Связаться с намиПодключиться

Иерархия ресурсов Yandex Cloud

Статья создана
Улучшена
Обновлена 21 октября 2024 г.

Ресурсная модель Resource Manager представлена на диаграмме. Этой модели следует большинство сервисов Yandex Cloud.

Все ресурсы Yandex Cloud — виртуальные машины, диски, сети и другие — размещаются в каталогах. При создании ресурса указывается каталог, в котором он будет создан.

Каждый каталог принадлежит одному облаку. Не существует каталогов вне облака. Нельзя создать каталог внутри другого каталога.

Облака принадлежат организациям.

Организации не взаимодействуют друг с другом. Ресурсы одной организации не могут взаимодействовать с ресурсами другой организации средствами Yandex Cloud. Сервис Yandex Identity Hub управляет организациями.

Внутри организации вы можете настроить доступ к ресурсу на уровнях:

  • Организация.
  • Облако.
  • Каталог.
  • Отдельный ресурс, если сервис поддерживает разграничение доступа на этом уровне.

По умолчанию новый пользователь-участник организации не имеет доступа к ресурсам в облаках организации. Права доступа ему необходимо выдать явно: назначить роль непосредственно на ресурс или на каталог, облако или организацию этого ресурса.

Ресурсы Resource Manager

Облако

Облако — изолированное пространство, в котором создаются каталоги.

Облака по умолчанию изолированы друг от друга. Переносить ресурсы между облаками нельзя. Для ресурсов, которые поддерживают кросс-облачное взаимодействие, его можно настроить отдельно.

Владелец облака

При создании облака ему назначается владелец. Владелец облака — пользователь, которому назначена роль resource-manager.clouds.owner на это облако.

Владелец может выполнять любые операции с облаком и ресурсами в нем.

Владелец может выдавать доступ к облаку другим пользователям: назначать им роли и отзывать их. Только владелец облака может назначать пользователям и отзывать у них роль resource-manager.clouds.owner. В том числе владелец может отозвать эту роль у себя.

У облака должен быть хотя бы один владелец. Пользователь, который создал облако, автоматически становится его владельцем. Единственный владелец облака не может отозвать у себя роль resource-manager.clouds.owner.

Участник облака

Роль resource-manager.clouds.member не дает прав на выполнение каких-либо операций с ресурсами. Эта роль используется в сочетании с другими ролями.

Роль полезна, если пользователю необходим доступ к ресурсам Yandex Cloud не только через CLI, API и Terraform, но и через консоль управления.

resource-manager.clouds.member — это одна из ролей, которая даст пользователю доступ к консоли управления. Так же для этой цели подойдет любая роль из списка:

  • На организации или облаке:

    • resource-manager.admin;
    • resource-manager.editor;
    • resource-manager.viewer;
    • resource-manager.auditor;
    • admin;
    • editor;
    • viewer;
    • auditor.

  • На облаке:

    • resource-manager.clouds.owner.

Каждая роль из списка даст пользователю не только доступ к консоли, но и свои разрешения на ресурсы облака или организацию. В зависимости от роли это может быть чтение информации обо всех ресурсах в облаке или создание и удаление любого ресурса.

Чтобы не давать пользователю дополнительных прав, используйте resource-manager.clouds.member. Роль обеспечит доступ к консоли управления при минимальных дополнительных правах. Пользователь увидит только общую информацию об облаке, на которое ему назначена роль, но не сможет просмотреть ресурсы и права доступа к облаку.

Пример:

Администратор должен управлять сетевой связностью ресурсов во всех облаках организации. За несетевые ресурсы отвечают другие члены команды. Для этого случая можно использовать такую матрицу доступа:

Роль На ресурс Разрешает
vpc.admin Организация Управлять сетями, маршрутами, IP-адресами и другими ресурсами сервиса Virtual Private Cloud через CLI, API и Terraform во всех облаках организации
resource-manager.clouds.member Все облака организации Работать с ресурсами сервиса Virtual Private Cloud в консоли управления, видеть общую информацию об облаках

Примечание

Если в организации много облаков и они часто создаются и удаляются, каждый раз назначать resource-manager.clouds.member на облако будет неудобно. В этом случае можно заменить resource-manager.clouds.member ролью resource-manager.viewer — назначьте ее один раз на организацию, и администратор сможет работать в консоли управления с ресурсами Virtual Private Cloud всех облаков, включая будущие облака. Роль позволит видеть информацию обо всех облаках и каталогах, включая списки прав доступа.

Каталог

Каталог — пространство, в котором создаются и группируются ресурсы Yandex Cloud.

Как и каталоги в файловой системе, каталоги в Yandex Cloud упрощают управление ресурсами. Вы можете группировать ресурсы в каталоги по типу ресурса, проекту, отделу, который работает с этими ресурсами, или по любому другому признаку.

Наследование прав доступа

Когда пользователь (субъект) выполняет какую-либо операцию с ресурсом, сервис Identity and Access Management проверяет права доступа у пользователя на этот ресурс.

Права доступа к ресурсам наследуются:

  • Права на организацию распространяются на ресурсы организации:
  • Права на облако распространяются на все каталоги внутри облака.
  • Права на каталог распространяются на все ресурсы каталога.

Например, для организации myorganization со следующей структурой:

  • Облако mycloud:
  • Каталог robots:
    • Сервисный аккаунт Alice.
    • Сервисный аккаунт Bob.

Если пользователю назначить роль resource-manager.viewer на организацию, он увидит список всех облаков, каталогов и ресурсов в организации, но не сможет ими управлять.

Если добавить пользователю роль editor на облако mycloud, он сможет управлять всеми ресурсами облака, включая Alice и Bob, но дать доступ другому пользователю к ним он не сможет.

Роль admin на каталог robots позволит пользователю управлять доступом ко всем ресурсам каталога, включая Alice и Bob.

На некоторые ресурсы нельзя назначать роль непосредственно, для таких ресурсов роль назначается на каталог, облако или организацию. Если права на каталог отсутствуют, Identity and Access Management проверит права доступа к облаку и организации.

Удаление ресурсов Resource Manager

Вы можете удалить облако или каталог. При удалении вы указываете, удалять ли ресурс сразу или по истечении заданного срока удаления. Срок удаления по умолчанию — 7 дней. В течение этого срока ресурсы будут остановлены, облако/каталог перейдет в статус ожидания удаления PENDING_DELETION.

После завершения периода ожидания облако/каталог переходит в статус DELETING. В этом статусе происходит процесс необратимого удаления, занимающий до 72 часов. В результате вместе с облаком/каталогом удаляются все созданные в нем ресурсы.

Причины невозможности удаления каталогов

В статусе DELETING удаление каталога может быть отменено системой. Возможные причины:

  • IP-адрес Yandex Virtual Private Cloud из удаляемого каталога используется виртуальной машиной в другом каталоге.
  • В удаляемом каталоге есть кластеры управляемых баз данных, защищенные от удаления.

В случае такой отмены удаление будет остановлено, каталог вернется в статус ACTIVE, а пользователь получит сообщение с описанием причин, которые не позволили удалить каталог. При этом часть ресурсов каталога может оказаться удалена: такие ресурсы не будут восстановлены после отмены удаления. Другая часть ресурсов может оказаться не удалена: такие ресурсы продолжат тарифицироваться.

См. также

Предыдущая
Приглашение нового пользователя и назначение ролей
Следующая
Метки ресурсов сервисов