Справочник ролей Yandex Cloud

Примитивные ролиПримитивные роли

На диаграмме показано, какие примитивные роли есть в Yandex Cloud и как они наследуют разрешения друг друга. Например, в роль editor входят все разрешения роли viewer. После диаграммы дано описание каждой роли.

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

• просматривать информацию о ресурсе;
• просматривать метаданные ресурса;
• просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

Роль auditor в настоящее время доступна во всех сервисах Yandex Cloud, за исключением:

• Yandex Data Streams;
• Yandex Query.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Служебные ролиСлужебные роли

quota-manager.viewerquota-manager.viewer

Роль quota-manager.viewer позволяет просматривать информацию о квотах сервисов Yandex Cloud и о запросах на увеличение таких квот, а также об облаках.

quota-manager.requestOperatorquota-manager.requestOperator

Роль quota-manager.requestOperator позволяет создавать запросы на новые квоты для сервисов Yandex Cloud. Это разрешение также входит в роли admin и editor.

Сервисы искусственного интеллектаСервисы искусственного интеллекта

ai.auditorai.auditor

Роль ai.auditor позволяет просматривать квоты для сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, просматривать информацию об AI-ассистентах, а также читать метаинформацию каталогов.

Включает разрешения, предоставляемые ролью ai.assistants.auditor.

ai.viewerai.viewer

Роль ai.viewer позволяет просматривать информацию о квотах сервисов Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models, об AI-ассистентах, а также о каталоге.

Включает разрешения, предоставляемые ролями ai.auditor и ai.assistants.viewer.

ai.editorai.editor

Роль ai.editor позволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.

Пользователи с этой ролью могут:

• использовать сервис Yandex Translate для перевода текста;
• использовать сервис Yandex Vision OCR для анализа изображений;
• использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
• использовать языковые модели генерации YandexGPT API, модели генерации изображений YandexART, а также AI-ассистентов в сервисе Yandex Foundation Models;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.

Включает разрешения, предоставляемые ролями ai.viewer, ai.translate.user, ai.vision.user, ai.speechkit-stt.user, ai.speechkit-tts.user, ai.languageModels.user, ai.imageGeneration.user и ai.assistants.editor.

ai.adminai.admin

Роль ai.adminпозволяет использовать сервисы Yandex Translate, Yandex Vision, Yandex SpeechKit и Yandex Foundation Models.

Пользователи с этой ролью могут:

• использовать сервис Yandex Translate для перевода текста;
• использовать сервис Yandex Vision OCR для анализа изображений;
• использовать сервис Yandex SpeechKit для распознавания и синтеза речи;
• использовать языковые модели генерации YandexGPT API, модели генерации изображений YandexART, а также AI-ассистентов в сервисе Yandex Foundation Models;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Translate, Vision, SpeechKit и Foundation Models.

Включает разрешения, предоставляемые ролями ai.editor и ai.assistants.admin.

Yandex API GatewayYandex API Gateway

api-gateway.auditorapi-gateway.auditor

Роль api-gateway.auditor позволяет просматривать список API-шлюзов и информацию о назначенных правах доступа к ним, а также метаинформацию каталога.

api-gateway.viewerapi-gateway.viewer

Роль api-gateway.viewer позволяет просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.auditor.

api-gateway.editorapi-gateway.editor

Роль api-gateway.editor позволяет просматривать информацию об API-шлюзах и управлять ими, а также работать с API WebSocket.

Пользователи с этой ролью могут:

• просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним, а также создавать, изменять и удалять API-шлюзы;
• использовать ограничение скорости обработки запросов;
• просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.websocketWriter.

api-gateway.websocketWriterapi-gateway.websocketWriter

Роль api-gateway.websocketWriter позволяет работать с API WebSocket, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
• просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.viewer.

api-gateway.websocketBroadcasterapi-gateway.websocketBroadcaster

Роль api-gateway.websocketBroadcaster позволяет отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам, а также просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через соединения WebSocket, в том числе одновременно нескольким клиентам;
• просматривать список API-шлюзов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.websocketWriter.

api-gateway.adminapi-gateway.admin

Роль api-gateway.admin позволяет управлять API-шлюзами и доступом к ним, просматривать информацию об API-шлюзах, а также работать с API WebSocket.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к API-шлюзам и изменять такие права доступа;
• просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
• просматривать информацию о соединениях WebSocket и закрывать их, а также отправлять данные через такие соединения;
• использовать ограничение скорости обработки запросов;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью api-gateway.editor.

Подробнее см. Управление доступом в API Gateway.

Yandex Application Load BalancerYandex Application Load Balancer

alb.auditoralb.auditor

Роль alb.auditor позволяет просматривать информацию о ресурсах и квотах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

• просматривать список L7-балансировщиков и информацию о них;
• просматривать список HTTP-роутеров и информацию о них;
• просматривать список виртуальных хостов и информацию о них;
• просматривать список групп бэкендов и информацию о них;
• просматривать список целевых групп и информацию о них;
• просматривать информацию о квотах сервиса Application Load Balancer.

alb.vieweralb.viewer

Роль alb.viewer позволяет просматривать список ресурсов Application Load Balancer и информацию о них и о квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список L7-балансировщиков и информацию о них;
• просматривать список HTTP-роутеров и информацию о них;
• просматривать список виртуальных хостов и информацию о них;
• просматривать список групп бэкендов и информацию о них;
• просматривать список целевых групп и информацию о них;
• просматривать информацию о квотах сервиса Application Load Balancer.

Включает разрешения, предоставляемые ролью alb.auditor.

alb.useralb.user

Роль alb.user позволяет использовать L7-балансировщики, HTTP-роутеры, группы бэкендов и целевые группы, а также просматривать информацию о ресурсах сервиса Application Load Balancer.

Пользователи с этой ролью могут:

• просматривать список L7-балансировщиков и информацию о них, а также использовать L7-балансировщики;
• просматривать список HTTP-роутеров и информацию о них, а также использовать HTTP-роутеры;
• просматривать список виртуальных хостов и информацию о них;
• просматривать список групп бэкендов и информацию о них, а также использовать группы бэкендов;
• просматривать список целевых групп и информацию о них, а также использовать целевые группы;
• просматривать информацию о квотах сервиса Application Load Balancer.

Роль можно назначить на каталог.

alb.editoralb.editor

Роль alb.editor позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:

• просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
• просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
• просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
• просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
• просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
• просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролями load-balancer.privateAdmin и vpc.user.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

alb.adminalb.admin

Роль alb.admin позволяет управлять ресурсами сервиса Application Load Balancer и внутренними сетевыми балансировщиками нагрузки, а также просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности, IP-адресах и квотах.

Пользователи с этой ролью могут:

• просматривать список L7-балансировщиков и информацию о них, а также создавать L7-балансировщики, изменять, удалять и использовать их;
• просматривать список HTTP-роутеров и информацию о них, а также создавать, изменять, удалять и использовать HTTP-роутеры;
• просматривать список виртуальных хостов и информацию о них, а также изменять виртуальные хосты;
• просматривать список групп бэкендов и информацию о них, а также создавать, изменять, удалять и использовать группы бэкендов;
• просматривать список целевых групп L7-балансировщиков и сетевых балансировщиков и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
• просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Application Load Balancer, Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью alb.editor.

Для подключения публичного IP-адреса к новому или существующему L7-балансировщику дополнительно необходима роль vpc.publicAdmin на сеть, в которой находится балансировщик.

Подробнее см. Управление доступом в Application Load Balancer.

Yandex Audit TrailsYandex Audit Trails

audit-trails.auditoraudit-trails.auditor

Роль audit-trails.auditor позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.

audit-trails.vieweraudit-trails.viewer

Роль audit-trails.viewer позволяет читать аудитные логи, а также просматривать список трейлов и информацию о трейлах, облаке, каталоге и квотах сервиса Audit Trails.

Включает разрешения, предоставляемые ролью audit-trails.auditor.

audit-trails.editoraudit-trails.editor

Роль audit-trails.editor позволяет управлять трейлами и читать аудитные логи.

Пользователи с этой ролью могут:

• просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
• читать аудитные логи;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервиса Audit Trails.

Включает разрешения, предоставляемые ролью audit-trails.viewer.

audit-trails.adminaudit-trails.admin

Роль audit-trails.admin позволяет управлять трейлами и доступом к ним, а также читать аудитные логи.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к трейлам, а также изменять такие права доступа;
• просматривать список трейлов и информацию о них, а также создавать, изменять и удалять трейлы;
• читать аудитные логи;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервиса Audit Trails.

Включает разрешения, предоставляемые ролью audit-trails.editor.

audit-trails.configVieweraudit-trails.configViewer

Роль audit-trails.configViewer позволяет просматривать список трейлов и информацию о них, а также об облаке, каталоге и квотах сервиса Audit Trails.

Эта роль недоступна. Используйте роль audit-trails.auditor.

Подробнее см. Управление доступом Audit Trails.

Yandex Certificate ManagerYandex Certificate Manager

certificate-manager.auditorcertificate-manager.auditor

Роль certificate-manager.auditor позволяет просматривать информацию о сертификатах и доменах, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и о назначенных правах доступа к ним;
• просматривать список доменов и зависимых ресурсов, а также информацию о доменах и о назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Certificate Manager.

certificate-manager.viewercertificate-manager.viewer

Роль certificate-manager.viewer позволяет просматривать информацию о сертификатах и доменах, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и о назначенных правах доступа к ним;
• просматривать список доменов и зависимых ресурсов, а также информацию о доменах и о назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Certificate Manager.

Включает разрешения, предоставляемые ролью certificate-manager.auditor.

certificate-manager.editorcertificate-manager.editor

Роль certificate-manager.editor позволяет управлять сертификатами и доменами, просматривать информацию о них, о назначенных правах доступа к ним и о квотах сервиса Certificate Manager.

Пользователи с этой ролью могут:

• просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах и назначенных правах доступа к ним;
• добавлять, изменять, обновлять и удалять сертификаты;
• просматривать список доменов и зависимых ресурсов, а также информацию о доменах и назначенных правах доступа к ним;
• создавать, изменять и удалять домены, а также привязывать сертификаты к доменам;
• просматривать информацию о квотах сервиса Certificate Manager.

Включает разрешения, предоставляемые ролью certificate-manager.viewer.

certificate-manager.admincertificate-manager.admin

Роль certificate-manager.admin позволяет управлять сертификатами, доменами и доступом к ним, а также получать содержимое сертификатов.

Пользователи с этой ролью могут:

• просматривать список сертификатов и зависимых ресурсов, а также информацию о сертификатах;
• просматривать информацию о назначенных правах доступа к сертификатам и изменять такие права доступа;
• добавлять, изменять, обновлять и удалять сертификаты;
• получать содержимое сертификатов;
• просматривать список доменов и зависимых ресурсов, а также информацию о доменах;
• просматривать информацию о назначенных правах доступа к доменам и изменять такие права доступа;
• создавать, изменять и удалять домены, а также привязывать сертификаты к доменам;
• просматривать информацию о квотах сервиса Certificate Manager;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью certificate-manager.editor.

certificate-manager.certificates.downloadercertificate-manager.certificates.downloader

Роль certificate-manager.certificates.downloader позволяет просматривать список сертификатов и информацию о них, а также получать содержимое сертификатов.

Подробнее см. Управление доступом в Certificate Manager.

Yandex Cloud BackupYandex Cloud Backup

backup.viewerbackup.viewer

Роль backup.viewer позволяет просматривать информацию о виртуальных машинах, подключенных к сервису Cloud Backup, о политиках резервного копирования и резервных копиях, а также о квотах сервиса, облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о подключенных провайдерах резервного копирования;
• просматривать информацию о назначенных правах доступа к политикам резервного копирования;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
• просматривать информацию о подключенных к сервису виртуальных машинах;
• просматривать информацию о резервных копиях;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Назначить роль backup.viewer может пользователь с ролью admin в облаке или backup.admin в каталоге.

backup.editorbackup.editor

Роль backup.editor позволяет управлять подключением виртуальных машин к сервису Cloud Backup, управлять политиками резервного копирования, выполнять резервное копирование и восстанавливать ВМ из резервных копий.

Пользователи с этой ролью могут:

• просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
• создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах;
• просматривать информацию о назначенных правах доступа к политикам резервного копирования;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
• просматривать информацию о подключенных к Cloud Backup виртуальных машинах, а также подключать и отключать виртуальные машины от сервиса;
• просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.viewer.

Назначить роль backup.editor может пользователь с ролью admin в облаке или backup.admin в каталоге.

backup.adminbackup.admin

Роль backup.admin позволяет управлять политиками резервного копирования и доступом к ним, управлять подключением виртуальных машин к сервису Cloud Backup, выполнять резервное копирование и восстанавливать ВМ из резервных копий.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к политикам резервного копирования и изменять такие права доступа;
• просматривать информацию о подключенных провайдерах резервного копирования, а также подключать провайдеров, доступных в Cloud Backup;
• создавать, изменять и удалять политики резервного копирования, а также привязывать, отвязывать и запускать их на виртуальных машинах;
• просматривать информацию о политиках резервного копирования и привязанных к ним виртуальных машинах;
• просматривать информацию о подключенных к Cloud Backup виртуальных машинах, а также подключать и отключать виртуальные машины от сервиса;
• просматривать информацию о резервных копиях, а также удалять их и восстанавливать из них виртуальные машины;
• просматривать информацию о квотах сервиса Cloud Backup;
• просматривать информацию об облаке;
• просматривать информацию о каталоге и его статистику.

Включает разрешения, предоставляемые ролью backup.editor.

Назначить роль backup.admin может пользователь с ролью admin в облаке.

Подробнее см. Управление доступом в Cloud Backup.

Yandex Cloud BillingYandex Cloud Billing

billing.accounts.memberbilling.accounts.member

Роль billing.accounts.member автоматически выдается при добавлении пользователя в сервисе. Она необходима для показа выбранного платежного аккаунта в списке всех аккаунтов пользователя.

billing.accounts.ownerbilling.accounts.owner

Роль billing.accounts.owner автоматически выдается при создании платежного аккаунта. Роль, выданную при создании, нельзя отозвать, но можно выдать такую же роль другим пользователям и отозвать ее у них.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа;
• просматривать и скачивать отчетные (закрывающие) документы;
• генерировать новые акты сверки;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию;
• создавать экспорт детализации;
• создавать бюджеты;
• резервировать потребление ресурсов;
• пополнять лицевой счет с помощью расчетного счета;
• пополнять лицевой счет с помощью банковской карты;
• привязывать облака к платежному аккаунту;
• переименовывать платежные аккаунты;
• изменять контакты плательщика;
• изменять платежные реквизиты;
• изменять банковскую карту;
• изменять способ оплаты;
• активировать промокоды;
• активировать пробный период;
• активировать платную версию;
• удалять платежные аккаунты.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• создавать записи о клиентах (сабаккаунты);
• просматривать список и данные сабаккаунтов;
• обновлять данные записей о сабаккаунтах;
• активировать сабаккаунты;
• приостанавливать работу сабаккаунтов;
• возобновлять работу сабаккаунтов;
• удалять сабаккаунты (до подтверждения клиентом);
• привязывать облака к сабаккаунтам;
• управлять назначенными правами доступа к сабаккаунтам;
• просматривать потребление сервисов клиентами;
• просматривать историю начисления рибейта;
• выводить рибейт;
• просматривать присвоенные специализации;
• просматривать список партнерских премий и информацию о них;
• просматривать историю начисления вознаграждений по реферальной программе;
• выводить вознаграждение по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• просматривать список реферальных ссылок;
• создавать реферальные ссылки;
• активировать реферальные ссылки;
• изменять реферальные ссылки.

Включает разрешения, предоставляемые ролью billing.accounts.admin.

billing.accounts.viewerbilling.accounts.viewer

Роль billing.accounts.viewer назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать и скачивать отчетные (закрывающие) документы;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• просматривать список и данные сабаккаунтов;
• просматривать потребление сервисов клиентами;
• просматривать присвоенные специализации;
• просматривать список партнерских премий и информацию о них;
• просматривать историю начисления вознаграждений по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• просматривать список реферальных ссылок.

billing.accounts.accountantbilling.accounts.accountant

Роль billing.accounts.accountant назначается на платежный аккаунт. Позволяет просматривать данные платежного аккаунта, получать информацию о потреблении ресурсов, проверять расходы, выгружать акты сверки и отчетные документы, создавать новый акт сверки, пополнять лицевой счет с помощью расчетного счета.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать и скачивать отчетные (закрывающие) документы;
• генерировать новые акты сверки;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию;
• пополнять лицевой счет с помощью расчетного счета.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• просматривать список и данные сабаккаунтов;
• просматривать потребление сервисов клиентами;
• просматривать историю начисления рибейта;
• выводить рибейт;
• просматривать присвоенные специализации;
• просматривать список партнерских премий и информацию о них;
• просматривать историю начисления вознаграждений по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• просматривать список реферальных ссылок.

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.editorbilling.accounts.editor

Роль billing.accounts.editor назначается на платежный аккаунт. Позволяет получать счета на оплату, активировать промокоды, привязывать облака и сервисы к платежному аккаунту, создавать экспорт детализации, создавать бюджеты, генерировать акты сверки и резервировать ресурсы.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать и скачивать отчетные (закрывающие) документы;
• генерировать новые акты сверки;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию;
• создавать экспорт детализации;
• создавать бюджеты;
• резервировать потребление ресурсов;
• пополнять лицевой счет с помощью расчетного счета;
• привязывать облака к платежному аккаунту;
• переименовывать платежные аккаунты;
• активировать промокоды.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• создавать записи о клиентах (сабаккаунты);
• просматривать список и данные сабаккаунтов;
• активировать сабаккаунты;
• приостанавливать работу сабаккаунтов;
• возобновлять работу сабаккаунтов;
• привязывать облака к сабаккаунтам;
• просматривать потребление сервисов клиентами;
• просматривать историю начисления рибейта;
• выводить рибейт;
• просматривать присвоенные специализации;
• просматривать список партнерских премий и информацию о них;
• просматривать историю начисления вознаграждений по реферальной программе;
• выводить вознаграждение по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• просматривать список реферальных ссылок;
• создавать реферальные ссылки;
• активировать реферальные ссылки;
• изменять реферальные ссылки.

Включает разрешения, предоставляемые ролью billing.accounts.viewer.

billing.accounts.adminbilling.accounts.admin

Роль billing.accounts.admin назначается на платежный аккаунт и позволяет управлять доступами к платежному аккаунту (кроме роли billing.accounts.owner).

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать информацию о назначенных правах доступа к платежным аккаунтам и изменять такие права доступа (за исключением назначения и отзыва роли billing.accounts.owner);
• просматривать и скачивать отчетные (закрывающие) документы;
• генерировать новые акты сверки;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию;
• создавать экспорт детализации;
• создавать бюджеты;
• резервировать потребление ресурсов;
• пополнять лицевой счет с помощью расчетного счета;
• привязывать облака к платежному аккаунту;
• переименовывать платежные аккаунты;
• активировать промокоды.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• создавать записи о клиентах (сабаккаунты);
• просматривать список и данные сабаккаунтов;
• активировать сабаккаунты;
• приостанавливать работу сабаккаунтов;
• возобновлять работу сабаккаунтов;
• привязывать облака к сабаккаунтам;
• управлять назначенными правами доступа к сабаккаунтам;
• просматривать потребление сервисов клиентами;
• просматривать историю начисления рибейта;
• выводить рибейт;
• просматривать присвоенные специализации;
• просматривать список партнерских премий и информацию о них;
• просматривать историю начисления вознаграждений по реферальной программе;
• выводить вознаграждение по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• просматривать список реферальных ссылок;
• создавать реферальные ссылки;
• активировать реферальные ссылки;
• изменять реферальные ссылки.

Включает разрешения, предоставляемые ролями billing.accounts.editor и billing.partners.editor.

billing.accounts.varWithoutDiscountsbilling.accounts.varWithoutDiscounts

Роль billing.accounts.varWithoutDiscounts назначается на платежный аккаунт. Предоставляет партнерским аккаунтам все права администратора, кроме возможности получать информацию о скидках.

В сервисе Yandex Cloud Billing пользователи с этой ролью могут:

• показывать платежные аккаунты в списке всех аккаунтов;
• просматривать данные платежных аккаунтов;
• просматривать информацию о назначенных правах доступа к платежным аккаунтам;
• просматривать и скачивать отчетные (закрывающие) документы;
• генерировать новые акты сверки;
• просматривать и скачивать сгенерированные акты сверки;
• получать и просматривать уведомления о потреблении;
• проверять расходы;
• просматривать детализацию;
• создавать экспорт детализации;
• создавать бюджеты;
• резервировать потребление ресурсов;
• пополнять лицевой счет с помощью расчетного счета;
• привязывать облака к платежному аккаунту;
• переименовывать платежные аккаунты;
• активировать промокоды.

На партнерском портале Yandex Cloud пользователи с этой ролью могут:

• создавать записи о клиентах (сабаккаунты);
• просматривать список и данные сабаккаунтов;
• активировать сабаккаунты;
• приостанавливать работу сабаккаунтов;
• возобновлять работу сабаккаунтов;
• привязывать облака к сабаккаунтам;
• управлять назначенными правами доступа к сабаккаунтам;
• просматривать потребление сервисов клиентами;
• просматривать историю начисления рибейта;
• выводить рибейт;
• просматривать историю начисления вознаграждений по реферальной программе;
• выводить вознаграждение по реферальной программе;
• просматривать статус расчетов с компанией-реферером;
• создавать реферальные ссылки;
• активировать реферальные ссылки;
• изменять реферальные ссылки.

Включает разрешения, предоставляемые ролью billing.partners.editor.

billing.partners.editorbilling.partners.editor

Роль billing.partners.editor назначается на платежный аккаунт и дает право редактировать информацию о партнере и его продуктах в партнерском каталоге.

Подробнее см. Управление доступом в сервисе Yandex Cloud Billing.

Yandex Cloud CDNYandex Cloud CDN

cdn.viewercdn.viewer

Роль cdn.viewer позволяет просматривать информацию о каталоге, группах источников, CDN-ресурсах и квотах сервиса Cloud CDN.

cdn.editorcdn.editor

Роль cdn.editor позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о группах источников, а также создавать, изменять и удалять их;
• просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
• управлять выгрузкой логов запросов к CDN-серверам;
• управлять экранированием источников;
• просматривать информацию о квотах сервиса Cloud CDN;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cdn.viewer.

cdn.admincdn.admin

Роль cdn.admin позволяет управлять ресурсами сервиса Cloud CDN, а также просматривать информацию о квотах сервиса и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о группах источников, а также создавать, изменять и удалять их;
• просматривать информацию о CDN-ресурсах, а также создавать, изменять и удалять их;
• управлять выгрузкой логов запросов к CDN-серверам;
• управлять экранированием источников;
• просматривать информацию о квотах сервиса Cloud CDN;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью cdn.editor.

Позже роль получит дополнительные возможности.

Подробнее см. Управление доступом в Cloud CDN.

Yandex Cloud DesktopYandex Cloud Desktop

vdi.viewervdi.viewer

Роль vdi.viewer позволяет использовать рабочие столы, а также просматривать информацию о рабочих столах и группах рабочих столов.

Пользователи с этой ролью могут:

• просматривать информацию о группах рабочих столов и назначенных правах доступа к таким группам;
• просматривать информацию о рабочих столах и использовать их;
• просматривать информацию о квотах сервиса Cloud Desktop.

vdi.editorvdi.editor

Роль vdi.editor позволяет управлять группами рабочих столов и рабочими столами, а также использовать рабочие столы.

Пользователи с этой ролью могут:

• просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы;
• просматривать информацию о назначенных правах доступа к группам рабочих столов;
• просматривать информацию о рабочих столах и использовать их;
• создавать, изменять, запускать, перезапускать, останавливать и удалять рабочие столы;
• просматривать информацию о квотах сервиса Cloud Desktop.

Включает разрешения, предоставляемые ролью vdi.viewer.

vdi.adminvdi.admin

Роль vdi.admin позволяет управлять группами рабочих столов и доступом к ним, а также управлять рабочими столами и использовать их.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к группам рабочих столов, а также изменять такие права доступа;
• просматривать информацию о группах рабочих столов, а также создавать, изменять и удалять такие группы;
• просматривать информацию о рабочих столах и использовать их;
• создавать, изменять, запускать, перезапускать, останавливать и удалять рабочие столы;
• просматривать информацию о квотах сервиса Cloud Desktop;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vdi.editor.

Подробнее см. Управление доступом в Yandex Cloud Desktop.

Yandex Cloud DNSYandex Cloud DNS

dns.auditordns.auditor

Роль dns.auditor позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, а также о каталоге и квотах сервиса Cloud DNS. Роль не дает доступа к ресурсным записям.

dns.viewerdns.viewer

Роль dns.viewer позволяет просматривать информацию о DNS-зонах и назначенных правах доступа к ним, о ресурсных записях, а также о каталоге и квотах сервиса Cloud DNS.

Включает разрешения, предоставляемые ролью dns.auditor.

dns.editordns.editor

Роль dns.editor позволяет управлять DNS-зонами и ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.

Пользователи с этой ролью могут:

• просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
• просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
• создавать вложенные публичные DNS-зоны;
• просматривать информацию о назначенных правах доступа к DNS-зонам;
• просматривать информацию о квотах сервиса Cloud DNS;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dns.viewer.

dns.admindns.admin

Роль dns.admin позволяет управлять DNS-зонами и доступом к ним, ресурсными записями, а также просматривать информацию о каталоге и квотах сервиса Cloud DNS.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к DNS-зонам, а также создавать, изменять и удалять такие права доступа;
• просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
• просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
• создавать вложенные публичные DNS-зоны;
• просматривать информацию о квотах сервиса Cloud DNS;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dns.editor.

Подробнее см. Управление доступом в Cloud DNS.

Yandex Cloud FunctionsYandex Cloud Functions

functions.auditorfunctions.auditor

Роль functions.auditor позволяет просматривать информацию о функциях, триггерах и подключениях к управляемым БД.

Пользователи с этой ролью могут:

• просматривать список функций и информацию о них;
• просматривать список триггеров и информацию о них;
• просматривать список подключений к БД и информацию о таких подключениях;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions.

functions.viewerfunctions.viewer

Роль functions.viewer позволяет просматривать информацию о функциях, в том числе код и переменные окружения версий функций, а также информацию о триггерах и подключениях к управляемым БД.

Пользователи с этой ролью могут:

• просматривать список функций и информацию о них;
• просматривать переменные окружения и программный код версий функций;
• просматривать список триггеров и информацию о них;
• просматривать список подключений к БД и информацию о таких подключениях;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
• просматривать информацию о квотах сервиса Cloud Functions;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.auditor.

functions.functionInvokerfunctions.functionInvoker

Роль functions.functionInvoker позволяет вызывать функции.

functions.editorfunctions.editor

Роль functions.editor позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД.

Пользователи с этой ролью могут:

• просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
• просматривать переменные окружения и программный код версий функций;
• просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
• просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
• создавать, изменять и удалять API-шлюзы;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions;
• просматривать информацию о квотах сервиса Cloud Functions;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.viewer.

functions.mdbProxiesUserfunctions.mdbProxiesUser

Роль functions.mdbProxiesUser позволяет подключаться к управляемым БД из функций.

functions.adminfunctions.admin

Роль functions.admin позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
• просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
• просматривать переменные окружения и программный код версий функций;
• просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
• просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
• создавать, изменять и удалять API-шлюзы;
• просматривать информацию о квотах сервиса Cloud Functions;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью functions.editor.

serverless.mdbProxies.userserverless.mdbProxies.user

Роль serverless.mdbProxies.user позволяет подключаться к управляемым БД из функций Cloud Functions.

Эта роль недоступна. Используйте роль functions.mdbProxiesUser.

serverless.functions.invokerserverless.functions.invoker

Роль serverless.functions.invoker позволяет вызывать функции.

Эта роль недоступна. Используйте роль functions.functionInvoker.

serverless.functions.adminserverless.functions.admin

Роль serverless.functions.admin позволяет управлять функциями, триггерами, API-шлюзами и подключениями к управляемым БД, а также доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Functions и изменять права доступа;
• просматривать список функций и информацию о них, а также создавать функции и их версии, изменять, вызывать и удалять функции;
• просматривать переменные окружения и программный код версий функций;
• просматривать список триггеров и информацию о них, а также создавать, останавливать, запускать, изменять и удалять триггеры;
• просматривать список подключений к базам данных и информацию о таких подключениях, а также создавать, изменять и удалять подключения к БД и подключаться к БД из функций;
• просматривать список API-шлюзов и информацию о них, а также создавать, изменять и удалять API-шлюзы;
• просматривать информацию о квотах сервиса Cloud Functions;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль functions.admin.

Подробнее см. Управление доступом в Cloud Functions.

Yandex Cloud LoggingYandex Cloud Logging

logging.viewerlogging.viewer

Роль logging.viewer позволяет просматривать информацию о лог-группах, приемниках логов и назначенных правах доступа к ним, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию об облаке и каталоге.

logging.editorlogging.editor

Роль logging.editor позволяет просматривать информацию о ресурсах сервиса и управлять ими.

Пользователи с этой ролью могут:

• просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
• просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.readerlogging.reader

Роль logging.reader позволяет просматривать записи в лог-группах и информацию о ресурсах сервиса, а также метаинформацию облака и каталога.

Пользователи с этой ролью могут:

• просматривать записи в лог-группах;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.writerlogging.writer

Роль logging.writer позволяет добавлять записи в лог-группы и просматривать информацию о ресурсах сервиса, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• добавлять записи в лог-группы;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью logging.viewer.

logging.adminlogging.admin

Роль logging.admin позволяет управлять ресурсами сервиса и доступом к ним, а также просматривать и добавлять записи в лог-группы.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging и изменять такие права доступа;
• просматривать информацию о лог-группах, а также создавать, изменять, удалять и использовать их;
• просматривать информацию о приемниках логов, а также создавать, изменять, удалять и использовать их;
• просматривать информацию о выгрузках логов, запускать выгрузку, а также создавать, изменять и удалять файлы выгрузки;
• просматривать и добавлять записи в лог-группы;
• просматривать информацию о квотах сервиса Cloud Logging.
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.editor, logging.reader и logging.writer.

Подробнее см. Управление доступом в Cloud Logging.

Yandex Cloud MarketplaceYandex Cloud Marketplace

Роли партнераРоли партнера

marketplace.meteringAgentmarketplace.meteringAgent

Роль marketplace.meteringAgent позволяет регистрировать потребление продуктов Marketplace.

Роль позволяет партнеру:

• авторизовывать приложения в Metering API;
• отслеживать установленные метрики приложений, чтобы тарифицировать их потребление.

Роль можно назначить на сервисный аккаунт, от имени которого отправляются метрики потребления.

license-manager.saasSubscriptionSupervisorlicense-manager.saasSubscriptionSupervisor

Роль license-manager.saasSubscriptionSupervisor позволяет просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам, а также создавать такие привязки.

Роль предназначена для продуктов SaaS и может быть назначена на сервисный аккаунт, от имени которого будут создаваться привязки к ресурсам, приложениям или сервисам.

marketplace.product.creatormarketplace.product.creator

Роль marketplace.product.creator позволяет создавать продукты Marketplace в профиле партнера и управлять доступом к таким продуктам.

marketplace.product.adminmarketplace.product.admin

Роль marketplace.product.admin позволяет управлять продуктами Marketplace и доступом к ним, а также их версиями, тарифами, пробными периодами, формами и заявками на модерацию.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
• просматривать информацию о продуктах, а также создавать и изменять их;
• просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
• просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
• просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
• просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
• просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
• просматривать список категорий продуктов.

marketplace.publishers.reportViewermarketplace.publishers.reportViewer

Роль marketplace.publishers.reportViewer позволяет просматривать отчеты по продуктам Marketplace в профиле партнера.

marketplace.publishers.viewermarketplace.publishers.viewer

Роль marketplace.publishers.viewer позволяет просматривать информацию о профиле партнера и продуктах Marketplace в нем, а также обращаться в техническую поддержку.

Пользователи с этой ролью могут:

• просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
• просматривать список версий продуктов партнера и информацию о таких версиях;
• просматривать список заявок на модерацию продуктов партнера и информацию о таких заявках;
• создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролью marketplace.publishers.member.

marketplace.publishers.editormarketplace.publishers.editor

Роль marketplace.publishers.editor позволяет управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также обращаться в техническую поддержку.

Пользователи с этой ролью могут:

• просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
• просматривать информацию о продуктах, а также создавать и изменять их;
• просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
• просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
• просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
• просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
• просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
• просматривать список категорий продуктов;
• создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролями marketplace.publishers.viewer и marketplace.product.admin.

marketplace.publishers.adminmarketplace.publishers.admin

Роль marketplace.publishers.admin позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.

Пользователи с этой ролью могут:

• просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
• просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
• просматривать информацию о продуктах, а также создавать и изменять их;
• просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
• просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
• просматривать информацию о пробных периодах продуктов, а также создавать, изменять и удалять пробные периоды;
• просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
• просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
• просматривать список категорий продуктов;
• просматривать отчеты по продуктам Marketplace в профиле партнера;
• создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролями marketplace.publishers.editor и marketplace.publishers.reportViewer.

marketplace.publishers.ownermarketplace.publishers.owner

Роль marketplace.publishers.owner позволяет управлять доступом к профилю партнера, управлять продуктами Marketplace и доступом к ним, их версиями, тарифами, пробными периодами, формами и заявками на модерацию, а также просматривать отчеты по продуктам Marketplace в профиле партнера.

Роль выдается владельцу платежного аккаунта при создании профиля партнера и не может быть переназначена.

Пользователи с этой ролью могут:

• просматривать список доступных профилей партнера, информацию о них и о назначенных правах доступа к ним, а также изменять такие права доступа;
• просматривать информацию о назначенных правах доступа к продуктам, а также изменять такие права доступа;
• просматривать информацию о продуктах, а также создавать и изменять их;
• просматривать список версий продуктов и информацию о них, а также создавать, изменять и удалять версии продуктов;
• просматривать список тарифов на продукты и информацию о тарифах, а также создавать и редактировать тарифы;
• просматривать список пробных периодов продуктов и информацию о них, а также создавать, изменять и удалять пробные периоды;
• просматривать список заявок на модерацию продуктов и информацию о таких заявках, а также создавать, изменять, применять и удалять их;
• просматривать список форм продуктов и информацию о них, а также создавать, изменять и удалять формы продуктов;
• просматривать список категорий продуктов;
• просматривать отчеты по продуктам Marketplace в профиле партнера;
• создавать обращения в техническую поддержку, просматривать их и оставлять в них комментарии, а также закрывать такие обращения.

Включает разрешения, предоставляемые ролью marketplace.publishers.admin.

marketplace.publishers.membermarketplace.publishers.member

Роль marketplace.publishers.member предоставляет права участника профиля партнера, но не дает доступа к ресурсам профиля. Чтобы предоставить пользователю доступ к продуктам или отчетам в профиле партнера, дополнительно назначьте ему роль marketplace.publishers.viewer, marketplace.publishers.editor, marketplace.publishers.admin или marketplace.publishers.owner.

Подробнее см. Управление доступом партнера в Marketplace.

Роли пользователяРоли пользователя

license-manager.auditorlicense-manager.auditor

Роль license-manager.auditor позволяет просматривать информацию о подписках.

license-manager.viewerlicense-manager.viewer

Роль license-manager.viewer позволяет просматривать информацию о подписках и их привязках к ресурсу, приложению или сервису.

Включает разрешения, предоставляемые ролью license-manager.auditor.

license-manager.userlicense-manager.user

Роль license-manager.user позволяет управлять подписками, а также просматривать информацию о них и их привязках к ресурсам, приложениям или сервисам.

Пользователи с этой ролью могут:

• просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам;
• покупать подписки;
• отключать автопродление подписок;
• привязывать подписки к ресурсам, приложениям или сервисам и отвязывать подписки от них;
• перемещать подписки между каталогами.

Включает разрешения, предоставляемые ролью license-manager.viewer.

license-manager.subscriptionAgentlicense-manager.subscriptionAgent

Роль license-manager.subscriptionAgent позволяет привязывать подписки к ресурсам, приложениям или сервисам, а также просматривать информацию о подписках и их привязках к ресурсам, приложениям или сервисам.

Подробнее см. Управление доступом пользователя в Marketplace.

Yandex Cloud OrganizationYandex Cloud Organization

organization-manager.viewerorganization-manager.viewer

Роль organization-manager.viewer позволяет просматривать информацию об организации, о входящих в нее пользователях и группах пользователей, а также о настройках OS Login.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к организации;
• просматривать список пользователей организации;
• просматривать список групп, в которые входят пользователи;
• просматривать информацию о настройках OS Login и список профилей OS Login пользователей организации;
• просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
• просматривать информацию о действующем тарифном плане технической поддержки.

Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer.

organization-manager.adminorganization-manager.admin

Роль organization-manager.admin позволяет управлять настройками организации, пользователями организации и их группами, а также правами доступа пользователей к организации и ресурсам в ней.

Пользователи с этой ролью могут:

• привязывать платежный аккаунт к организации;
• просматривать информацию о назначенных правах доступа к организации и к группам пользователей организации, а также изменять такие права доступа;
• просматривать список групп пользователей организации и информацию о таких группах, а также просматривать и изменять списки пользователей, входящих в группы;
• настраивать сопоставление групп пользователей;
• просматривать список пользователей организации и удалять пользователей из организации;
• просматривать информацию об отправленных пользователям приглашениях в организацию, а также отправлять и удалять такие приглашения;
• просматривать информацию о настройках OS Login организации и изменять такие настройки;
• просматривать список профилей OS Login пользователей организации, а также создавать, изменять и удалять профили OS Login;
• просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей;
• просматривать информацию о действующем тарифном плане технической поддержки.

Включает разрешения, предоставляемые ролями organization-manager.viewer и organization-manager.osLogins.admin.

organization-manager.organizations.ownerorganization-manager.organizations.owner

Роль organization-manager.organizations.owner позволяет совершать любые действия с любыми ресурсами в организации и с платежными аккаунтами, в том числе создавать платежные аккаунты и привязывать их к облакам. Роль также позволяет назначать дополнительных владельцев организации.

Прежде чем назначить эту роль, ознакомьтесь с информацией о защите привилегированных аккаунтов.

organization-manager.federations.viewerorganization-manager.federations.viewer

Роль organization-manager.federations.viewer позволяет просматривать информацию об организации и ее настройках, информацию о федерациях удостоверений и сертификатах, а также списки сопоставлений групп пользователей и информацию о таких сопоставлениях.

organization-manager.federations.userAdminorganization-manager.federations.userAdmin

Роль organization-manager.federations.userAdmin позволяет добавлять федеративных пользователей в организацию и удалять их, просматривать список пользователей организации, а также атрибуты федеративных пользователей.

organization-manager.federations.adminorganization-manager.federations.admin

Роль organization-manager.federations.admin позволяет создавать, изменять и удалять федерации удостоверений, сертификаты и федеративных пользователей, просматривать настройки организации и информацию о сопоставлении групп пользователей.

Пользователи с этой ролью могут:

• просматривать информацию об организации и ее настройках;
• просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять федерации удостоверений;
• просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
• просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
• создавать и удалять федеративных пользователей.

Включает разрешения, предоставляемые ролью organization-manager.federations.viewer.

organization-manager.osLogins.viewerorganization-manager.osLogins.viewer

Роль organization-manager.osLogins.viewer позволяет просматривать информацию о настройках OS Login организации и список профилей OS Login пользователей организации, а также просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах.

organization-manager.osLogins.adminorganization-manager.osLogins.admin

Роль organization-manager.osLogins.admin позволяет управлять настройками OS Login организации, а также профилями OS Login и SSH-ключами пользователей организации.

Пользователи с этой ролью могут:

• просматривать информацию о настройках OS Login организации и изменять такие настройки;
• просматривать список профилей OS Login пользователей организации, а также создавать, изменять и удалять профили OS Login;
• просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей.

Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer.

organization-manager.groups.memberAdminorganization-manager.groups.memberAdmin

Роль organization-manager.groups.memberAdmin позволяет просматривать информацию о группах пользователей, настраивать сопоставление групп пользователей, а также просматривать и изменять списки пользователей, входящих в группы.

organization-manager.users.viewerorganization-manager.users.viewer

Роль organization-manager.users.viewer позволяет просматривать список пользователей организации и информацию о них, а также атрибуты федеративных пользователей.

Подробнее см. Управление доступом в Yandex Cloud Organization.

Yandex Cloud PostboxYandex Cloud Postbox

postbox.senderpostbox.sender

Роль postbox.sender позволяет отправлять письма из Yandex Cloud Postbox.

postbox.auditorpostbox.auditor

Роль postbox.auditor позволяет просматривать информацию об адресах Yandex Cloud Postbox.

Пользователи с этой ролью могут:

• просматривать информацию об адресах и их конфигурациях;
• получать списки адресов и их конфигураций.

postbox.viewerpostbox.viewer

Роль postbox.viewer позволяет просматривать информацию об адресах Yandex Cloud Postbox.

Пользователи с этой ролью могут:

• просматривать информацию об адресах и их конфигурациях;
• получать списки адресов и их конфигураций.

Включает разрешения, предоставляемые ролью postbox.auditor.

postbox.editorpostbox.editor

Роль postbox.editor позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.

Пользователи с этой ролью могут:

• создавать, изменять и удалять адреса и их конфигурации;
• просматривать информацию об адресах и их конфигурациях;
• получать список адресов и их конфигураций;
• отправлять письма.

Включает разрешения, предоставляемые ролью postbox.viewer.

postbox.adminpostbox.admin

Роль postbox.admin позволяет управлять адресами Yandex Cloud Postbox и отправлять письма.

Пользователи с этой ролью могут:

• создавать, изменять и удалять адреса и их конфигурации;
• просматривать информацию об адресах и их конфигурациях;
• получать список адресов и их конфигураций;
• отправлять письма.

Включает разрешения, предоставляемые ролью postbox.editor.

Подробнее см. Управление доступом в Yandex Cloud Postbox.

Yandex Cloud VideoYandex Cloud Video

video.auditorvideo.auditor

Роль video.auditor позволяет просматривать информацию о ресурсах сервиса Cloud Video и их параметрах.

video.viewervideo.viewer

Роль video.viewer позволяет просматривать информацию о ресурсах сервиса Cloud Video и их параметрах.

Включает разрешения, предоставляемые ролью video.auditor.

video.editorvideo.editor

Роль video.editor позволяет управлять ресурсами сервиса Cloud Video, а также выполнять трансляцию видеопотока.

Пользователи с этой ролью могут:

• просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
• выполнять трансляцию видеопотока Cloud Video в прямом эфире.

Включает разрешения, предоставляемые ролью video.viewer.

video.adminvideo.admin

Роль video.admin позволяет управлять ресурсами сервиса Cloud Video и доступом к ним.

Пользователи с этой ролью могут:

• управлять доступом других пользователей к ресурсам сервиса Cloud Video;
• просматривать информацию о ресурсах сервиса Cloud Video и их настройках, а также создавать, изменять и удалять такие ресурсы;
• выполнять трансляцию видеопотока Cloud Video в прямом эфире.

Включает разрешения, предоставляемые ролью video.editor.

Yandex Compute CloudYandex Compute Cloud

compute.auditorcompute.auditor

Роль compute.auditor позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также об объеме использованных ресурсов и квот. Не позволяет получать доступ к последовательному порту или серийной консоли виртуальных машин.

Пользователи с этой ролью могут:

• просматривать список виртуальных машин и информацию о них;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать список групп размещения виртуальных машин и информацию о них;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов и информацию о них;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в такие кластеры;
• просматривать список дисков и информацию о них;
• просматривать список файловых хранилищ и информацию о них;
• просматривать список групп размещения нереплицируемых дисков и информацию о них;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов и информацию о них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков и информацию о них;
• просматривать информацию о расписаниях создания снимков дисков;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности и информацию о них.

compute.viewercompute.viewer

Роль compute.viewer позволяет просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот. Роль также предоставляет доступ к метаданным и выводу последовательного порта виртуальных машин.

Пользователи с этой ролью могут:

• просматривать вывод последовательного порта виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.auditor.

compute.editorcompute.editor

Роль compute.editor позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud.

Пользователи с этой ролью могут:

• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать кластеры GPU, а также создавать, изменять и удалять их;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
• создавать зашифрованные диски;
• просматривать и обновлять ссылки на диски;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
• создавать, изменять и удалять семейства образов, обновлять образы в них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
• просматривать информацию об облачных сетях и использовать их;
• просматривать информацию о подсетях и использовать их;
• просматривать информацию об адресах облачных ресурсов и использовать их;
• просматривать информацию о таблицах маршрутизации и использовать их;
• просматривать информацию о группах безопасности и использовать их;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию о доступных платформах и использовать их;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.viewer, compute.osLogin и vpc.user.

compute.admincompute.admin

Роль compute.admin позволяет управлять виртуальными машинами, группами виртуальных машин, дисками, образами, кластерами GPU и другими ресурсами сервиса Compute Cloud, а также доступом к ним.

Пользователи с этой ролью могут:

• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины, а также управлять доступом к ним;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login при помощи SSH-сертификатов или SSH-ключей с возможностью выполнять команды от имени суперпользователя (sudo);
• использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин, а также управлять доступом к группам виртуальных машин;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• использовать, создавать, изменять и удалять группы размещения виртуальных машин, а также управлять доступом к группам размещения виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки виртуальных машин, входящих в группы размещения;
• использовать, создавать, изменять и удалять группы выделенных хостов, а также управлять доступом к группам выделенных хостов;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать, создавать, изменять и удалять кластеры GPU, а также управлять доступом к ним;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• использовать, создавать, изменять, переносить и удалять диски, а также управлять доступом к ним;
• создавать зашифрованные диски;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать и обновлять ссылки на диски;
• использовать, создавать, изменять и удалять файловые хранилища, а также управлять доступом к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков, а также управлять доступом к группам размещения нереплицируемых дисков;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• использовать, создавать, изменять и удалять образы, а также управлять доступом к ним;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• создавать, изменять, удалять семейства образов и обновлять образы в них, а также управлять доступом к семействам образов;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• использовать, создавать, изменять и удалять снимки дисков, а также управлять доступом к снимкам дисков;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• создавать, изменять и удалять расписания создания снимков дисков, а также управлять доступом к расписаниям;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать информацию об облачных сетях и использовать их;
• просматривать информацию о подсетях и использовать их;
• просматривать информацию об адресах облачных ресурсов и использовать их;
• просматривать информацию о таблицах маршрутизации и использовать их;
• просматривать информацию о группах безопасности и использовать их;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию о доступных платформах и использовать их;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями compute.editor и compute.osAdminLogin.

compute.osLogincompute.osLogin

Роль compute.osLogin позволяет подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей.

compute.osAdminLogincompute.osAdminLogin

Роль compute.osAdminLogin позволяет подключаться к виртуальным машинам при помощи SSH-сертификатов или SSH-ключей через OS Login с возможностью выполнять команды от имени суперпользователя (sudo).

compute.disks.usercompute.disks.user

Роль compute.disks.user позволяет просматривать список дисков и информацию о них, а также использовать диски для создания новых ресурсов, например виртуальных машин.

compute.images.usercompute.images.user

Роль compute.images.user позволяет просматривать список образов и информацию о них, получать информацию о наиболее актуальном образе в семействе образов, а также использовать образы для создания новых ресурсов, например виртуальных машин.

compute.operatorcompute.operator

Роль compute.operator позволяет запускать и останавливать виртуальные машины и группы виртуальных машин, а также просматривать информацию о ресурсах сервиса Compute Cloud и операциях с ними, а также о назначенных правах доступа к ресурсам сервиса и об объеме использованных ресурсов и квот.

Пользователи с этой ролью могут:

• запускать, перезапускать и останавливать виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• запускать и останавливать группы виртуальных машин;
• просматривать список групп виртуальных машин и информацию о них;
• просматривать вывод последовательного порта виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот сервиса Compute Cloud, о лимитах дисков;
• просматривать списки операций с ресурсами сервиса Compute Cloud, а также информацию об этих операциях;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах;
• просматривать информацию о доступных платформах;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролью compute.viewer.

compute.snapshotSchedules.viewercompute.snapshotSchedules.viewer

Роль compute.snapshotSchedules.viewer позволяет просматривать информацию о создании снимков дисков по расписаниям.

Пользователи с этой ролью могут:

• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям;
• просматривать списки дисков;
• просматривать списки снимков дисков;
• просматривать список операций со снимками дисков.

compute.snapshotSchedules.editorcompute.snapshotSchedules.editor

Роль compute.snapshotSchedules.editor позволяет создавать, изменять и удалять расписания создания снимков дисков, создавать и удалять снимки дисков, а также просматривать информацию об операциях со снимками дисков.

Пользователи с этой ролью могут:

• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять расписания;
• просматривать списки дисков и использовать диски для создания снимков;
• просматривать списки снимков дисков, создавать и удалять снимки;
• просматривать список операций со снимками дисков и информацию об этих операциях.

Включает разрешения, предоставляемые ролью compute.snapshotSchedules.viewer.

Подробнее см. Управление доступом в Compute Cloud.

Yandex Connection ManagerYandex Connection Manager

connection-manager.auditorconnection-manager.auditor

Роль connection-manager.auditor позволяет просматривать несекретную информацию о подключениях и назначенных правах доступа к ним. Если роль выдана на облако, то она позволяет просматривать квоты сервиса Connection Manager.

connection-manager.viewerconnection-manager.viewer

Роль connection-manager.viewer позволяет просматривать информацию о подключениях и назначенных правах доступа к ним, а также о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.auditor.

connection-manager.editorconnection-manager.editor

Роль connection-manager.editor позволяет управлять подключениями, а также просматривать информацию о них.

Пользователи с этой ролью могут:

• создавать, использовать, изменять и удалять подключения;
• просматривать информацию о подключениях и назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.viewer.

connection-manager.adminconnection-manager.admin

Роль connection-manager.admin позволяет управлять подключениями и доступом к ним, а также просматривать информацию о подключениях.

Пользователи с этой ролью могут:

• создавать, использовать, изменять и удалять подключения, а также управлять доступом к ним;
• просматривать информацию о подключениях и назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Connection Manager.

Включает разрешения, предоставляемые ролью connection-manager.editor.

Подробнее см. Управление доступом в Connection Manager.

Yandex Container RegistryYandex Container Registry

container-registry.viewercontainer-registry.viewer

Роль container-registry.viewer позволяет просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
• просматривать информацию о репозиториях и назначенных правах доступа к ним;
• просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
• просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
• просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
• просматривать историю сканирования Docker-образов на уязвимости и информацию о результатах такого сканирования;
• просматривать информацию о квотах сервиса Container Registry;
• просматривать информацию об облаке и каталоге.

container-registry.editorcontainer-registry.editor

Роль container-registry.editor позволяет управлять реестрами, Docker-образами, репозиториями и их настройками.

Пользователи с этой ролью могут:

• просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
• просматривать информацию о назначенных правах доступа к реестрам, а также о настройках политик доступа для IP-адресов;
• просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
• просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
• запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
• просматривать информацию о репозиториях и назначенных правах доступа к ним, а также создавать и удалять репозитории;
• просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
• запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
• просматривать информацию о квотах сервиса Container Registry;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.viewer.

container-registry.admincontainer-registry.admin

Роль container-registry.admin позволяет управлять доступом к реестрам и репозиториям, а также управлять реестрами, Docker-образами, репозиториями и их настройками.

Пользователи с этой ролью могут:

• просматривать список реестров и информацию о них, а также создавать, изменять и удалять реестры;
• просматривать информацию о назначенных правах доступа к реестрам и изменять такие права доступа;
• просматривать информацию о настройках политик доступа для IP-адресов и изменять такие настройки;
• просматривать информацию о настройках сканера уязвимостей, а также создавать, изменять и удалять правила сканирования;
• просматривать список Docker-образов в реестре и информацию о них, а также создавать, скачивать, изменять и удалять Docker-образы;
• запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
• просматривать информацию о репозиториях, а также создавать и удалять репозитории;
• просматривать информацию о назначенных правах доступа к репозиториям и изменять такие права доступа;
• просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках, а также создавать, изменять и удалять такие политики;
• запускать тестирование политик автоматического удаления Docker-образов, просматривать список результатов тестирования и информацию о таких результатах;
• просматривать информацию о квотах сервиса Container Registry;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.editor.

container-registry.images.pushercontainer-registry.images.pusher

Роль container-registry.images.pusher позволяет управлять Docker-образами и репозиториями, а также просматривать информацию о Docker-образах, репозиториях и реестрах.

Пользователи с этой ролью могут:

• просматривать список реестров и информацию о них;
• просматривать список Docker-образов в реестре и информацию о них, а также загружать, скачивать, обновлять, и удалять Docker-образы;
• создавать и удалять репозитории.

container-registry.images.pullercontainer-registry.images.puller

Роль container-registry.images.puller позволяет скачивать Docker-образы из реестра и просматривать список реестров и Docker-образов, а также информацию о них.

container-registry.images.scannercontainer-registry.images.scanner

Роль container-registry.images.scanner позволяет сканировать Docker-образы на наличие уязвимостей, а также просматривать информацию о реестрах, Docker-образах и репозиториях, а также об облаке, каталоге и квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список Docker-образов в реестре и информацию о них, а также скачивать Docker-образы из реестра;
• запускать и отменять сканирование Docker-образов на уязвимости, а также просматривать историю сканирования и информацию о его результатах;
• просматривать список реестров и информацию о них и о назначенных правах доступа к ним, а также о настройках политик доступа для IP-адресов и настройках сканера уязвимостей;
• просматривать информацию о репозиториях и назначенных правах доступа к ним;
• просматривать список политик автоматического удаления Docker-образов и информацию о таких политиках;
• просматривать список результатов тестирования политик автоматического удаления Docker-образов и информацию о таких результатах;
• просматривать информацию о квотах сервиса Container Registry;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью container-registry.viewer.

Подробнее см. Управление доступом в Container Registry.

Yandex DataLensYandex DataLens

datalens.workbooks.limitedViewerdatalens.workbooks.limitedViewer

Роль datalens.workbooks.limitedViewer назначается на воркбук и позволяет просматривать вложенные в него чарты и дашборды, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Ограниченный просмотр.

datalens.workbooks.viewerdatalens.workbooks.viewer

Роль datalens.workbooks.viewer назначается на воркбук и позволяет просматривать все вложенные в него объекты, а также информацию о назначенных правах доступа к нему. В интерфейсе DataLens эта роль называется Просмотр.

Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer.

datalens.workbooks.editordatalens.workbooks.editor

Роль datalens.workbooks.editor назначается на воркбук и позволяет редактировать его и все вложенные в него объекты. В интерфейсе DataLens эта роль называется Редактирование.

Пользователи с этой ролью могут:

• редактировать воркбук и создавать его копии;
• просматривать все вложенные в воркбук объекты и редактировать их;
• просматривать информацию о назначенных правах доступа к воркбуку.

Включает разрешения, предоставляемые ролью datalens.workbooks.viewer.

datalens.workbooks.admindatalens.workbooks.admin

Роль datalens.workbooks.admin назначается на воркбук и позволяет управлять им, доступом к нему и всеми вложенными в него объектами. В интерфейсе DataLens эта роль называется Администрирование.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к воркбуку и изменять такие права доступа;
• редактировать, перемещать воркбук, создавать копии и удалять его;
• просматривать все вложенные в воркбук объекты и редактировать их;
• встраивать вложенные в воркбук непубличные объекты на сайты и в приложения;
• публиковать вложенные в воркбук объекты.

Включает разрешения, предоставляемые ролью datalens.workbooks.editor.

datalens.collections.limitedViewerdatalens.collections.limitedViewer

Роль datalens.collections.limitedViewer назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, в том числе просматривать чарты и дашборды вложенных воркбуков. В интерфейсе DataLens эта роль называется Ограниченный просмотр.

Пользователи с этой ролью могут:

• просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
• просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
• просматривать чарты и дашборды, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролью datalens.workbooks.limitedViewer.

datalens.collections.viewerdatalens.collections.viewer

Роль datalens.collections.viewer назначается на коллекцию и позволяет просматривать информацию о ней и вложенных в нее коллекциях и воркбуках, а также просматривать все объекты вложенных воркбуков. В интерфейсе DataLens эта роль называется Просмотр.

Пользователи с этой ролью могут:

• просматривать информацию о текущей коллекции и вложенных в нее воркбуках и коллекциях;
• просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам;
• просматривать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролями datalens.collections.limitedViewer и datalens.workbooks.viewer.

datalens.collections.editordatalens.collections.editor

Роль datalens.collections.editor назначается на коллекцию и позволяет редактировать ее и все вложенные в нее коллекции, воркбуки, а также все объекты в таких воркбуках. В интерфейсе DataLens эта роль называется Редактирование.

Пользователи с этой ролью могут:

• просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
• редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки;
• создавать копии текущей коллекции и всех вложенных в нее коллекций и воркбуков;
• создавать новые коллекции и воркбуки внутри текущей и всех вложенных коллекций;
• просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
• просматривать информацию о назначенных правах доступа к текущей коллекции, а также к вложенным в нее коллекциям и воркбукам.

Включает разрешения, предоставляемые ролями datalens.collections.viewer и datalens.workbooks.editor.

datalens.collections.admindatalens.collections.admin

Роль datalens.collections.admin назначается на коллекцию и позволяет управлять ей, доступом к ней, а также всеми вложенными в нее коллекциями, воркбуками и объектами в таких воркбуках. В интерфейсе DataLens эта роль называется Администрирование.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к текущей коллекции, к вложенным в нее коллекциям и воркбукам, а также изменять такие права доступа;
• просматривать информацию о текущей коллекции и вложенных в нее коллекциях и воркбуках;
• редактировать текущую коллекцию и все вложенные в нее коллекции и воркбуки, а также создавать их копии;
• перемещать и удалять текущую коллекцию и все вложенные в нее коллекции и воркбуки;
• создавать новые коллекции и воркбуки внутри текущей коллекции;
• просматривать и редактировать все объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
• встраивать на сайты и в приложения непубличные объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям;
• публиковать объекты, вложенные в воркбуки, которые относятся к текущей и вложенным коллекциям.

Включает разрешения, предоставляемые ролями datalens.collections.editor и datalens.workbooks.admin.

datalens.visitordatalens.visitor

Роль datalens.visitor предоставляет доступ к сервису DataLens. Просмотр или редактирование воркбуков и коллекций возможны при наличии соответствующих ролей для доступа к этим воркбукам и коллекциям.

datalens.creatordatalens.creator

Роль datalens.creator предоставляет доступ к сервису DataLens с правами на создание воркбуков и коллекций в корне DataLens. Просмотр или редактирование воркбуков и коллекций, созданных другими пользователями, возможны только при наличии прав доступа к этим воркбукам и коллекциям.

Включает разрешения, предоставляемые ролью datalens.visitor.

datalens.admindatalens.admin

Роль datalens.admin предоставляет полный доступ к сервису DataLens и всем воркбукам и коллекциям в нем.

Включает разрешения, предоставляемые ролью datalens.creator.

datalens.instances.userdatalens.instances.user

Роль datalens.instances.user предоставляет доступ к сервису DataLens в качестве пользователя с правами на создание, чтение и изменение объектов согласно правам доступа к ним, а также позволяет просматривать информацию о каталогах.

После назначения сервисной роли вы можете назначить пользователю права доступа к объектам и папкам в сервисе DataLens.

datalens.instances.admindatalens.instances.admin

Роль datalens.instances.admin предоставляет доступ к сервису DataLens в качестве администратора экземпляра DataLens. Администратор получает полные права на все объекты и папки в сервисе DataLens, доступ к настройкам DataLens, а также позволяет просматривать информацию о каталогах.

Включает разрешения, предоставляемые ролью datalens.instances.user.

Подробнее см. Роли в DataLens.

Yandex Data ProcessingYandex Data Processing

dataproc.agentdataproc.agent

Роль dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Proc, сообщать сервису о состоянии хостов кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Proc.

Сервисные аккаунты с этой ролью могут:

• сообщать сервису Yandex Data Proc о состоянии хостов кластера;
• получать информацию о заданиях и статусах их выполнения;
• получать информацию о лог-группах и добавлять в них записи.

Сейчас эту роль можно назначить только на каталог или облако.

dataproc.auditordataproc.auditor

Роль dataproc.auditor позволяет просматривать информацию о кластерах Yandex Data Proc.

dataproc.viewerdataproc.viewer

Роль dataproc.viewer позволяет просматривать информацию о кластерах Yandex Data Proc и заданиях.

dataproc.userdataproc.user

Роль dataproc.user предоставляет доступ к веб-интерфейсам компонентов Yandex Data Proc и позволяет создавать задания, а также позволяет просматривать информацию о кластерах управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Proc и заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Proc;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями dataproc.viewer и mdb.viewer.

dataproc.provisionerdataproc.provisioner

Роль dataproc.provisioner предоставляет доступ к API для создания, изменения и удаления объектов кластеров Yandex Data Proc.

Пользователи с этой ролью могут:

• просматривать информацию о DNS-зонах, а также создавать, использовать, изменять и удалять их;
• просматривать информацию о ресурсных записях, а также создавать, изменять и удалять их;
• создавать вложенные публичные DNS-зоны;
• просматривать информацию о назначенных правах доступа к DNS-зонам;
• просматривать информацию о доступных платформах и использовать их;
• создавать, изменять, запускать, перезапускать, останавливать, переносить и удалять виртуальные машины;
• просматривать список виртуальных машин, информацию о них и о назначенных правах доступа к ним;
• подключать к виртуальным машинам и отключать от них диски, файловые хранилища и сетевые интерфейсы, привязывать группы безопасности к сетевым интерфейсам виртуальных машин;
• создавать виртуальные машины с пользовательскими FQDN, создавать мультиинтерфейсные виртуальные машины;
• привязывать сервисные аккаунты к виртуальным машинам, активировать на виртуальных машинах токен AWS v1;
• просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта;
• использовать последовательный порт виртуальной машины в режиме чтения и записи;
• имитировать события обслуживания виртуальной машины;
• просматривать метаданные виртуальной машины;
• просматривать информацию о статусе настройки доступа по OS Login на виртуальных машинах и подключаться к виртуальным машинам через OS Login с помощью SSH-сертификатов или SSH-ключей;
• просматривать список групп виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, запускать, останавливать и удалять группы виртуальных машин;
• просматривать список групп размещения виртуальных машин, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения виртуальных машин;
• просматривать списки ВМ, входящих в группы размещения;
• просматривать список групп выделенных хостов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы выделенных хостов;
• просматривать списки хостов и виртуальных машин, входящих в группы выделенных хостов;
• изменять запланированное время обслуживания хостов, входящих в группы выделенных хостов;
• использовать кластеры GPU, а также создавать, изменять и удалять их;
• просматривать информацию о кластерах GPU и виртуальных машинах, входящих в кластеры GPU, а также о назначенных правах доступа к таким кластерам;
• просматривать список дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять, переносить и удалять диски;
• создавать зашифрованные диски;
• просматривать и обновлять ссылки на диски;
• просматривать список файловых хранилищ, информацию о них и о назначенных правах доступа к ним, а также использовать файловые хранилища и создавать, изменять и удалять их;
• просматривать список групп размещения нереплицируемых дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять группы размещения нереплицируемых дисков;
• просматривать списки дисков, входящих в группы размещения;
• просматривать список образов, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять образы;
• создавать, изменять и удалять семейства образов, обновлять образы в них;
• просматривать информацию о семействах образов, о входящих в семейства образах, о наиболее актуальном образе в семействе, а также о назначенных правах доступа к семействам образов;
• просматривать список снимков дисков, информацию о них и о назначенных правах доступа к ним, а также использовать, создавать, изменять и удалять снимки дисков;
• просматривать информацию о расписаниях создания снимков дисков и о назначенных правах доступа к расписаниям, а также создавать, изменять и удалять их;
• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о метриках Monitoring и их метках, а также выгружать метрики;
• просматривать список дашбордов и виджетов Monitoring, а также информацию о них;
• просматривать историю уведомлений Monitoring;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать в консоли управления информацию об объеме потребления ресурсов и квот Compute Cloud, о лимитах дисков;
• просматривать информацию о квотах сервисов Cloud DNS,
  Virtual Private Cloud, и Monitoring;
• просматривать списки операций с ресурсами сервиса Compute Cloud и информацию об операциях, а также отменять выполнение этих операций;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать список зон доступности, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями iam.serviceAccounts.user, dns.editor, compute.editor, monitoring.viewer и logging.viewer.

dataproc.editordataproc.editor

Роль dataproc.editor позволяет управлять кластерами Yandex Data Proc, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Proc, а также создавать, изменять, запускать останавливать и удалять такие кластеры;
• просматривать информацию о заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Proc;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dataproc.user.

dataproc.admindataproc.admin

Роль dataproc.admin позволяет управлять кластерами Yandex Data Proc, запускать задания и просматривать информацию о них, а также предоставляет доступ к веб-интерфейсам компонентов сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Yandex Data Proc, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
• просматривать информацию о заданиях, а также создавать задания;
• использовать веб-интерфейс для доступа к компонентам Yandex Data Proc;
• просматривать информацию о кластерах ClickHouse®, Greenplum®, Apache Kafka®, MongoDB, MySQL®, PostgreSQL, Redis, OpenSearch и SQL Server;
• просматривать информацию о хостах кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о резервных копиях БД кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о пользователях кластеров MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию о базах данных MongoDB, MySQL®, PostgreSQL и SQL Server;
• просматривать информацию об алертах MongoDB, MySQL®, PostgreSQL и Redis;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®, MongoDB, MySQL® и PostgreSQL;
• просматривать информацию о шардах кластеров MongoDB и Redis;
• просматривать логи работы кластеров Greenplum®, MongoDB, MySQL®, PostgreSQL, Redis и SQL Server;
• просматривать информацию о квотах сервисов Managed Service for ClickHouse®, Managed Service for Apache Kafka®, Managed Service for OpenSearch, Managed Service for Greenplum®, Managed Service for MongoDB, Managed Service for MySQL®, Managed Service for PostgreSQL, Managed Service for Redis и SQL Server;
• просматривать информацию об операциях с ресурсами всех сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью dataproc.editor.

mdb.dataproc.agentmdb.dataproc.agent

Роль mdb.dataproc.agent позволяет сервисному аккаунту, привязанному к кластеру Yandex Data Proc, сообщать сервису о состоянии хостов кластера.

Сервисные аккаунты с этой ролью могут:

• сообщать сервису Yandex Data Proc о состоянии хостов кластера;
• получать информацию о заданиях и статусах их выполнения;
• получать информацию о лог-группах и добавлять в них записи.

Роль назначается сервисному аккаунту, привязанному к кластеру Yandex Data Proc.

Эта роль недоступна. Используйте роль dataproc.agent.

managed-metastore.auditormanaged-metastore.auditor

Роль managed-metastore.auditor позволяет просматривать информацию о кластерах Hive Metastore и квотах сервисов управляемых баз данных Yandex Cloud.

managed-metastore.viewermanaged-metastore.viewer

Роль managed-metastore.viewer позволяет просматривать информацию о кластерах Hive Metastore и логи их работы, а также информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Hive Metastore;
• просматривать логи кластеров Hive Metastore;
• просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.auditor.

managed-metastore.editormanaged-metastore.editor

Роль managed-metastore.editor позволяет управлять кластерами Hive Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Hive Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
• экспортировать и импортировать кластеры Hive Metastore;
• просматривать логи кластеров Hive Metastore;
• просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.viewer.

Для создания кластеров дополнительно необходима роль vpc.user.

managed-metastore.adminmanaged-metastore.admin

Роль managed-metastore.admin позволяет управлять кластерами Hive Metastore, а также просматривать логи их работы и информацию о квотах сервисов управляемых баз данных Yandex Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Hive Metastore, а также создавать, изменять, запускать, останавливать и удалять такие кластеры;
• экспортировать и импортировать кластеры Hive Metastore;
• просматривать логи кластеров Hive Metastore;
• просматривать информацию о квотах сервисов управляемых баз данных Yandex Cloud;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью managed-metastore.editor.

Для создания кластеров дополнительно необходима роль vpc.user.

managed-metastore.integrationProvidermanaged-metastore.integrationProvider

Роль managed-metastore.integrationProvider позволяет кластеру Hive Metastore взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Hive Metastore.

Пользователи с этой ролью могут:

• добавлять записи в лог-группы;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
• просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
• просматривать историю уведомлений Monitoring;
• просматривать информацию о квотах сервиса Monitoring;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer и monitoring.editor.

Подробнее см. Управление доступом в Yandex Data Processing.

Yandex DataSphereYandex DataSphere

datasphere.community-projects.viewerdatasphere.community-projects.viewer

Роль datasphere.community-projects.viewer позволяет просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.viewer имеют роль Viewer на вкладке Участники на странице проекта.

datasphere.community-projects.developerdatasphere.community-projects.developer

Роль datasphere.community-projects.developer позволяет работать в проектах и управлять ресурсами, которые закреплены за проектами.

Пользователи с этой ролью могут:

• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
• создавать, изменять и удалять ресурсы в проектах;
• запускать IDE и исполнение ячеек с кодом в проектах;
• просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.developer имеют роль Developer на вкладке Участники на странице проекта.

datasphere.community-projects.editordatasphere.community-projects.editor

Роль datasphere.community-projects.editor позволяет работать в проектах, изменять и удалять их, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
• создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
• запускать IDE и исполнение ячеек с кодом в проектах;
• просматривать информацию о назначенных правах доступа к проектам.

Включает разрешения, предоставляемые ролью datasphere.community-projects.developer.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.editor имеют роль Editor на вкладке Участники на странице проекта.

datasphere.community-projects.admindatasphere.community-projects.admin

Роль datasphere.community-projects.admin позволяет управлять доступом к проектам, работать в них, изменять и удалять проекты, а также управлять ресурсами, которые закреплены за проектами, и делиться такими ресурсами в сообществе.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также изменять и удалять проекты;
• создавать, изменять и удалять ресурсы в проектах, а также делиться ресурсами этого проекта с сообществами, в которых пользователь имеет роль Developer (datasphere.communities.developer) и выше;
• запускать IDE и исполнение ячеек с кодом в проектах.

Включает разрешения, предоставляемые ролью datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.community-projects.admin имеют роль Admin на вкладке Участники на странице проекта.

datasphere.communities.viewerdatasphere.communities.viewer

Роль datasphere.communities.viewer позволяет просматривать информацию о сообществах и проектах, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать информацию о сообществах и назначенных правах доступа к ним;
• просматривать информацию о проектах сообществ, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
• просматривать информацию об организации.

Включает разрешения, предоставляемые ролью datasphere.community-projects.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.viewer имеют роль Viewer на вкладке Участники на странице сообщества.

datasphere.communities.developerdatasphere.communities.developer

Роль datasphere.communities.developer позволяет создавать новые проекты и публиковать ресурсы проектов в сообществах, а также просматривать информацию о сообществах и проектах.

Пользователи с этой ролью могут:

• просматривать информацию о сообществах и назначенных правах доступа к ним;
• создавать новые проекты в сообществах;
• публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
• просматривать информацию об организации.

Включает разрешения, предоставляемые ролью datasphere.communities.viewer.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.developer имеют роль Developer на вкладке Участники на странице сообщества.

datasphere.communities.editordatasphere.communities.editor

Роль datasphere.communities.editor позволяет привязывать платежный аккаунт к сообществам, удалять сообщества и редактировать их настройки, а также управлять проектами и ресурсами сообществ.

Пользователи с этой ролью могут:

• просматривать информацию о сообществах и назначенных правах доступа к ним, а также изменять и удалять сообщества;
• привязывать платежный аккаунт к сообществам;
• создавать новые проекты в сообществах, а также изменять и удалять проекты;
• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах, а также о назначенных правах доступа к проектам;
• создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer) и выше;
• запускать IDE и исполнение ячеек с кодом в проектах;
• просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.developer и datasphere.community-projects.editor.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.editor имеют роль Editor на вкладке Участники на странице сообщества.

datasphere.communities.admindatasphere.communities.admin

Роль datasphere.communities.admin позволяет управлять сообществами и проектами сообществ, а также доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о сообществах, а также изменять и удалять сообщества;
• просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
• привязывать платежный аккаунт к сообществам;
• создавать новые проекты в сообществах, а также изменять и удалять проекты;
• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
• просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
• создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
• запускать IDE и исполнение ячеек с кодом в проектах;
• просматривать информацию об организации.

Включает разрешения, предоставляемые ролями datasphere.communities.editor и datasphere.community-projects.admin.

В интерфейсе DataSphere пользователи с ролью datasphere.communities.admin имеют роль Admin на вкладке Участники на странице сообщества.

datasphere.userdatasphere.user

Роль datasphere.user позволяет запускать в проектах исполнение ячеек с кодом, просматривать информацию о проектах и квотах сервиса DataSphere, а также об облаке и каталоге.

Роль datasphere.user устарела и больше не используется.

data-sphere.userdata-sphere.user

Роль data-sphere.user устарела и больше не используется.

datasphere.admindatasphere.admin

Роль datasphere.admin позволяет управлять сообществами, проектами сообществ и доступом к ним, а также использовать облачные сети и ресурсы сервиса Virtual Private Cloud.

Пользователи с этой ролью могут:

• просматривать информацию о сообществах, а также изменять и удалять сообщества;
• просматривать информацию о назначенных правах доступа к сообществам и изменять права доступа;
• привязывать платежный аккаунт к сообществам;
• создавать новые проекты в сообществах, а также изменять и удалять проекты;
• просматривать информацию о проектах, настройках проектов и закрепленных за ними ресурсах;
• просматривать информацию о назначенных правах доступа к проектам и изменять права доступа;
• создавать, изменять и удалять ресурсы в проектах, а также публиковать ресурсы проектов в сообществах, в которых пользователь имеет права Developer (роль datasphere.communities.developer и выше);
• запускать IDE и исполнение ячеек с кодом в проектах;
• просматривать список сервисных аккаунтов и использовать их;
• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать информацию о квотах сервисов DataSphere и Virtual Private Cloud;
• просматривать информацию об организации, облаке и каталоге.

Роль datasphere.admin устарела и больше не используется.

data-sphere.admindata-sphere.admin

Роль data-sphere.admin устарела и больше не используется.

Подробнее см. Управление доступом в DataSphere.

Yandex Data StreamsYandex Data Streams

yds.vieweryds.viewer

Пользователь с ролью yds.viewer может читать данные из потоков данных Data Streams и просматривать их настройки. Помимо этого роль yds.viewer включает в себя все разрешения роли ydb.viewer.

yds.writeryds.writer

Роль yds.writer разрешает запись в поток Data Streams.

yds.editoryds.editor

Роль yds.editor разрешает создание, изменение и удаление потока, а также чтение и запись в поток Data Streams.

yds.adminyds.admin

Пользователь с ролью yds.admin может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать потоки данных Data Streams или просматривать информацию о них.

Помимо этого роль yds.admin включает в себя все разрешения роли ydb.admin.

Подробнее см. Управление доступом в Data Streams.

Yandex Data TransferYandex Data Transfer

data-transfer.auditordata-transfer.auditor

Роль data-transfer.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.viewerdata-transfer.viewer

Роль data-transfer.viewer позволяет просматривать информацию о каталоге, эндпоинтах и трансферах, а также о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.auditor.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.privateAdmindata-transfer.privateAdmin

Роль data-transfer.privateAdmin позволяет управлять эндпоинтами и трансферами с передачей данных только в сетях Yandex Cloud, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

• просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных в сетях Yandex Cloud;
• просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты в Yandex Cloud;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.viewer.

Сейчас эту роль можно назначить только на каталог или облако.

data-transfer.admindata-transfer.admin

Роль data-transfer.admin позволяет управлять эндпоинтами и трансферами с передачей данных в сетях Yandex Cloud и через интернет, а также просматривать информацию о каталоге и квотах сервиса Data Transfer.

Пользователи с этой ролью могут:

• просматривать информацию о трансферах, а также создавать, изменять, удалять, активировать, использовать и деактивировать трансферы с передачей данных как в сетях Yandex Cloud, так и через интернет;
• просматривать информацию об эндпоинтах, а также создавать, изменять и удалять эндпоинты как в Yandex Cloud, так и за его пределами;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Data Transfer.

Включает разрешения, предоставляемые ролью data-transfer.privateAdmin.

Сейчас эту роль можно назначить только на каталог или облако.

Подробнее см. Управление доступом в Data Transfer.

Yandex Identity and Access ManagementYandex Identity and Access Management

iam.serviceAccounts.useriam.serviceAccounts.user

Роль iam.serviceAccounts.user позволяет пользователю просматривать список сервисных аккаунтов и информацию о них, а также выполнять операции от имени сервисного аккаунта.

Например, если при создании группы виртуальных машин пользователь укажет сервисный аккаунт, сервис IAM проверяет, что у этого пользователя есть права на использование этого сервисного аккаунта.

iam.serviceAccounts.adminiam.serviceAccounts.admin

Роль iam.serviceAccounts.admin позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.

Пользователи с этой ролью могут:

• просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять сервисные аккаунты;
• просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
• получать IAM-токен для сервисного аккаунта;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
• просматривать информацию о каталоге и его настройки.

iam.serviceAccounts.accessKeyAdminiam.serviceAccounts.accessKeyAdmin

Роль iam.serviceAccounts.accessKeyAdmin позволяет управлять статическими ключами доступа сервисных аккаунтов.

Пользователи с этой ролью могут:

• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
• создавать, изменять и удалять статические ключи доступа сервисных аккаунтов.

iam.serviceAccounts.apiKeyAdminiam.serviceAccounts.apiKeyAdmin

Роль iam.serviceAccounts.apiKeyAdmin позволяет управлять API-ключами сервисных аккаунтов.

Пользователи с этой ролью могут:

• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
• создавать, изменять и удалять API-ключи сервисных аккаунтов.

iam.serviceAccounts.authorizedKeyAdminiam.serviceAccounts.authorizedKeyAdmin

Роль iam.serviceAccounts.authorizedKeyAdmin позволяет просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.

iam.serviceAccounts.keyAdminiam.serviceAccounts.keyAdmin

Роль iam.serviceAccounts.keyAdmin позволяет управлять статическими ключами доступа, API-ключами и авторизованными ключами сервисных аккаунтов.

Пользователи с этой ролью могут:

• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять статические ключи доступа;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять API-ключи;
• просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять такие ключи.

Включает разрешения, предоставляемые ролями iam.serviceAccounts.accessKeyAdmin, iam.serviceAccounts.apiKeyAdmin и iam.serviceAccounts.authorizedKeyAdmin.

iam.serviceAccounts.tokenCreatoriam.serviceAccounts.tokenCreator

Роль iam.serviceAccounts.tokenCreator позволяет пользователю получать IAM-токен для сервисного аккаунта.

C помощью такого IAM-токена пользователь сможет имперсонироваться в сервисный аккаунт и выполнять действия, разрешенные для этого сервисного аккаунта.

Роль не позволяет пользователю изменять права доступа или удалять сервисный аккаунт.

iam.serviceAccounts.federatedCredentialVieweriam.serviceAccounts.federatedCredentialViewer

Роль iam.serviceAccounts.federatedCredentialViewer позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках.

iam.serviceAccounts.federatedCredentialEditoriam.serviceAccounts.federatedCredentialEditor

Роль iam.serviceAccounts.federatedCredentialEditor позволяет просматривать список привязок в федерациях сервисных аккаунтов и информацию о таких привязках, а также создавать и удалять привязки.

Включает разрешения, предоставляемые ролью iam.serviceAccounts.federatedCredentialViewer.

iam.workloadIdentityFederations.auditoriam.workloadIdentityFederations.auditor

Роль iam.workloadIdentityFederations.auditor позволяет просматривать метаданные федераций сервисных аккаунтов.

iam.workloadIdentityFederations.vieweriam.workloadIdentityFederations.viewer

Роль iam.workloadIdentityFederations.viewer позволяет просматривать информацию о федерациях сервисных аккаунтов.

Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.auditor.

iam.workloadIdentityFederations.useriam.workloadIdentityFederations.user

Роль iam.workloadIdentityFederations.user позволяет использовать федерации сервисных аккаунтов.

iam.workloadIdentityFederations.editoriam.workloadIdentityFederations.editor

Роль iam.workloadIdentityFederations.editor позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять и удалять такие федерации.

Включает разрешения, предоставляемые ролью iam.workloadIdentityFederations.viewer.

iam.workloadIdentityFederations.adminiam.workloadIdentityFederations.admin

Роль iam.workloadIdentityFederations.admin позволяет просматривать информацию о федерациях сервисных аккаунтов, а также создавать, изменять, использовать и удалять такие федерации.

Включает разрешения, предоставляемые ролями iam.workloadIdentityFederations.editor и iam.workloadIdentityFederations.user.

iam.auditoriam.auditor

Роль iam.auditor позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список сервисных аккаунтов и информацию о них;
• просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
• просматривать информацию об авторизованных ключах сервисных аккаунтов;
• просматривать список операций и информацию об операциях с ресурсами сервиса;
• просматривать информацию о квотах сервиса Identity and Access Management;
• просматривать информацию об облаке и его настройки;
• просматривать информацию о каталоге и его настройки.

iam.vieweriam.viewer

Роль iam.viewer позволяет просматривать информацию о сервисных аккаунтах и их ключах, а также об операциях с ресурсами и квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список сервисных аккаунтов и информацию о них;
• просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах;
• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах;
• просматривать информацию об авторизованных ключах сервисных аккаунтов;
• просматривать список операций и информацию об операциях с ресурсами сервиса;
• просматривать информацию о квотах сервиса Identity and Access Management;
• просматривать информацию об облаке и его настройки;
• просматривать информацию о каталоге и его настройки.

Включает разрешения, предоставляемые ролью iam.auditor.

iam.editoriam.editor

Роль iam.editor позволяет управлять сервисными аккаунтами и их ключами, управлять каталогами, а также просматривать информацию об операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
• просматривать информацию о назначенных правах доступа к сервисным аккаунтам;
• просматривать список операций и информацию об операциях с ресурсами сервиса;
• просматривать информацию о квотах сервиса Identity and Access Management;
• просматривать информацию об облаке и его настройки;
• просматривать информацию о каталогах и их настройки;
• создавать, изменять, удалять и настраивать каталоги.

Включает разрешения, предоставляемые ролью iam.viewer.

iam.adminiam.admin

Роль iam.admin позволяет управлять сервисными аккаунтами, доступом к ним и их ключами, управлять каталогами, просматривать информацию о квотах и операциях с ресурсами сервиса, а также позволяет пользователю получать IAM-токен для сервисного аккаунта.

Пользователи с этой ролью могут:

• просматривать список сервисных аккаунтов и информацию о них, а также создавать, использовать, изменять и удалять их;
• просматривать информацию о назначенных правах доступа к сервисным аккаунтам и изменять такие права доступа;
• получать IAM-токен для сервисного аккаунта;
• просматривать список API-ключей сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать список статических ключей доступа сервисных аккаунтов и информацию о таких ключах, а также создавать, изменять и удалять их;
• просматривать информацию об авторизованных ключах сервисных аккаунтов, а также создавать, изменять и удалять их;
• просматривать информацию о федерациях удостоверений;
• просматривать список операций и информацию об операциях с ресурсами сервиса;
• просматривать информацию о квотах сервиса Identity and Access Management;
• просматривать информацию об облаке и его настройки;
• просматривать информацию о каталогах и их настройки;
• создавать, изменять, удалять и настраивать каталоги.

Включает разрешения, предоставляемые ролями iam.editor и iam.serviceAccounts.admin.

Подробнее см. Управление доступом в сервисе Identity and Access Management.

Yandex IoT CoreYandex IoT Core

iot.devices.writeriot.devices.writer

Роль iot.devices.writer позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени устройства.

iot.registries.writeriot.registries.writer

Роль iot.registries.writer позволяет отправлять gRPC-сообщения в Yandex IoT Core от имени реестра.

iot.auditoriot.auditor

Роль iot.auditor позволяет просматривать метаинформацию об устройствах и реестрах устройств, а также брокерах и квотах в Yandex IoT Core.

iot.vieweriot.viewer

Роль iot.viewer позволяет просматривать все ресурсы Yandex IoT Core.

iot.editoriot.editor

Роль iot.editor позволяет создавать, редактировать и удалять все ресурсы Yandex IoT Core.

Подробнее см. Управление доступом в Yandex IoT Core.

Yandex Foundation ModelsYandex Foundation Models

ai.languageModels.userai.languageModels.user

Роль ai.languageModels.user позволяет использовать языковые модели генерации YandexGPT API в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.

ai.imageGeneration.userai.imageGeneration.user

Роль ai.imageGeneration.user позволяет использовать модели генерации изображений YandexART в сервисе Yandex Foundation Models, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в Yandex Foundation Models.

Yandex Key Management ServiceYandex Key Management Service

kms.keys.userkms.keys.user

Роль kms.keys.user позволяет использовать симметричные ключи шифрования.

kms.keys.encrypterkms.keys.encrypter

Роль kms.keys.encrypter позволяет просматривать информацию о симметричных ключах шифрования и шифровать данные с помощью таких ключей.

kms.keys.decrypterkms.keys.decrypter

Роль kms.keys.decrypter позволяет просматривать информацию о симметричных ключах шифрования и расшифровывать данные с помощью таких ключей.

kms.keys.encrypterDecrypterkms.keys.encrypterDecrypter

Роль kms.keys.encrypterDecrypter позволяет просматривать информацию о симметричных ключах шифрования, а также шифровать и расшифровывать данные с помощью таких ключей.

Включает разрешения, предоставляемые ролями kms.keys.encrypter и kms.keys.decrypter.

kms.asymmetricEncryptionKeys.publicKeyViewerkms.asymmetricEncryptionKeys.publicKeyViewer

Роль kms.asymmetricEncryptionKeys.publicKeyViewer позволяет просматривать информацию об асимметричных ключевых парах шифрования, а также получать открытый ключ ключевой пары шифрования.

kms.asymmetricSignatureKeys.publicKeyViewerkms.asymmetricSignatureKeys.publicKeyViewer

Роль kms.asymmetricSignatureKeys.publicKeyViewer позволяет просматривать информацию о ключевых парах электронной подписи, а также получать открытый ключ ключевой пары электронной подписи.

kms.asymmetricSignatureKeys.signerkms.asymmetricSignatureKeys.signer

Роль kms.asymmetricSignatureKeys.signer позволяет подписывать данные с помощью закрытого ключа ключевой пары электронной подписи.

kms.asymmetricEncryptionKeys.decrypterkms.asymmetricEncryptionKeys.decrypter

Роль kms.asymmetricEncryptionKeys.decrypter позволяет расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования.

kms.auditorkms.auditor

Роль kms.auditor позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, а также о назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним;
• просматривать информацию о ключевых парах электронной подписи и о назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Key Management Service.

kms.viewerkms.viewer

Роль kms.viewer позволяет просматривать информацию о ключах и ключевых парах шифрования и электронной подписи, о назначенных правах доступа к ним, а также о квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним;
• просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним;
• просматривать информацию о ключевых парах электронной подписи и о назначенных правах доступа к ним;
• просматривать информацию о квотах сервиса Key Management Service.

Включает разрешения, предоставляемые ролью kms.auditor.

kms.editorkms.editor

Роль kms.editor позволяет создавать ключи и ключевые пары шифрования и электронной подписи, а также использовать их для шифрования, расшифрования и подписи данных.

Пользователи с этой ролью могут:

• просматривать список симметричных ключей шифрования, информацию о них и о назначенных правах доступа к ним, а также создавать, ротировать и изменять метаданные симметричных ключей (в т.ч. период их ротации);
• шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
• просматривать информацию об асимметричных ключевых парах шифрования и о назначенных правах доступа к ним, а также создавать ассиметричные ключевые пары шифрования и изменять их метаданные;
• получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
• просматривать информацию о ключевых парах электронной подписи и назначенных правах доступа к ним, а также создавать ключевые пары электронной подписи и изменять их метаданные;
• получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
• просматривать информацию о квотах сервиса Key Management Service.

kms.adminkms.admin

Роль kms.admin позволяет управлять ключами и ключевыми парами шифрования и электронной подписи и доступом к ним, а также использовать их для шифрования, расшифрования и подписи данных.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к симметричным ключам шифрования, а также изменять такие права доступа;
• просматривать список симметричных ключей шифрования и информацию о них, а также создавать, активировать, деактивировать, ротировать, удалять симметричные ключи шифрования, изменять их основную версию и метаданные (в т.ч. период ротации);
• шифровать и расшифровывать данные с помощью симметричных ключей шифрования;
• просматривать информацию о назначенных правах доступа к асимметричным ключевым парам шифрования, а также изменять такие права доступа;
• просматривать информацию об асимметричных ключевых парах шифрования, а также создавать, активировать, деактивировать, удалять ассиметричные ключевые пары шифрования и изменять их метаданные;
• получать открытый ключ и расшифровывать данные с помощью закрытого ключа асимметричной ключевой пары шифрования;
• просматривать информацию о назначенных правах доступа к ключевым парам электронной подписи, а также изменять такие права доступа;
• просматривать информацию о ключевых парах электронной подписи, а также создавать, активировать, деактивировать, удалять ключевые пары электронной подписи и изменять их метаданные;
• получать открытый ключ и подписывать данные с помощью закрытого ключа ключевой пары электронной подписи;
• просматривать информацию о квотах сервиса Key Management Service;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью kms.editor.

Подробнее см. Управление доступом в Key Management Service.

Yandex Load TestingYandex Load Testing

loadtesting.viewerloadtesting.viewer

Роль loadtesting.viewer позволяет просматривать информацию о генераторах нагрузки и нагрузочных тестах, а также метаданные каталога.

Пользователи с этой ролью могут:

• просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
• просматривать информацию о конфигурации нагрузочных тестов;
• просматривать информацию о дашбордах регрессий нагрузочных тестов;
• просматривать информацию об агентах;
• просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах;
• просматривать информацию о каталоге.

loadtesting.editorloadtesting.editor

Роль loadtesting.editor позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.

Пользователи с этой ролью могут:

• просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
• создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
• просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
• просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
• регистрировать в Load Testing агентов, созданных за пределами сервиса;
• просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
• просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями loadtesting.viewer, loadtesting.loadTester и loadtesting.externalAgent.

loadtesting.adminloadtesting.admin

Роль loadtesting.admin позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий, а также регистрировать в сервисе агентов, созданных вне Load Testing.

Пользователи с этой ролью могут:

• просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
• создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
• просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
• просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
• регистрировать в Load Testing агентов, созданных за пределами сервиса;
• просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
• просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью loadtesting.editor.

loadtesting.loadTesterloadtesting.loadTester

Роль loadtesting.loadTester позволяет управлять агентами, нагрузочными тестами и их конфигурациями, хранилищами данных и дашбордами регрессий.

Пользователи с этой ролью могут:

• просматривать информацию о нагрузочных тестах и отчеты о результатах их выполнения;
• создавать, изменять, удалять, запускать и останавливать нагрузочные тесты, а также загружать в них тестовые данные;
• просматривать информацию о конфигурациях нагрузочных тестов, а также создавать, изменять и удалять такие конфигурации;
• просматривать информацию об агентах, а также создавать, изменять, удалять, запускать, перезапускать и останавливать их;
• просматривать информацию о бакетах Yandex Object Storage, использующихся в нагрузочных тестах, загружать в них тестовые данные, а также создавать, изменять и удалять бакеты;
• просматривать информацию о дашбордах регрессий нагрузочных тестов, а также создавать, изменять и удалять такие дашборды;
• просматривать информацию о каталоге.

loadtesting.generatorClientloadtesting.generatorClient

Роль loadtesting.generatorClient позволяет создавать, изменять и выполнять нагрузочные тесты на агенте, а также дает возможность загружать результаты тестов в хранилище.

Пользователи с этой ролью могут:

• создавать, изменять и запускать нагрузочные тесты;
• создавать и изменять конфигурацию нагрузочных тестов;
• загружать данные результатов тестов в хранилище.

Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.

loadtesting.externalAgentloadtesting.externalAgent

Роль loadtesting.externalAgent позволяет регистрировать в сервисе агентов, созданных вне Load Testing, а также создавать, изменять и выполнять нагрузочные тесты на агенте.

Пользователи с этой ролью могут:

• регистрировать в Load Testing агентов, созданных за пределами сервиса;
• создавать, изменять и запускать нагрузочные тесты;
• создавать и изменять конфигурацию нагрузочных тестов;
• загружать данные результатов тестов в хранилище.

Включает разрешения, предоставляемые ролью loadtesting.generatorClient.

Роль назначается на сервисный аккаунт, от имени которого создается ВМ с агентом.

Подробнее см. Управление доступом в Load Testing.

Yandex LockboxYandex Lockbox

lockbox.auditorlockbox.auditor

Роль lockbox.auditor позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о квотах сервиса Yandex Lockbox и метаинформацию каталога.

lockbox.viewerlockbox.viewer

Роль lockbox.viewer позволяет просматривать информацию о секретах и назначенных правах доступа к ним, а также информацию о каталоге и квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролью lockbox.auditor.

lockbox.editorlockbox.editor

Роль lockbox.editor позволяет управлять секретами и их версиями, а также просматривать информацию о назначенных правах доступа к секретам.

Пользователи с этой ролью могут:

• просматривать информацию о секретах и назначенных правах доступа к ним, а также создавать, активировать, деактивировать и удалять секреты;
• изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролью lockbox.viewer.

lockbox.adminlockbox.admin

Роль lockbox.admin позволяет управлять секретами, их версиями и доступом к ним, а также просматривать содержимое секретов.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к секретам, а также изменять такие права доступа;
• просматривать информацию о секретах, в том числе содержимое секретов;
• создавать, активировать, деактивировать и удалять секреты;
• изменять метаданные версий секретов, создавать и удалять версии секретов, а также изменять текущие версии секретов, планировать удаление и отменять запланированное удаление версий секретов;
• просматривать информацию о каталоге;
• просматривать информацию о квотах сервиса Yandex Lockbox.

Включает разрешения, предоставляемые ролями lockbox.editor и lockbox.payloadViewer.

lockbox.payloadViewerlockbox.payloadViewer

Роль lockbox.payloadViewer позволяет просматривать содержимое секретов.

Подробнее см. Управление доступом в Yandex Lockbox.

Управляемые базы данныхУправляемые базы данных

mdb.auditormdb.auditor

Роль mdb.auditor предоставляет минимально необходимые разрешения для просмотра информации о кластерах управляемых баз данных (без доступа к данным и логам работы).

Пользователи с этой ролью могут просматривать информацию о кластерах управляемых баз данных, квотах и каталогах.

Включает разрешения, предоставляемые ролями managed-opensearch.auditor, managed-kafka.auditor, managed-mysql.auditor, managed-sqlserver.auditor, managed-postgresql.auditor, managed-greenplum.auditor, managed-clickhouse.auditor, managed-redis.auditor и managed-mongodb.auditor.

mdb.viewermdb.viewer

Роль mdb.viewer предоставляет доступ к чтению информации из кластеров управляемых баз данных и к логам работы кластеров.

Пользователи с этой ролью могут читать информацию из баз данных и просматривать логи кластеров управляемых баз данных, а также просматривать информацию о кластерах, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.auditor, managed-opensearch.viewer, managed-kafka.viewer, managed-mysql.viewer, managed-sqlserver.viewer, managed-postgresql.viewer, managed-greenplum.viewer, managed-clickhouse.viewer, managed-redis.viewer, managed-mongodb.viewer и dataproc.viewer.

mdb.adminmdb.admin

Роль mdb.admin предоставляет полный доступ к кластерам управляемых баз данных.

Пользователи с этой ролью могут могут создавать, изменять, удалять, запускать и останавливать кластеры управляемых баз данных, управлять доступом к кластерам, читать и сохранять информацию в базах данных, а также просматривать информацию о кластерах, логах их работы, квотах и каталогах.

Включает разрешения, предоставляемые ролями mdb.viewer, vpc.user, managed-opensearch.admin, managed-kafka.admin, managed-mysql.admin, managed-sqlserver.admin, managed-postgresql.admin, managed-greenplum.admin, managed-clickhouse.admin, managed-redis.admin, managed-mongodb.admin и dataproc.admin.

Yandex Managed Service for Apache Airflow™Yandex Managed Service for Apache Airflow™

managed-airflow.auditormanaged-airflow.auditor

Роль managed-airflow.auditor позволяет просматривать информацию о кластерах Apache Airflow™.

managed-airflow.viewermanaged-airflow.viewer

Роль managed-airflow.viewer позволяет просматривать информацию о кластерах Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.auditor.

managed-airflow.usermanaged-airflow.user

Роль managed-airflow.user позволяет выполнять базовые операции с кластерами Apache Airflow™.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Apache Airflow™;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.viewer.

managed-airflow.editormanaged-airflow.editor

Роль managed-airflow.editor позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.user.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.adminmanaged-airflow.admin

Роль managed-airflow.admin позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам Apache Airflow™;
• просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.editor.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.integrationProvidermanaged-airflow.integrationProvider

Роль managed-airflow.integrationProvider позволяет кластеру Apache Airflow™ взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Airflow™.

Сервисные аккаунты с этой ролью могут:

• добавлять записи в лог-группы;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
• просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
• просматривать историю уведомлений Monitoring;
• просматривать список бакетов и информацию о них, в том числе о регионе размещения, версионировании, шифровании, конфигурации CORS, конфигурации хостинга статических сайтов, конфигурации HTTPS, настройках логирования, назначенных правах доступа, публичном доступе и классе хранилища по умолчанию;
• просматривать списки объектов в бакетах и информацию об объектах, в том числе о конфигурации жизненных циклов объектов, назначенных правах доступа к объектам, текущих составных загрузках, версиях объектов c их метаданными, временных и бессрочных блокировках версий объектов;
• просматривать метки бакетов, объектов и версий объектов, а также статистику сервиса Object Storage;
• просматривать информацию о секретах Yandex Lockbox и назначенных правах доступа к ним;
• просматривать информацию о квотах сервисов Object Storage, Monitoring и Yandex Lockbox;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer, monitoring.editor, storage.viewer и lockbox.viewer.

Роль не разрешает доступ к содержимому секретов Yandex Lockbox. Для того чтобы кластер Apache Airflow™ имел доступ к содержимому секретов в Yandex Lockbox, выдайте сервисному аккаунту дополнительную роль lockbox.payloadViewer на каталог или на определенные секреты.

Подробнее см. Управление доступом в Managed Service for Apache Airflow™.

Yandex Managed Service for Apache Kafka®Yandex Managed Service for Apache Kafka®

managed-kafka.auditormanaged-kafka.auditor

Роль managed-kafka.auditor позволяет просматривать информацию о кластерах Apache Kafka®, а также о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.

managed-kafka.viewermanaged-kafka.viewer

Роль managed-kafka.viewer позволяет просматривать информацию о кластерах Apache Kafka® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролью managed-kafka.auditor.

managed-kafka.editormanaged-kafka.editor

Роль managed-kafka.editor позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров Apache Kafka®;
• просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролью managed-kafka.viewer.

Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user.

managed-kafka.adminmanaged-kafka.admin

Роль managed-kafka.admin позволяет управлять кластерами Apache Kafka® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам Apache Kafka®;
• просматривать информацию о кластерах Apache Kafka®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров Apache Kafka®;
• просматривать информацию о квотах сервиса Managed Service for Apache Kafka®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Apache Kafka®.

Включает разрешения, предоставляемые ролью managed-kafka.editor.

Для создания кластеров Apache Kafka® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for Apache Kafka®.

Yandex Managed Service for ClickHouse®Yandex Managed Service for ClickHouse®

managed-clickhouse.auditormanaged-clickhouse.auditor

Роль managed-clickhouse.auditor позволяет просматривать информацию о кластерах ClickHouse®, а также о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.

managed-clickhouse.viewermanaged-clickhouse.viewer

Роль managed-clickhouse.viewer позволяет просматривать информацию о кластерах ClickHouse® и логи их работы, а также данные о квотах и операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.auditor.

managed-clickhouse.editormanaged-clickhouse.editor

Роль managed-clickhouse.editor позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров ClickHouse®;
• просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.viewer.

Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user.

managed-clickhouse.adminmanaged-clickhouse.admin

Роль managed-clickhouse.admin позволяет управлять кластерами ClickHouse® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам ClickHouse®;
• просматривать информацию о кластерах ClickHouse®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров ClickHouse®;
• просматривать информацию о квотах сервиса Managed Service for ClickHouse®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for ClickHouse®.

Включает разрешения, предоставляемые ролью managed-clickhouse.editor.

Для создания кластеров ClickHouse® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for ClickHouse®.

Yandex Managed Service for GitLabYandex Managed Service for GitLab

gitlab.auditorgitlab.auditor

Роль gitlab.auditor позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.

gitlab.viewergitlab.viewer

Роль gitlab.viewer позволяет просматривать информацию об инстансах Managed Service for GitLab и квотах сервиса.

Включает разрешения, предоставляемые ролью gitlab.auditor.

gitlab.editorgitlab.editor

Роль gitlab.editor позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.

Пользователи с этой ролью могут:

• просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
• переносить инстансы в другую зону доступности;
• просматривать информацию о квотах сервиса Managed Service for GitLab.

Включает разрешения, предоставляемые ролью gitlab.viewer.

Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user.

gitlab.admingitlab.admin

Роль gitlab.admin позволяет управлять инстансами Managed Service for GitLab и переносить их в другую зону доступности.

Пользователи с этой ролью могут:

• просматривать информацию об инстансах Managed Service for GitLab, а также создавать, изменять и удалять инстансы;
• переносить инстансы в другую зону доступности;
• просматривать информацию о квотах сервиса Managed Service for GitLab.

Включает разрешения, предоставляемые ролью gitlab.editor.

Для создания инстансов Managed Service for GitLab дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for GitLab.

Yandex Managed Service for Greenplum®Yandex Managed Service for Greenplum®

managed-greenplum.auditormanaged-greenplum.auditor

Роль managed-greenplum.auditor позволяет просматривать информацию о кластерах и хостах Greenplum®, а также о квотах и операциях с ресурсами сервиса Managed Service for Greenplum®.

managed-greenplum.viewermanaged-greenplum.viewer

Роль managed-greenplum.viewer позволяет просматривать информацию о кластерах и хостах Greenplum®, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Greenplum®;
• просматривать информацию о хостах кластеров Greenplum®;
• просматривать информацию о резервных копиях Greenplum®;
• просматривать логи работы кластеров Greenplum®;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
• просматривать информацию о квотах сервиса Managed Service for Greenplum®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.

Включает разрешения, предоставляемые ролью managed-greenplum.auditor.

managed-greenplum.editormanaged-greenplum.editor

Роль managed-greenplum.editor позволяет управлять кластерами Greenplum® и просматривать логи их работы, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
• просматривать логи работы кластеров Greenplum®;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
• просматривать информацию о квотах сервиса Managed Service for Greenplum®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.

Включает разрешения, предоставляемые ролью managed-greenplum.viewer.

Для создания кластеров Greenplum® дополнительно необходима роль vpc.user.

managed-greenplum.adminmanaged-greenplum.admin

Роль managed-greenplum.admin позволяет управлять кластерами Greenplum® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам Greenplum®;
• просматривать информацию о кластерах Greenplum®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров Greenplum®, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях Greenplum®, а также создавать и удалять их;
• просматривать логи работы кластеров Greenplum®;
• просматривать информацию о результатах диагностики производительности кластеров Greenplum®;
• просматривать информацию о квотах сервиса Managed Service for Greenplum®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Greenplum®.

Включает разрешения, предоставляемые ролью managed-greenplum.editor.

Для создания кластеров Greenplum® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for Greenplum®.

Yandex Managed Service for KubernetesYandex Managed Service for Kubernetes

k8s.viewerk8s.viewer

Роль k8s.viewer позволяет просматривать информацию о кластерах и группах узлов Kubernetes.

k8s.editork8s.editor

Роль k8s.editor дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.

Включает в себя роль k8s.viewer.

k8s.admink8s.admin

Роль k8s.admin дает права на создание, удаление, изменение, остановку и запуск кластеров и групп узлов Kubernetes.

Включает в себя роль k8s.editor.

k8s.cluster-api.viewerk8s.cluster-api.viewer

Пользователь с ролью k8s.cluster-api.viewer получает группу yc:view и роль view в Kubernetes RBAC для всех пространств имен в кластере.

k8s.cluster-api.editork8s.cluster-api.editor

Пользователь с ролью k8s.cluster-api.editor получает группу yc:edit и роль edit в Kubernetes RBAC для всех пространств имен в кластере.

k8s.cluster-api.cluster-admink8s.cluster-api.cluster-admin

Пользователь с ролью k8s.cluster-api.cluster-admin получает группу yc:cluster-admin и роль cluster-admin в Kubernetes RBAC.

k8s.tunnelClusters.agentk8s.tunnelClusters.agent

k8s.tunnelClusters.agent — специальная роль для создания кластера Kubernetes с туннельным режимом. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов. Включает роли:

• compute.admin
• iam.serviceAccounts.user
• k8s.viewer
• kms.keys.encrypterDecrypter
• load-balancer.privateAdmin

k8s.clusters.agentk8s.clusters.agent

k8s.clusters.agent — специальная роль для сервисного аккаунта кластера Kubernetes. Дает право на создание групп узлов, дисков, внутренних балансировщиков. Позволяет использовать заранее созданные ключи Yandex Key Management Service для шифрования и расшифровки секретов, а также подключать заранее созданные группы безопасности. В комбинации с ролью load-balancer.admin позволяет создать сетевой балансировщик нагрузки с публичным IP-адресом. Включает роли:

• k8s.tunnelClusters.agent
• vpc.privateAdmin

Подробнее см. Управление доступом в Managed Service for Kubernetes.

Yandex Managed Service for MongoDBYandex Managed Service for MongoDB

managed-mongodb.auditormanaged-mongodb.auditor

Роль managed-mongodb.auditor позволяет просматривать информацию о хостах и кластерах MongoDB, а также о квотах и операциях с ресурсами сервиса Managed Service for MongoDB.

managed-mongodb.viewermanaged-mongodb.viewer

Роль managed-mongodb.viewer позволяет просматривать информацию о кластерах, хостах, шардах, базах данных и пользователях MongoDB, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах MongoDB;
• просматривать информацию о хостах кластеров MongoDB;
• просматривать информацию о шардах кластеров MongoDB;
• просматривать информацию о базах данных MongoDB;
• просматривать информацию о пользователях MongoDB;
• просматривать информацию о резервных копиях MongoDB;
• просматривать информацию об алертах MongoDB;
• просматривать логи работы кластеров MongoDB;
• просматривать информацию о результатах диагностики производительности кластеров MongoDB;
• просматривать информацию о квотах сервиса Managed Service for MongoDB;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.

Включает разрешения, предоставляемые ролью managed-mongodb.auditor.

managed-mongodb.editormanaged-mongodb.editor

Роль managed-mongodb.editor позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
• создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
• создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
• создавать и удалять базы данных MongoDB и просматривать информацию о них;
• создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
• создавать резервные копии MongoDB и просматривать информацию о них;
• создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
• просматривать логи работы кластеров MongoDB;
• просматривать информацию о результатах диагностики производительности кластеров MongoDB;
• просматривать информацию о квотах сервиса Managed Service for MongoDB;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.

Включает разрешения, предоставляемые ролью managed-mongodb.viewer.

Для создания кластеров MongoDB дополнительно необходима роль vpc.user.

managed-mongodb.adminmanaged-mongodb.admin

Роль managed-mongodb.admin позволяет управлять кластерами MongoDB и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам MongoDB;
• создавать, изменять, удалять, запускать и останавливать кластеры MongoDB и просматривать информацию о них;
• создавать, изменять и удалять хосты кластеров MongoDB и просматривать информацию о них;
• создавать и удалять шарды кластеров MongoDB и просматривать информацию о них;
• создавать и удалять базы данных MongoDB и просматривать информацию о них;
• создавать, изменять и удалять пользователей MongoDB и просматривать информацию о них;
• создавать резервные копии MongoDB и просматривать информацию о них;
• создавать, изменять и удалять алерты MongoDB и просматривать информацию о них;
• просматривать логи работы кластеров MongoDB;
• просматривать информацию о результатах диагностики производительности кластеров MongoDB;
• просматривать информацию о квотах сервиса Managed Service for MongoDB;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MongoDB.

Включает разрешения, предоставляемые ролью managed-mongodb.editor.

Для создания кластеров MongoDB дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for MongoDB.

Yandex Managed Service for MySQL®Yandex Managed Service for MySQL®

managed-mysql.auditormanaged-mysql.auditor

Роль managed-mysql.auditor позволяет просматривать информацию о хостах и кластерах MySQL®, а также о квотах и операциях с ресурсами сервиса Managed Service for MySQL®.

managed-mysql.viewermanaged-mysql.viewer

Роль managed-mysql.viewer позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях MySQL®, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах MySQL®;
• просматривать информацию о хостах кластеров MySQL®;
• просматривать информацию о базах данных MySQL®;
• просматривать информацию о пользователях MySQL®;
• просматривать информацию о резервных копиях БД MySQL®;
• просматривать информацию об алертах MySQL®;
• просматривать логи работы кластеров MySQL®;
• просматривать информацию о результатах диагностики производительности кластеров MySQL®;
• просматривать информацию о квотах сервиса Managed Service for MySQL®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.auditor.

managed-mysql.editormanaged-mysql.editor

Роль managed-mysql.editor позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
• просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров MySQL®;
• просматривать информацию о результатах диагностики производительности кластеров MySQL®;
• просматривать информацию о квотах сервиса Managed Service for MySQL®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.viewer.

Для создания кластеров MySQL® дополнительно необходима роль vpc.user.

managed-mysql.adminmanaged-mysql.admin

Роль managed-mysql.admin позволяет управлять кластерами MySQL® и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам MySQL®;
• просматривать информацию о кластерах MySQL®, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о пользователях MySQL®, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях БД MySQL®, а также создавать и удалять их;
• просматривать информацию об алертах MySQL®, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров MySQL®;
• просматривать информацию о результатах диагностики производительности кластеров MySQL®;
• просматривать информацию о квотах сервиса Managed Service for MySQL®;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for MySQL®.

Включает разрешения, предоставляемые ролью managed-mysql.editor.

Для создания кластеров MySQL® дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for MySQL®.

Yandex Managed Service for OpenSearchYandex Managed Service for OpenSearch

managed-opensearch.auditormanaged-opensearch.auditor

Роль managed-opensearch.auditor позволяет просматривать информацию о кластерах OpenSearch, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.

managed-opensearch.viewermanaged-opensearch.viewer

Роль managed-opensearch.viewer позволяет просматривать информацию о кластерах OpenSearch и логи их работы, а также о квотах и операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.auditor.

managed-opensearch.editormanaged-opensearch.editor

Роль managed-opensearch.editor позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров OpenSearch;
• просматривать информацию о квотах сервиса Managed Service for OpenSearch;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.viewer.

Для создания кластеров OpenSearch дополнительно необходима роль vpc.user.

managed-opensearch.adminmanaged-opensearch.admin

Роль managed-opensearch.admin позволяет управлять кластерами OpenSearch и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам OpenSearch;
• просматривать информацию о кластерах OpenSearch, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать логи работы кластеров OpenSearch;
• просматривать информацию о квотах сервиса Managed Service for OpenSearch;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for OpenSearch.

Включает разрешения, предоставляемые ролью managed-opensearch.editor.

Для создания кластеров OpenSearch дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом к Managed Service for OpenSearch.

Yandex Managed Service for PostgreSQLYandex Managed Service for PostgreSQL

managed-postgresql.auditormanaged-postgresql.auditor

Роль managed-postgresql.auditor позволяет просматривать информацию о хостах и кластерах PostgreSQL, а также о квотах и операциях с ресурсами сервиса Managed Service for PostgreSQL.

managed-postgresql.viewermanaged-postgresql.viewer

Роль managed-postgresql.viewer позволяет просматривать информацию о кластерах, хостах, базах данных и пользователях PostgreSQL, логи работы кластеров, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах PostgreSQL;
• просматривать информацию о хостах кластеров PostgreSQL;
• просматривать информацию о базах данных PostgreSQL;
• просматривать информацию о пользователях PostgreSQL;
• просматривать информацию о резервных копиях БД PostgreSQL;
• просматривать информацию об алертах PostgreSQL;
• просматривать логи работы кластеров PostgreSQL;
• просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
• просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.auditor.

managed-postgresql.editormanaged-postgresql.editor

Роль managed-postgresql.editor позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
• просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров PostgreSQL;
• просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
• просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.viewer.

Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user.

managed-postgresql.adminmanaged-postgresql.admin

Роль managed-postgresql.admin позволяет управлять кластерами PostgreSQL и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам PostgreSQL;
• просматривать информацию о кластерах PostgreSQL, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о пользователях PostgreSQL, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях БД PostgreSQL, а также создавать и удалять их;
• просматривать информацию об алертах PostgreSQL, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров PostgreSQL;
• просматривать информацию о результатах диагностики производительности кластеров PostgreSQL;
• просматривать информацию о квотах сервиса Managed Service for PostgreSQL;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for PostgreSQL.

Включает разрешения, предоставляемые ролью managed-postgresql.editor.

Для создания кластеров PostgreSQL дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for PostgreSQL.

Yandex Managed Service for RedisYandex Managed Service for Redis

managed-redis.auditormanaged-redis.auditor

Роль managed-redis.auditor позволяет просматривать информацию о хостах и кластерах Redis, а также о квотах и операциях с ресурсами сервиса Managed Service for Redis.

managed-redis.viewermanaged-redis.viewer

Роль managed-redis.viewer позволяет просматривать информацию о хостах и кластерах Redis, логи их работы, а также данные о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Redis;
• просматривать информацию о хостах кластеров Redis;
• просматривать информацию о шардах кластеров Redis;
• просматривать информацию о резервных копиях БД Redis;
• просматривать информацию об алертах Redis;
• просматривать логи работы кластеров Redis;
• просматривать информацию о квотах сервиса Managed Service for Redis;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.

Включает разрешения, предоставляемые ролью managed-redis.auditor.

managed-redis.editormanaged-redis.editor

Роль managed-redis.editor позволяет управлять кластерами Redis и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Redis, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров Redis, а также создавать, изменять и удалять их;
• просматривать информацию о шардах кластеров Redis, а также создавать и удалять их;
• просматривать информацию о резервных копиях БД Redis и создавать резервные копии;
• просматривать информацию об алертах Redis, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров Redis;
• просматривать информацию о квотах сервиса Managed Service for Redis;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.

Включает разрешения, предоставляемые ролью managed-redis.viewer.

Для создания кластеров Redis дополнительно необходима роль vpc.user.

managed-redis.adminmanaged-redis.admin

Роль managed-redis.admin позволяет управлять кластерами Redis и просматривать их логи, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам Redis;
• просматривать информацию о кластерах Redis, а также создавать, изменять, удалять, запускать и останавливать их;
• просматривать информацию о хостах кластеров Redis, а также создавать, изменять и удалять их;
• просматривать информацию о шардах кластеров Redis, а также создавать и удалять их;
• просматривать информацию о резервных копиях БД Redis и создавать резервные копии;
• просматривать информацию об алертах Redis, а также создавать, изменять и удалять их;
• просматривать логи работы кластеров Redis;
• просматривать информацию о квотах сервиса Managed Service for Redis;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for Redis.

Включает разрешения, предоставляемые ролью managed-redis.editor.

Для создания кластеров Redis дополнительно необходима роль vpc.user.

Подробнее см. Управление доступом в Managed Service for Redis.

Yandex Managed Service for SQL ServerYandex Managed Service for SQL Server

managed-sqlserver.auditormanaged-sqlserver.auditor

Роль managed-sqlserver.auditor позволяет просматривать информацию кластерах, хостах, пользователях, базах данных и резервных копиях БД SQL Server, а также о квотах и операциях с ресурсами сервиса Managed Service for SQL Server.

managed-sqlserver.viewermanaged-sqlserver.viewer

Роль managed-sqlserver.viewer позволяет просматривать логи кластеров SQL Server, а также информацию о кластерах, хостах, пользователях, базах данных и резервных копиях БД SQL Server.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах SQL Server;
• просматривать информацию о хостах кластеров SQL Server;
• просматривать информацию о пользователях SQL Server;
• просматривать информацию о базах данных SQL Server;
• просматривать информацию о резервных копиях баз данных SQL Server;
• просматривать логи кластеров SQL Server;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
• просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.auditor.

managed-sqlserver.editormanaged-sqlserver.editor

Роль managed-sqlserver.editor позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, а также создавать резервные копии БД и просматривать логи кластеров SQL Server.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
• просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
• просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях баз данных SQL Server, а также создавать такие резервные копии;
• просматривать логи кластеров SQL Server;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
• просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.viewer.

managed-sqlserver.adminmanaged-sqlserver.admin

Роль managed-sqlserver.admin позволяет управлять кластерами, хостами, пользователями и базами данных SQL Server, а также создавать резервные копии БД и просматривать логи кластеров SQL Server.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах SQL Server, а также использовать такие кластеры, создавать, запускать, останавливать, изменять и удалять их;
• просматривать информацию о хостах кластеров SQL Server, а также создавать, изменять и удалять такие хосты;
• просматривать информацию о пользователях SQL Server, а также создавать, изменять и удалять их;
• просматривать информацию о базах данных SQL Server, а также создавать, изменять и удалять их;
• просматривать информацию о резервных копиях баз данных SQL Server, а также создавать такие резервные копии;
• просматривать логи кластеров SQL Server;
• просматривать информацию об операциях с ресурсами сервиса Managed Service for SQL Server;
• просматривать информацию о квотах сервиса Managed Service for SQL Server.

Включает разрешения, предоставляемые ролью managed-sqlserver.editor.

Yandex Managed Service for YDBYandex Managed Service for YDB

ydb.auditorydb.auditor

Роль ydb.auditor позволяет устанавливать соединения c базами данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

• устанавливать соединения c базами данных;
• просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
• просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
• просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

ydb.viewerydb.viewer

Роль ydb.viewer позволяет устанавливать соединения c БД и выполнять запросы на чтение данных, просматривать информацию о БД и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД.

Пользователи с этой ролью могут:

• устанавливать соединения c базами данных и выполнять запросы на чтение данных;
• просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных;
• просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям;
• просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.auditor.

ydb.editorydb.editor

Роль ydb.editor позволяет управлять базами данных, схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

• просматривать список баз данных и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных;
• устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
• просматривать информацию о резервных копиях баз данных и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
• просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.viewer.

ydb.adminydb.admin

Роль ydb.admin позволяет управлять базами данных и доступом к ним, управлять схемными объектами и резервными копиями БД, а также выполнять запросы к БД на чтение и запись данных.

Пользователи с этой ролью могут:

• просматривать список баз данных и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных;
• просматривать информацию о назначенных правах доступа к базам данных и изменять такие права доступа;
• устанавливать соединения c базами данных и выполнять запросы на чтение и запись данных;
• просматривать информацию о резервных копиях баз данных, а также создавать резервные копии, удалять их и восстанавливать базы данных из резервных копий;
• просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
• просматривать список схемных объектов БД (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.editor.

ydb.kafkaApi.clientydb.kafkaApi.client

Роль ydb.kafkaApi.client позволяет работать с ydb по протоколу Kafka API с использованием plain-аутентификации через SSL-соединение.

Подробнее см. Управление доступом в Managed Service for YDB.

Yandex Message QueueYandex Message Queue

ymq.readerymq.reader

Роль ymq.reader дает право читать и удалять сообщения, устанавливать таймауты видимости для сообщений, а также очищать очередь от сообщений. Позволяет получать список очередей и информацию о них.

ymq.writerymq.writer

Роль ymq.writer дает права на запись сообщений в очереди и создание новых очередей. Позволяет получать список очередей и информацию о них.

ymq.adminymq.admin

Роль ymq.admin включает права ролей ymq.reader и ymq.writer, а также дает права изменять атрибуты очередей и удалять очереди. Позволяет получать список очередей и информацию о них.

Подробнее см. Управление доступом в Message Queue.

Yandex MonitoringYandex Monitoring

monitoring.viewermonitoring.viewer

Роль monitoring.viewer позволяет выгружать метрики, а также просматривать информацию о метриках, дашбордах и виджетах.

Пользователи с этой ролью могут:

• просматривать информацию о метриках и их метках, а также выгружать метрики;
• просматривать список дашбордов и виджетов, а также информацию о них;
• просматривать историю уведомлений;
• просматривать информацию о квотах сервиса Monitoring;
• просматривать информацию о каталоге.

monitoring.editormonitoring.editor

Роль monitoring.editor позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений и информацию о квотах сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
• просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
• просматривать историю уведомлений;
• просматривать информацию о квотах сервиса Monitoring;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью monitoring.viewer.

monitoring.adminmonitoring.admin

Роль monitoring.admin позволяет управлять дашбордами и виджетами, загружать и выгружать метрики, а также просматривать историю уведомлений, информацию о квотах сервиса и метаданные каталога.

Пользователи с этой ролью могут:

• просматривать информацию о метриках и их метках, а также загружать и выгружать метрики;
• просматривать список дашбордов и виджетов и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
• просматривать историю уведомлений;
• просматривать информацию о квотах сервиса Monitoring;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью monitoring.editor.

Подробнее см. Управление доступом в Monitoring.

Yandex Network Load BalancerYandex Network Load Balancer

load-balancer.auditorload-balancer.auditor

Роль load-balancer.auditor позволяет просматривать список целевых групп и сетевых балансировщиков, а также информацию о них и о квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список целевых групп и информацию о них;
• просматривать список сетевых балансировщиков и информацию о них;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервиса Network Load Balancer.

load-balancer.viewerload-balancer.viewer

Роль load-balancer.viewer позволяет просматривать список целевых групп и сетевых балансировщиков, информацию о них и список операций с ними, а также информацию о каталоге, облаке и квотах сервиса.

Пользователи с этой ролью могут:

• просматривать список целевых групп и информацию о них;
• просматривать список сетевых балансировщиков и информацию о них;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервиса Network Load Balancer.

Включает разрешения, предоставляемые ролью load-balancer.auditor.

load-balancer.privateAdminload-balancer.privateAdmin

Роль load-balancer.privateAdmin позволяет управлять внутренними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:

• просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
• просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
• просматривать список облачных сетей и информацию о них;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролями load-balancer.viewer и vpc.viewer.

load-balancer.editorload-balancer.editor

Роль load-balancer.editor позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах. Роль не позволяет создавать публичные IP-адреса.

Пользователи с этой ролью могут:

• просматривать список сетевых балансировщиков и информацию о них;
• создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
• просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
• просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах, а также создавать внутренние адреса и использовать их;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью load-balancer.privateAdmin.

load-balancer.adminload-balancer.admin

Роль load-balancer.admin позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.

Пользователи с этой ролью могут:

• просматривать список сетевых балансировщиков и информацию о них;
• создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
• просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
• просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах, а также создавать внутренние и публичные адреса и использовать их;
• просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
• просматривать список операций с ресурсами сервиса Network Load Balancer;
• просматривать информацию об облаке и каталоге;
• просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.

Включает разрешения, предоставляемые ролью load-balancer.editor.

Подробнее см. Управление доступом в Network Load Balancer.

Yandex Object StorageYandex Object Storage

storage.viewerstorage.viewer

Роль storage.viewer дает доступ на чтение списка бакетов, их настроек и данных в бакетах.

storage.configViewerstorage.configViewer

Роль storage.configViewer позволяет просматривать настройки безопасности бакетов и объектов в них, но не дает доступа к данным внутри бакета.

storage.configurerstorage.configurer

Роль storage.configurer позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS.

Не позволяет управлять настройками списка управления доступом (ACL) и настройками публичного доступа. Не предоставляет доступа к данным в бакете.

storage.uploaderstorage.uploader

Роль storage.uploader позволяет загружать объекты в бакет, в том числе перезаписывать загруженные ранее. Также роль позволяет просматривать список объектов в бакете и скачивать их, поскольку роль storage.uploader наследует права роли storage.viewer.

Роль не позволяет удалять объекты и конфигурировать бакет.

storage.editorstorage.editor

Роль storage.editor позволяет выполнять любые операции с бакетами и объектами в каталоге: создавать, удалять и изменять их, в том числе создать публично доступный бакет.

Роль не позволяет управлять настройками списка управления доступом (ACL).

storage.adminstorage.admin

Роль storage.admin предназначена для управления сервисом Object Storage.

Пользователи с этой ролью могут:

• создавать бакеты;
• удалять бакеты;
• назначать список управления доступом (ACL);
• управлять всеми объектами бакета;
• управлять всеми веб-сайтами бакета;
• настраивать другие параметры бакета и объектов в нем.

Роль позволяет предоставлять доступ другим пользователям к бакету или конкретному объекту в нем.

Выдать данную роль может администратор облака (роль admin).

Подробнее см. Управление доступом с помощью Yandex Identity and Access Management.

Yandex QueryYandex Query

yq.auditoryq.auditor

Роль yq.auditor позволяет просматривать метаданные сервиса, в том числе информацию о каталоге, соединениях, привязках и запросах.

yq.vieweryq.viewer

Пользователь с ролью yq.viewer может просматривать запросы и результаты.

Включает разрешения, предоставляемые ролью yq.auditor.

yq.editoryq.editor

Пользователь с ролью yq.editor может просматривать, редактировать, удалять созданные им соединения и запросы, а также запускать созданные им запросы. Роль yq.editor включает в себя все разрешения роли yq.viewer.

yq.adminyq.admin

Роль yq.admin разрешает управлять любыми ресурсами Query, в том числе помеченными как приватные. Роль yq.admin включает в себя все разрешения роли yq.editor.

yq.invokeryq.invoker

Пользователь с ролью yq.invoker может запускать запросы в Query. Роль предназначена для автоматизации выполнения запросов сервисными аккаунтами. Например, для запуска запросов по событию или по расписанию.

Подробнее см. Управление доступом в Query.

Yandex Resource ManagerYandex Resource Manager

resource-manager.auditorresource-manager.auditor

Роль resource-manager.auditor позволяет просматривать метаинформацию облаков и каталогов, а также информацию о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

• просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
• просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
• просматривать информацию о квотах сервиса Resource Manager.

resource-manager.viewerresource-manager.viewer

Роль resource-manager.viewer позволяет просматривать информацию об облаках и каталогах, а также о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

• просматривать информацию об облаках и их настройках, а также о назначенных правах доступа к облакам;
• просматривать информацию о каталогах и их настройках, а также о назначенных правах доступа к каталогам;
• просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.auditor.

resource-manager.editorresource-manager.editor

Роль resource-manager.editor позволяет управлять облаками и каталогами, а также просматривать информацию о назначенных правах доступа к облакам и каталогам.

Пользователи с этой ролью могут:

• просматривать информацию об облаках, их настройках и назначенных правах доступа к облакам, а также создавать, изменять и удалять облака;
• просматривать информацию о каталогах, их настройках и назначенных правах доступа к каталогам, а также создавать, изменять и удалять каталоги;
• просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.viewer.

resource-manager.adminresource-manager.admin

Роль resource-manager.admin позволяет управлять облаками и каталогами, а также доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к облакам и изменять такие права доступа;
• просматривать информацию об облаках и их настройках, а также создавать, изменять и удалять облака;
• просматривать информацию о назначенных правах доступа к каталогам и изменять такие права доступа;
• просматривать информацию о каталогах и их настройках, а также создавать, изменять и удалять каталоги;
• просматривать информацию о квотах сервиса Resource Manager.

Включает разрешения, предоставляемые ролью resource-manager.editor.

resource-manager.clouds.memberresource-manager.clouds.member

Роль resource-manager.clouds.member позволяет просматривать информацию об облаке и обращаться в техническую поддержку Yandex Cloud.

Можно назначить только на облако.

Пользователи с этой ролью могут:

• просматривать список обращений в техническую поддержку и информацию о них, а также создавать и закрывать такие обращения, оставлять в них комментарии и прикреплять файлы;
• просматривать информацию об облаках и их настройках.

resource-manager.clouds.ownerresource-manager.clouds.owner

Роль resource-manager.clouds.owner позволяет совершать любые действия в облаке и дочерних ресурсах, а также просматривать список платежных аккаунтов и привязывать к ним облако. Роль должна быть выдана на платежный аккаунт. По умолчанию пользователи с этой ролью получают уведомления о событиях в облаке и его каталогах.

Включает разрешения, предоставляемые ролями admin и resource-manager.clouds.member.

Можно назначить только на облако.

Подробнее см. Управление доступом в Resource Manager.

Yandex Search APIYandex Search API

search-api.executorsearch-api.executor

Роль search-api.executor позволяет использовать сервис Yandex Search API и выполнять поисковые запросы посредством API v1.

search-api.webSearch.usersearch-api.webSearch.user

Роль search-api.webSearch.user позволяет выполнять поисковые запросы в сервисе Yandex Search API с использованием API v2, а также просматривать информацию об облаке, каталоге и квотах сервиса Yandex Search API.

search-api.auditorsearch-api.auditor

Роль search-api.auditor позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.

search-api.viewersearch-api.viewer

Роль search-api.viewer позволяет просматривать информацию о зарегистрированных IP-адресах и квотах сервиса Yandex Search API, а также об облаках и каталогах.

Включает разрешения, предоставляемые ролью search-api.auditor.

search-api.editorsearch-api.editor

Роль search-api.editor позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.

Пользователи с этой ролью могут:

• просматривать информацию о зарегистрированных IP-адресах, изменять и удалять их, а также регистрировать новые IP-адреса;
• выполнять поисковые запросы с использованием API v1 и API v2;
• просматривать информацию о квотах сервиса Yandex Search API;
• просматривать информацию об облаках и каталогах.

Включает разрешения, предоставляемые ролями search-api.viewer, search-api.webSearch.user и search-api.executor.

search-api.adminsearch-api.admin

Роль search-api.admin позволяет управлять зарегистрированными IP-адресами, а также выполнять поисковые запросы в сервисе Yandex Search API с использованием API v1 и API v2.

Пользователи с этой ролью могут:

• просматривать информацию о зарегистрированных IP-адресах, изменять и удалять их, а также регистрировать новые IP-адреса;
• выполнять поисковые запросы с использованием API v1 и API v2;
• просматривать информацию о квотах сервиса Yandex Search API;
• просматривать информацию об облаках и каталогах.

Включает разрешения, предоставляемые ролью search-api.editor.

Подробнее см. Управление доступом в Search API.

Yandex Security DeckYandex Security Deck

Сервисные роли для анализа данных Access TransparencyСервисные роли для анализа данных Access Transparency

access-transparency.vieweraccess-transparency.viewer

Роль access-transparency.viewer позволяет просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

access-transparency.editoraccess-transparency.editor

Роль access-transparency.editor позволяет создавать и удалять подписки организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

Включает разрешения, предоставляемые ролью access-transparency.viewer.

access-transparency.adminaccess-transparency.admin

Роль access-transparency.admin позволяет создавать и удалять подписки организации на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, просматривать список таких событий, а также выражать согласие или несогласие с результатами подготовленного нейросетью анализа таких событий.

Включает разрешения, предоставляемые ролью access-transparency.editor.

Подробнее см. Управление доступом в Access Transparency.

Сервисные роли для контроля данных (DSPM)Сервисные роли для контроля данных (DSPM)

dspm.inspectordspm.inspector

Роль dspm.inspector позволяет создавать источники данных DSPM с использованием заданных ресурсов Yandex Cloud. Чтобы создать источник данных в DSPM, эту роль необходимо назначить пользователю на соответствующий облачный ресурс.

dspm.auditordspm.auditor

Роль dspm.auditor позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM;
• просматривать информацию об источниках данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности;
• просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

dspm.viewerdspm.viewer

Роль dspm.viewer позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM;
• просматривать информацию об источниках данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности;
• просматривать результаты сканирования и информацию об обнаруженных угрозах безопасности.

Включает разрешения, предоставляемые ролью dspm.auditor.

dspm.editordspm.editor

Роль dspm.editor позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM и использовать их;
• просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
• просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
• запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
• просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролью dspm.viewer.

dspm.admindspm.admin

Роль dspm.admin позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM и использовать их;
• просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
• использовать ресурсы Yandex Cloud в источниках данных DSPM;
• просматривать информацию о категориях данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
• запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах;
• просматривать метаданные бакетов.

Включает разрешения, предоставляемые ролями dspm.editor и dspm.inspector.

Подробнее см. Управление доступом в DSPM.

Yandex Serverless ContainersYandex Serverless Containers

serverless-containers.auditorserverless-containers.auditor

Роль serverless-containers.auditor позволяет просматривать информацию о контейнерах, кроме информации о переменных окружения ревизии.

serverless-containers.viewerserverless-containers.viewer

Роль serverless-containers.viewer позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
• просматривать информацию о назначенных правах доступа к контейнерам;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью serverless-containers.auditor.

serverless-containers.editorserverless-containers.editor

Роль serverless-containers.editor позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• создавать, вызывать, изменять и удалять контейнеры;
• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии, а также о назначенных правах доступа к контейнерам;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью serverless-containers.viewer.

serverless-containers.adminserverless-containers.admin

Роль serverless-containers.admin позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.

Пользователи с этой ролью могут:

• создавать, вызывать, изменять и удалять контейнеры;
• просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью serverless-containers.editor.

serverless-containers.containerInvokerserverless-containers.containerInvoker

Роль serverless-containers.containerInvoker позволяет вызывать контейнеры.

serverless.containers.viewerserverless.containers.viewer

Роль serverless.containers.viewer позволяет просматривать информацию о контейнерах, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
• просматривать информацию о назначенных правах доступа к контейнерам;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.viewer.

serverless.containers.editorserverless.containers.editor

Роль serverless.containers.editor позволяет управлять контейнерами и просматривать информацию о них, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• создавать, вызывать, изменять и удалять контейнеры;
• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии, а также о назначенных правах доступа к контейнерам;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.editor.

serverless.containers.adminserverless.containers.admin

Роль serverless.containers.admin позволяет управлять контейнерами и доступом к ним, а также просматривать информацию о контейнерах, облаке и каталоге.

Пользователи с этой ролью могут:

• создавать, вызывать, изменять и удалять контейнеры;
• просматривать информацию о назначенных правах доступа к контейнерам и изменять права доступа;
• просматривать информацию о контейнерах, в том числе о переменных окружения ревизии;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Эта роль недоступна. Используйте роль serverless-containers.admin.

serverless.containers.invokerserverless.containers.invoker

Роль serverless.containers.invoker позволяет вызывать контейнеры.

Эта роль недоступна. Используйте роль serverless-containers.containerInvoker.

Подробнее см. Управление доступом в Serverless Containers.

Yandex SmartCaptchaYandex SmartCaptcha

smart-captcha.auditorsmart-captcha.auditor

Роль smart-captcha.auditor позволяет просматривать информацию о капчах и назначенных правах доступа к ним.

smart-captcha.viewersmart-captcha.viewer

Роль smart-captcha.viewer позволяет просматривать информацию о капчах и назначенных правах доступа к ним, а также получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.auditor.

smart-captcha.editorsmart-captcha.editor

Роль smart-captcha.editor позволяет управлять капчами, просматривать информацию о них и получать ключи капчи.

Пользователи с этой ролью могут:

• просматривать информацию о капчах, а также создавать, изменять и удалять их;
• просматривать информацию о назначенных правах доступа к капчам;
• получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.viewer.

smart-captcha.adminsmart-captcha.admin

Роль smart-captcha.admin позволяет управлять капчами и доступом к ним, а также получать ключи капчи.

Пользователи с этой ролью могут:

• просматривать информацию о капчах, а также создавать, изменять и удалять их;
• просматривать информацию о назначенных правах доступа к капчам и изменять такие права доступа;
• получать ключи капчи.

Включает разрешения, предоставляемые ролью smart-captcha.editor.

Подробнее см. Управление доступом в SmartCaptcha.

Yandex Smart Web SecurityYandex Smart Web Security

smart-web-security.auditorsmart-web-security.auditor

Роль smart-web-security.auditor позволяет просматривать информацию о профилях безопасности Smart Web Security и метаинформацию облака и каталога.

Пользователи с этой ролью могут:

• просматривать информацию о профилях безопасности Smart Web Security;
• просматривать информацию о назначенных правах доступа к профилям безопасности;
• просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Назначить роль smart-web-security.auditor может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.viewersmart-web-security.viewer

Роль smart-web-security.viewer позволяет просматривать информацию о профилях безопасности Smart Web Security, а также об облаке и каталоге.

Пользователи с этой ролью могут:

• просматривать информацию о профилях безопасности Smart Web Security;
• просматривать информацию о назначенных правах доступа к профилям безопасности;
• просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.auditor.

Назначить роль smart-web-security.viewer может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.usersmart-web-security.user

Роль smart-web-security.user позволяет просматривать информацию о профилях безопасности Smart Web Security и использовать их.

Пользователи с этой ролью могут:

• просматривать информацию о профилях безопасности Smart Web Security и использовать их в других сервисах Yandex Cloud;
• просматривать информацию о назначенных правах доступа к профилям безопасности;
• просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.viewer.

Назначить роль smart-web-security.user может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.editorsmart-web-security.editor

Роль smart-web-security.editor позволяет использовать профили безопасности Smart Web Security и управлять ими.

Пользователи с этой ролью могут:

• просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
• просматривать информацию о назначенных правах доступа к профилям безопасности;
• просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.user.

Назначить роль smart-web-security.editor может пользователь с ролью admin в облаке или smart-web-security.admin в каталоге.

smart-web-security.adminsmart-web-security.admin

Роль smart-web-security.admin позволяет использовать профили безопасности Smart Web Security, управлять ими и доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к профилям безопасности и изменять такие права доступа;
• просматривать информацию о профилях безопасности Smart Web Security, создавать, изменять и удалять их, а также использовать профили безопасности в других сервисах Yandex Cloud;
• просматривать список виртуальных хостов L7-балансировщика Yandex Application Load Balancer, к которым подключен профиль безопасности;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью smart-web-security.editor.

Назначить роль smart-web-security.admin может пользователь с ролью admin в облаке.

Подробнее см. Управление доступом в Smart Web Security.

Yandex SpeechKitYandex SpeechKit

ai.speechkit-stt.userai.speechkit-stt.user

Роль ai.speechkit-stt.user позволяет использовать сервис Yandex SpeechKit для распознавания речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.

ai.speechkit-tts.userai.speechkit-tts.user

Роль ai.speechkit-tts.user позволяет использовать сервис Yandex SpeechKit для синтеза речи, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в SpeechKit.

Yandex SpeechSenseYandex SpeechSense

speech-sense.auditorspeech-sense.auditor

Роль speech-sense.auditor позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.

speech-sense.viewerspeech-sense.viewer

Роль speech-sense.viewer позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.

Роль speech-sense.viewer включает в себя все разрешения роли speech-sense.auditor.

speech-sense.editorspeech-sense.editor

Роль speech-sense.editor позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство роль позволяет редактировать пространство и создавать в нем проекты, подключения и словари.

Роль speech-sense.editor включает в себя все разрешения роли speech-sense.viewer.

speech-sense.adminspeech-sense.admin

Роль speech-sense.admin, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.

Роль speech-sense.admin включает в себя все разрешения ролей speech-sense.editor и speech-sense.data.editor.

speech-sense.spaces.creatorspeech-sense.spaces.creator

Роль speech-sense.spaces.creator позволяет создавать пространства в SpeechSense.

speech-sense.data.viewerspeech-sense.data.viewer

Роль speech-sense.data.viewer позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.

speech-sense.data.editorspeech-sense.data.editor

Роль speech-sense.data.editor позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.

Роль speech-sense.data.editor включает в себя все разрешения роли speech-sense.data.viewer.

Подробнее см. Управление доступом в SpeechSense.

Yandex TranslateYandex Translate

ai.translate.userai.translate.user

Роль ai.translate.user позволяет использовать сервис Yandex Translate для перевода текста, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в Translate.

Yandex Virtual Private CloudYandex Virtual Private Cloud

vpc.auditorvpc.auditor

Роль vpc.auditor позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них;
• просматривать список подсетей и информацию о них;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

vpc.viewervpc.viewer

Роль vpc.viewer позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них;
• просматривать список подсетей и информацию о них;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.auditor.

vpc.uservpc.user

Роль vpc.user позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
• просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
• просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.externalAddresses.uservpc.externalAddresses.user

Роль vpc.externalAddresses.user позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.

vpc.adminvpc.admin

Роль vpc.admin позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
• настраивать внешний доступ к облачным сетям;
• управлять связностью нескольких облачных сетей;
• управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
• просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
• просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
• привязывать таблицы маршрутизации к подсетям;
• просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
• подключать NAT-шлюзы к таблицам маршрутизации;
• просматривать список групп безопасности и информацию о них, а также создавать, изменять и удалять группы безопасности;
• создавать и удалять в облачных сетях группы безопасности по умолчанию;
• создавать и удалять правила групп безопасности, изменять их метаданные;
• настраивать DHCP в подсетях;
• просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями vpc.privateAdmin, vpc.publicAdmin и vpc.securityGroups.admin.

vpc.bridgeAdminvpc.bridgeAdmin

Роль vpc.bridgeAdmin позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять связностью нескольких облачных сетей;
• просматривать список подсетей и информацию о них, а также использовать подсети;
• просматривать список облачных сетей и информацию о них;
• просматривать список адресов облачных ресурсов и информацию о них;
• просматривать список таблиц маршрутизации и информацию о них;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.privateAdminvpc.privateAdmin

Роль vpc.privateAdmin позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
• просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
• просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
• привязывать таблицы маршрутизации к подсетям;
• просматривать список групп безопасности и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
• настраивать DHCP в подсетях;
• просматривать список адресов облачных ресурсов и информацию о них, а также создавать внутренние IP-адреса;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.publicAdminvpc.publicAdmin

Роль vpc.publicAdmin позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.

Пользователи с этой ролью могут:

• просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
• управлять связностью нескольких облачных сетей;
• управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
• просматривать список подсетей и информацию о них, а также изменять подсети;
• просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
• подключать NAT-шлюзы к таблицам маршрутизации;
• просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
• просматривать список таблиц маршрутизации и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
• просматривать список групп безопасности и информацию о них;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

Роль можно назначить на облако или каталог.

vpc.gateways.viewervpc.gateways.viewer

Роль vpc.gateways.viewer позволяет просматривать информацию о NAT-шлюзах.

vpc.gateways.uservpc.gateways.user

Роль vpc.gateways.user позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.

vpc.gateways.editorvpc.gateways.editor

Роль vpc.gateways.editor позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.

vpc.securityGroups.uservpc.securityGroups.user

Роль vpc.securityGroups.user позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• назначать группы безопасности сетевым интерфейсам виртуальных машин;
• получать список облачных сетей и просматривать информацию о них;
• получать список подсетей и просматривать информацию о них;
• получать список адресов облачных ресурсов и просматривать информацию о них;
• получать список таблиц маршрутизации и просматривать информацию о них;
• получать список групп безопасности и просматривать информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.securityGroups.adminvpc.securityGroups.admin

Роль vpc.securityGroups.admin позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
• создавать и удалять в облачных сетях группы безопасности по умолчанию;
• создавать и удалять правила групп безопасности, изменять их метаданные;
• получать список облачных сетей и просматривать информацию о них;
• получать список подсетей и просматривать информацию о них;
• получать список адресов облачных ресурсов и просматривать информацию о них;
• получать список таблиц маршрутизации и просматривать информацию о них;
• просматривать информацию о NAT-шлюзах;
• просматривать информацию об использованных IP-адресах в подсетях;
• просматривать информацию о квотах сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
• просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
• просматривать информацию об облаке;
• просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

Подробнее см. Управление доступом в Virtual Private Cloud.

Yandex Vision OCRYandex Vision OCR

ai.vision.userai.vision.user

Роль ai.vision.user позволяет использовать сервис Yandex Vision OCR для анализа изображений, а также просматривать информацию об облаке, каталоге и квотах сервиса.

Подробнее см. Управление доступом в Vision OCR.

Yandex WebSQLYandex WebSQL

websql.executedQueries.auditorwebsql.executedQueries.auditor

Роль websql.executedQueries.auditor позволяет просматривать метаданные опубликованного запроса из истории и информацию о назначенных правах доступа к нему.

websql.savedQueries.auditorwebsql.savedQueries.auditor

Роль websql.savedQueries.auditor позволяет просматривать метаданные опубликованного сохраненного запроса и информацию о назначенных правах доступа к нему.

websql.executedQueries.viewerwebsql.executedQueries.viewer

Роль websql.executedQueries.viewer позволяет просматривать информацию об опубликованном запросе из истории и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролью websql.executedQueries.auditor.

websql.savedQueries.viewerwebsql.savedQueries.viewer

Роль websql.savedQueries.viewer позволяет просматривать информацию об опубликованном сохраненном запросе и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролью websql.savedQueries.auditor.

websql.executedQueries.editorwebsql.executedQueries.editor

Роль websql.executedQueries.editor позволяет просматривать информацию об опубликованном запросе из истории и удалять его.

Пользователи с этой ролью могут:

• просматривать информацию об опубликованном запросе из истории и удалять его;
• просматривать информацию о назначенных правах доступа к опубликованному запросу из истории.

Включает разрешения, предоставляемые ролью websql.executedQueries.viewer.

websql.savedQueries.editorwebsql.savedQueries.editor

Роль websql.savedQueries.editor позволяет изменять и удалять опубликованный сохраненный запрос.

Пользователи с этой ролью могут:

• просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его;
• просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу.

Включает разрешения, предоставляемые ролью websql.savedQueries.viewer.

websql.executedQueries.adminwebsql.executedQueries.admin

Роль websql.executedQueries.admin позволяет управлять опубликованным запросом из истории и доступом к нему.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к опубликованному запросу из истории и изменять такие права доступа;
• просматривать информацию об опубликованном запросе из истории и удалять его.

Включает разрешения, предоставляемые ролью websql.executedQueries.editor.

websql.savedQueries.adminwebsql.savedQueries.admin

Роль websql.savedQueries.admin позволяет управлять опубликованным сохраненным запросом и доступом к нему.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к опубликованному сохраненному запросу и изменять такие права доступа;
• просматривать информацию об опубликованном сохраненном запросе, а также изменять и удалять его.

Включает разрешения, предоставляемые ролью websql.savedQueries.editor.

websql.auditorwebsql.auditor

Роль websql.auditor позволяет просматривать метаданные всех опубликованных запросов в сервисе WebSQL и информацию о назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями websql.savedQueries.auditor и websql.executedQueries.auditor.

websql.viewerwebsql.viewer

Роль websql.viewer позволяет просматривать информацию обо всех опубликованных запросах в сервисе WebSQL и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
• просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями websql.savedQueries.viewer и websql.executedQueries.viewer.

websql.userwebsql.user

Роль websql.user позволяет просматривать информацию об опубликованных запросах в сервисе WebSQL, а также создавать, изменять и удалять приватные запросы.

Пользователи с этой ролью могут:

• просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним;
• приватно сохранять запросы, а также изменять и удалять приватные сохраненные запросы;
• просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним;
• сохранять исполненные запросы в приватную историю и удалять такие запросы из истории.

Включает разрешения, предоставляемые ролью websql.viewer.

websql.editorwebsql.editor

Роль websql.editor позволяет управлять опубликованными и приватными запросами в сервисе WebSQL.

Пользователи с этой ролью могут:

• просматривать информацию об опубликованных сохраненных запросах и назначенных правах доступа к ним, а также изменять и удалять опубликованные сохраненные запросы;
• приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
• просматривать информацию об опубликованных запросах из истории и назначенных правах доступа к ним, а также удалять опубликованные запросы из истории;
• сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.

Включает разрешения, предоставляемые ролями websql.user, websql.savedQueries.editor и websql.executedQueries.editor.

websql.adminwebsql.admin

Роль websql.admin позволяет управлять приватными запросами и публиковать их, а также управлять опубликованными запросами и доступом к ним.

Пользователи с этой ролью могут:

• просматривать информацию о назначенных правах доступа к опубликованным сохраненным запросам и изменять такие права доступа;
• просматривать информацию об опубликованных сохраненных запросах, а также изменять и удалять их;
• приватно сохранять запросы, а также изменять, удалять и публиковать приватные сохраненные запросы;
• просматривать информацию о назначенных правах доступа к опубликованным запросам из истории и изменять такие права доступа;
• просматривать информацию об опубликованных запросах из истории и удалять их;
• сохранять исполненные запросы в приватную историю, а также публиковать приватные запросы из истории и удалять их.

Включает разрешения, предоставляемые ролями websql.editor, websql.savedQueries.admin и websql.executedQueries.admin.

Подробнее см. Управление доступом в WebSQL.

Yandex WikiYandex Wiki

wiki.viewerwiki.viewer

Роль wiki.viewer назначается на организацию.

Дает право читать страницы в Yandex Wiki организации.

wiki.adminwiki.admin

Роль wiki.admin назначается на организацию.

Дает право редактировать страницы, настраивать права доступа для других пользователей, изменять список авторов и назначать владельца страницы.

ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc.