать информацию о NAT-шлюзах.
vpc.gateways.user
Роль vpc.gateways.user
позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.
vpc.gateways.editor
Роль vpc.gateways.editor
позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.
vpc.securityGroups.user
Роль vpc.securityGroups.user
позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- назначать группы безопасности сетевым интерфейсам виртуальных машин;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.securityGroups.admin
Роль vpc.securityGroups.admin
позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer
.
vpc.privateEndpoints.viewer
Роль vpc.privateEndpoints.viewer
позволяет просматривать информацию о сервисных подключениях.
vpc.privateEndpoints.editor
Роль vpc.privateEndpoints.editor
позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.
Включает разрешения, предоставляемые ролью vpc.privateEndpoints.viewer
.
vpc.privateEndpoints.admin
Роль vpc.privateEndpoints.admin
позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.
Включает разрешения, предоставляемые ролью vpc.privateEndpoints.editor
.
Подробнее см. Управление доступом в Virtual Private Cloud.
Yandex Vision OCR
ai.vision.user
Роль ai.vision.user
позволяет использовать сервис Yandex Vision OCR для анализа изображений, а также просматривать информацию об облаке, каталоге и квотах сервиса.
Подробнее см. Управление доступом в Vision OCR.
Yandex WebSQL
websql.executedQueries.auditor
Роль websql.executedQueries.auditor
позволяет просматривать метаданные опубликованного запроса из истории и информацию о назначенных правах доступа к нему.
websql.savedQueries.auditor
Роль websql.savedQueries.auditor
позволяет просматривать метаданные опубликованного сохраненного запроса и информацию о назначенных правах доступа к нему.
websql.executedQueries.viewer
Роль websql.executedQueries.viewer
позволяет просматривать информацию об опубликованном запросе из истории и назначенных правах доступа к нему.
Включает разрешения, предоставляемые ролью websql.executedQueries.auditor
.
websql.savedQueries.viewer
Роль websql.savedQueries.viewer
позволяет просматривать информацию об опубликованном сохраненном запросе и назначенных правах доступа к нему.
Включает разрешения, предоставляемые ролью websql.savedQueries.auditor
.
websql.executedQueries.editor
Роль websql.executedQueries.editor
позволяет просматривать информацию об опубликованном запросе из истории и удалять его.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном запросе из истории и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории.
Включает разрешения, предоставляемые ролью websql.executedQueries.viewer
.
websql.savedQueries.editor
Роль websql.savedQueries.editor
позволяет изменять и удалять опубликованный сохраненный запрос.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его;
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу.
Включает разрешения, предоставляемые ролью websql.savedQueries.viewer
.
websql.executedQueries.admin
Роль websql.executedQueries.admin
позволяет управлять опубликованным запросом из истории и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному запросу из истории и изменять такие права доступа;
- просматривать информацию об опубликованном запросе из истории и удалять его.
Включает разрешения, предоставляемые ролью websql.executedQueries.editor
.
websql.savedQueries.admin
Роль websql.savedQueries.admin
позволяет управлять опубликованным сохраненным запросом и доступом к нему.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу и изменять такие права доступа;
- просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его.
Включает разрешения, предоставляемые ролью websql.savedQueries.editor
.
websql.auditor
Роль websql.auditor
позволяет просматривать метаданные всех опубликованных запросов в сервисе WebSQL и информацию о назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролями websql.savedQueries.auditor
и websql.executedQueries.auditor
.
websql.viewer
Роль websql.viewer
позволяет просматривать информацию обо всех опубликованных запросах в сервисе WebSQL и назначенных правах доступа к ним.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним.
Включает разрешения, предоставляемые ролями websql.savedQueries.viewer
и websql.executedQueries.viewer
.
websql.user
Роль websql.user
позволяет просматривать информацию об опубликованных запросах в сервисе WebSQL, а также создавать, изменять и удалять приватные запросы.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
- приватно сохранять запросы, а также изменять и удалять приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним;
- сохранять исполненные запросы в приватную историю и удалять такие запросы из истории.
Включает разрешения, предоставляемые ролью websql.viewer
.
websql.editor
Роль websql.editor
позволяет управлять опубликованными и приватными запросами в сервисе WebSQL.
Пользователи с этой ролью могут:
- просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним, а также изменять и удалять опубликованные сохраненные запросы;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним, а также удалять опубликованные запросы из истории;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.user
, websql.savedQueries.editor
и websql.executedQueries.editor
.
websql.admin
Роль websql.admin
позволяет управлять приватными запросами и публиковать их, а также управлять опубликованными запросами и доступом к ним.
Пользователи с этой ролью могут:
- просматривать информацию о назначенных правах доступа к опубликованным сохраненным запросам и изменять такие права доступа;
- просматривать информацию об опубликованных сохраненных запросах, а также изменять и удалять их;
- приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
- просматривать информацию о назначенных правах доступа к опубликованным запросам из истории и изменять такие права доступа;
- просматривать информацию об опубликованных запросах из истории и удалять их;
- сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.
Включает разрешения, предоставляемые ролями websql.editor
, websql.savedQueries.admin
и websql.executedQueries.admin
.
Подробнее см. Управление доступом в WebSQL.
Yandex Wiki
wiki.viewer
Роль wiki.viewer
назначается на организацию.
Дает право читать страницы в Yandex Wiki организации.
wiki.admin
Роль wiki.admin
назначается на организацию.
Дает право редактировать страницы, настраивать права доступа для других пользователей, изменять список авторов и назначать владельца страницы.
ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc