Управление доступом в Network Load Balancer
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, локальному пользователю, федеративному пользователю, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
load-balancer.auditor
Роль load-balancer.auditor позволяет просматривать список целевых групп и сетевых балансировщиков, а также информацию о них и о квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список целевых групп и информацию о них;
- просматривать список сетевых балансировщиков и информацию о них;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Network Load Balancer.
load-balancer.viewer
Роль load-balancer.viewer позволяет просматривать список целевых групп и сетевых балансировщиков, информацию о них и список операций с ними, а также информацию о каталоге, облаке и квотах сервиса.
Пользователи с этой ролью могут:
- просматривать список целевых групп и информацию о них;
- просматривать список сетевых балансировщиков и информацию о них;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервиса Network Load Balancer.
Включает разрешения, предоставляемые ролью load-balancer.auditor.
load-balancer.privateAdmin
Роль load-balancer.privateAdmin позволяет управлять внутренними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них, а также создавать внутренние сетевые балансировщики (в т.ч. с UDP-обработчиком), изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях, а также создавать внутренние адреса;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролями load-balancer.viewer и vpc.viewer.
load-balancer.editor
Роль load-balancer.editor позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах. Роль не позволяет создавать публичные IP-адреса.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них;
- создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах, а также создавать внутренние адреса и использовать их;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью load-balancer.privateAdmin.
load-balancer.admin
Роль load-balancer.admin позволяет управлять внутренними и внешними сетевыми балансировщиками нагрузки и целевыми группами, а также просматривать информацию о них и об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах.
Пользователи с этой ролью могут:
- просматривать список сетевых балансировщиков и информацию о них;
- создавать внутренние и внешние сетевые балансировщики, а также сетевые балансировщики с UDP-обработчиками, изменять, удалять, запускать и останавливать их;
- просматривать список целевых групп и информацию о них, а также создавать, изменять, удалять и использовать целевые группы;
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах, а также создавать внутренние и публичные адреса и использовать их;
- просматривать информацию об операциях с ресурсами сервисов Virtual Private Cloud и Compute Cloud;
- просматривать список операций с ресурсами сервиса Network Load Balancer;
- просматривать информацию об облаке и каталоге;
- просматривать информацию о квотах сервисов Network Load Balancer и Virtual Private Cloud.
Включает разрешения, предоставляемые ролью load-balancer.editor.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.
Для любых операций с сетевым балансировщиком, имеющим публичный IP-адрес, необходима роль load-balancer.admin. В сетях, где расположены целевые группы, допускается иметь вместо нее роль vpc.publicAdmin. Для операций над внутренним сетевым балансировщиком необходима роль load-balancer.privateAdmin, а для операций над его целевыми группами — load-balancer.privateAdmin или compute.admin.
Для операций над целевыми группами, расположенных в подсетях, где указанные административные роли отсутствуют, потребуется роль vpc.user на эти подсети.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о любом ресурсе | get, list, listOperations |
viewer на этот ресурс |
| Управление сетевыми балансировщиками | ||
| Создание и изменение балансировщиков в каталоге | create |
load-balancer.privateAdmin / load-balancer.admin или editor на каталог и (в случае публичного балансировщика) сети, в которых расположены целевые группы |
| Удаление балансировщиков | update, delete |
load-balancer.privateAdmin / load-balancer.admin или editor на балансировщик |
| Присоединение целевых групп | attachTargetGroup |
load-balancer.privateAdmin / load-balancer.admin или editor на каталог и (в случае публичного балансировщика) сети, в которых расположены целевые группы |
| Отсоединение целевых групп | detachTargetGroup |
load-balancer.privateAdmin / load-balancer.admin или editor на балансировщик |
| Получение состояний целевых групп | getTargetStates |
load-balancer.viewer или viewer на балансировщик и на указанные целевые группы |
| Добавление, удаление обработчиков | addListener, removeListener |
load-balancer.privateAdmin / load-balancer.admin или editor на балансировщик |
| Остановка и запуск балансировщика | stop, start |
load-balancer.privateAdmin / load-balancer.admin или editor на балансировщик |
| Управление целевыми группами | ||
| Создание и изменений целевых групп в каталоге | create |
load-balancer.privateAdmin / load-balancer.admin или editor на каталог и на подсети, в которых расположены целевые группы |
| Удаление целевых групп | update, delete |
load-balancer.privateAdmin / load-balancer.admin или editor на целевую группу и балансировщик |
| Добавление ресурсов в целевой группе | addTargets |
load-balancer.privateAdmin / load-balancer.admin или editor на целевую группу, балансировщик и на подсети, в которых расположены целевые группы |
| Удаление ресурсов в целевой группе | removeTargets |
load-balancer.privateAdmin / load-balancer.admin или editor на целевую группу |
| Управление доступом к ресурсам | ||
| Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот ресурс |