Управление доступом в Managed Service for Apache Airflow™

В этом разделе вы узнаете:

• на какие ресурсы можно назначить роль;
• какие роли действуют в сервисе.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, локальному пользователю, федеративному пользователю, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль managed-airflow.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

На какие ресурсы можно назначить рольНа какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for Apache Airflow™, назначьте пользователю нужные роли на каталог, облако или организацию, в которых содержатся эти ресурсы.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Сервисные ролиСервисные роли

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе.

managed-airflow.auditormanaged-airflow.auditor

Роль managed-airflow.auditor позволяет просматривать информацию о кластерах Apache Airflow™.

managed-airflow.viewermanaged-airflow.viewer

Роль managed-airflow.viewer позволяет просматривать информацию о кластерах Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.auditor.

managed-airflow.usermanaged-airflow.user

Роль managed-airflow.user позволяет выполнять базовые операции с кластерами Apache Airflow™.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Apache Airflow™;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.viewer.

managed-airflow.editormanaged-airflow.editor

Роль managed-airflow.editor позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.user.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.adminmanaged-airflow.admin

Роль managed-airflow.admin позволяет управлять кластерами Apache Airflow™, а также получать информацию о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:

• управлять доступом к кластерам Apache Airflow™;
• просматривать информацию о кластерах Apache Airflow™, а также создавать, изменять и удалять их;
• использовать веб-интерфейс Apache Airflow™;
• отправлять запросы к API Apache Airflow™.

Включает разрешения, предоставляемые ролью managed-airflow.editor.

Для создания кластеров Apache Airflow™ дополнительно необходима роль vpc.user.

managed-airflow.integrationProvidermanaged-airflow.integrationProvider

Роль managed-airflow.integrationProvider позволяет кластеру Apache Airflow™ взаимодействовать от имени сервисного аккаунта с пользовательскими ресурсами, необходимыми для работы кластера. Роль назначается сервисному аккаунту, привязанному к кластеру Apache Airflow™.

Сервисные аккаунты с этой ролью могут:

• добавлять записи в лог-группы;
• просматривать информацию о лог-группах;
• просматривать информацию о приемниках логов;
• просматривать информацию о назначенных правах доступа к ресурсам сервиса Cloud Logging;
• просматривать информацию о выгрузках логов;
• просматривать информацию о метриках Monitoring и их метках, а также загружать и выгружать метрики;
• просматривать список дашбордов и виджетов Monitoring и информацию о них, а также создавать, изменять и удалять дашборды и виджеты;
• просматривать историю уведомлений Monitoring;
• просматривать список бакетов и информацию о них, в том числе о регионе размещения, версионировании, шифровании, конфигурации CORS, конфигурации хостинга статических сайтов, конфигурации HTTPS, настройках логирования, назначенных правах доступа, публичном доступе и классе хранилища по умолчанию;
• просматривать списки объектов в бакетах и информацию об объектах, в том числе о конфигурации жизненных циклов объектов, назначенных правах доступа к объектам, текущих составных загрузках, версиях объектов c их метаданными, временных и бессрочных блокировках версий объектов;
• просматривать метки бакетов, объектов и версий объектов, а также статистику сервиса Object Storage;
• просматривать информацию о секретах Yandex Lockbox и назначенных правах доступа к ним;
• просматривать информацию о квотах сервисов Object Storage, Monitoring и Yandex Lockbox;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями logging.writer, monitoring.editor, storage.viewer и lockbox.viewer.

Роль не разрешает доступ к содержимому секретов Yandex Lockbox. Для того чтобы кластер Apache Airflow™ имел доступ к содержимому секретов в Yandex Lockbox, выдайте сервисному аккаунту дополнительную роль lockbox.payloadViewer на каталог или на определенные секреты.

Примитивные ролиПримитивные роли

viewerviewer

Роль viewer позволяет просматривать информацию о кластерах Managed Service for Apache Airflow™ и логах их работы.

editoreditor

Пользователь с ролью editor может управлять любыми ресурсами, например создать кластер, создать или удалить подкластер в кластере.

Включает в себя роль viewer.

adminadmin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать кластеры Managed Service for Apache Airflow™ или просматривать информацию о правах пользователей.

Включает в себя роль editor.

Какие роли необходимыКакие роли необходимы

Чтобы пользоваться сервисом, необходима роль managed-airflow.editor или выше на каталог, в котором создается кластер. Роль managed-airflow.viewer позволит только просматривать список кластеров.

Чтобы создать кластер Managed Service for Apache Airflow™, нужна роль vpc.user и роль managed-airflow.editor или выше.

Вы всегда можете назначить роль, которая дает более широкие разрешения. Например, назначить managed-airflow.admin вместо managed-airflow.editor.

Что дальшеЧто дальше

• Как назначить роль.
• Как отозвать роль.
• Подробнее об управлении доступом в Yandex Cloud.
• Подробнее о наследовании ролей.