Управление доступом в Cloud Logging
Для управления правами доступа в Cloud Logging используются роли.
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Через YC CLI или API Yandex Cloud роль можно назначить на отдельные ресурсы сервиса:
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Cloud Logging.
Сервисные роли
logging.viewer
Роль logging.viewer
дает право смотреть список лог-групп и информацию о них.
logging.editor
Роль logging.editor
дает право обновлять все настройки лог-группы, кроме прав доступа.
Роль logging.editor
включает все разрешения, которые дает роль logging.viewer
.
logging.reader
Роль logging.reader
дает право смотреть записи в лог-группе.
Роль logging.reader
включает все разрешения, которые дает роль logging.viewer
.
logging.writer
Роль logging.writer
дает право добавлять записи в лог-группу.
Роль logging.writer
включает все разрешения, которые дает роль logging.viewer
.
logging.admin
Роль logging.admin
дает все разрешения для управления лог-группой, включая назначение ролей на лог-группу другим пользователям.
Роль logging.admin
включает все разрешения, которые дают роли logging.editor
, logging.reader
и logging.writer
.
Примитивные роли
auditor
Позволяет просматривать конфигурацию и метаданные сервиса без возможности доступа к данным.
viewer
Позволяет просматривать информацию о ресурсах.
editor
Позволяет управлять ресурсами, например создавать, изменять и удалять их.
admin
Позволяет управлять ресурсами и доступом к ним.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.