Связаться с намиПодключиться

Модуль диагностики доступов (CIEM)

Статья создана
Обновлена 7 марта 2025 г.

В целях обеспечения безопасности данных и облачной инфраструктуры необходимо регулярно проводить аудит прав доступа, имеющихся у пользователей и сервисных аккаунтов.

Модуль диагностики доступов или CIEM (Cloud Infrastructure Entitlement Management) — это инструмент, позволяющий централизованно просматривать полный список доступов субъектов: пользователей, сервисных аккаунтов, групп пользователей, системных групп и публичных групп к ресурсам организации. Этот инструмент также позволяет легко отзывать у субъектов лишние доступы.

Просмотр доступов

Просматривать доступы в интерфейсе Security Deck могут члены организации, которым на эту организацию назначена роль organization-manager.viewer или выше.

Для каждого доступа в выводимом списке указывается имя / идентификатор и тип ресурса, к которому выдан доступ, назначенная субъекту на этот ресурс роль, а также информация о том, была ли эта роль назначена субъекту напрямую или была унаследована из группы, членом которой является этот субъект.

Диагностика доступов позволяет просматривать доступы, назначенные индивидуальному субъекту (пользователю или сервисному аккаунту):

  • напрямую;
  • через группу пользователей;
  • через системную группу;
  • через публичную группу.

Понять, назначен ли доступ на определенный ресурс индивидуальному субъекту напрямую или через группу, можно по значению поля Группа таблицы с доступами субъекта. Если поле не заполнено, значит роль выдана напрямую. В остальных случаях в поле указано имя группы и ее идентификатор.

Доступы группам назначаются только напрямую, поэтому для групп поле Группа таблицы с доступами всегда пустое.

Список выданных субъекту доступов можно фильтровать:

  • по идентификатору ресурса, к которому выдан доступ;
  • по идентификатору выданной роли;
  • по способу назначения: Назначенные напрямую или Назначенные через группу.

Важно

В настоящее время диагностика доступов не отображает права доступа субъектов к платежным аккаунтам и ресурсам сервиса Yandex DataLens.

Отзыв доступов

Диагностика доступов позволяет при необходимости отзывать у индивидуальных субъектов и групп лишние доступы а также исключать индивидуальных субъектов из групп пользователей.

Отзывать доступы могут пользователи, обладающие одной из ролей: admin, resource-manager.admin, organization-manager.admin, resource-manager.clouds.owner, organization-manager.organizations.owner или ролью администратора того сервиса, к ресурсу которого у субъекта отзывается доступ.

Исключить субъекта можно только из группы, созданной администратором организации. Исключить субъекта из системной или публичной группы нельзя.

См. также

Предыдущая
Контроль данных (DSPM)
Следующая
Портал соответствия требованиям