Связаться с намиПодключиться

Управление доступом в Cloud Interconnect

Статья создана
Обновлена 22 мая 2025 г.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Cloud Interconnect, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена на родительский ресурс (каталог или облако) и на организацию.

Об управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть одна из следующих ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль на облако:

  1. При необходимости добавьте нужного пользователя.
  2. В консоли управления слева выберите облако.
  3. Перейдите на вкладку Права доступа.
  4. Нажмите кнопку Настроить доступ.
  5. В открывшемся окне выберите раздел Пользовательские аккаунты.
  6. Выберите пользователя из списка или воспользуйтесь поиском.
  7. Нажмите кнопку Добавить роль и выберите роль в облаке.
  8. Нажмите кнопку Сохранить.

Подробнее о назначении ролей см. в документации сервиса Yandex Identity and Access Management.

На какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Cloud Interconnect.

Сервисные роли

cic.auditor

Роль cic.auditor позволяет просматривать информацию о ресурсах сервиса.

Пользователи с этой ролью могут:

cic.viewer

Роль cic.viewer позволяет просматривать информацию о ресурсах сервиса Cloud Interconnect.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.auditor.

cic.editor

Роль cic.editor позволяет управлять транковыми подключениями, приватными и публичными соединениями, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.viewer.

cic.secretViewer

Роль cic.secretViewer позволяет просматривать информацию о ресурсах сервиса, а также получать секреты приватных и публичных соединений.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.viewer.

cic.secretEditor

Роль cic.secretEditor позволяет просматривать информацию о ресурсах сервиса, а также получать и изменять секреты приватных и публичных соединений.

Пользователи с этой ролью могут:

Включает разрешения, предоставляемые ролью cic.secretViewer.

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Предыдущая
Правила тарификации
Следующая
Overview