Связаться с намиПопробовать бесплатно

Общие роли Yandex Security Deck

Статья создана
Обновлена 3 декабря 2025 г.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Security Deck, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным или локальным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Resource Manager.

Какие роли действуют в сервисе

Для управления правами доступа в Security Deck можно использовать как сервисные, так и примитивные роли.

Сервисные роли

security-deck.worker

Роль security-deck.worker позволяет просматривать информацию об области сканирования модуля DSPM и контролируемых ресурсах модулей KSPM и CSPM в Security Deck.

Пользователи с этой ролью могут:

  • просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем модуля DSPM области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах;
  • просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать список кластеров Kubernetes, информацию о них и их настройках в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать информацию об организации, просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля CSPM.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование DSPM, проверка KSPM или CSPM. Роль назначается на организацию, облако, каталог или (при использовании модуля DSPM) бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

Включает разрешения, предоставляемые ролями dspm.worker, kspm.worker и cspm.worker.

Примечание

Роль не может гарантировать доступа к бакету, если к бакету применена политика доступа Yandex Object Storage.

security-deck.auditor

Роль security-deck.auditor позволяет просматривать информацию о ресурсах модулей DSPM, CSPM и KSPM, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности в модуле DSPM;
  • просматривать информацию о типах и категориях данных;
  • просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • просматривать информацию о коннекторах;
  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM;
  • просматривать информацию о настройках модуля KSPM и операциях в модуле, а также список исключений из правил;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним.

Включает разрешения, предоставляемые ролями dspm.auditor, cspm.auditor, kspm.auditor и security-deck.alertSinks.auditor.

security-deck.viewer

Роль security-deck.viewer позволяет просматривать информацию о событиях доступа к ресурсам организации со стороны сотрудников Yandex Cloud, информацию о ресурсах модулей DSPM, CSPM и KSPM, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM;
  • просматривать информацию о заданиях сканирования на угрозы безопасности в модуле DSPM;
  • просматривать информацию о типах и категориях данных;
  • просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • просматривать информацию о коннекторах;
  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM, о результатах таких проверок, а также о заданных исключениях из правил проверок;
  • просматривать информацию о настройках модуля KSPM, кластерах Managed Service for Kubernetes, подключенных к KSPM, исключениях из правил, исключениях из области контроля, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним;
  • просматривать информацию об алертах и назначенных правах доступа к ним;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем.

Включает разрешения, предоставляемые ролями access-transparency.viewer, dspm.viewer, cspm.viewer, kspm.viewer и security-deck.alertSinks.viewer.

security-deck.editor

Роль security-deck.editor позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM и KSPM. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:
  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • просматривать информацию о заданиях сканирования DSPM на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования DSPM и просматривать их результаты и информацию об обнаруженных угрозах;
  • просматривать информацию о типах и категориях данных DSPM;
  • просматривать метаданные бакетов;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • создавать, изменять и удалять окружения Security Deck;
  • просматривать информацию о коннекторах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
  • задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
  • просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним;
  • создавать, использовать, изменять и удалять приемники алертов;
  • просматривать информацию об алертах и назначенных правах доступа к ним;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
  • создавать, изменять и удалять алерты;
  • просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии.

Включает разрешения, предоставляемые ролями access-transparency.editor, dspm.editor, cspm.editor, kspm.editor и security-deck.alertSinks.editor.

security-deck.admin

Роль security-deck.admin позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM и KSPM. Роль позволяет просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:
  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
  • использовать ресурсы Yandex Cloud в источниках данных DSPM;
  • просматривать информацию о типах и категориях данных DSPM;
  • просматривать информацию о заданиях сканирования DSPM на угрозы безопасности, а также создавать, изменять и удалять такие задания;
  • запускать задания сканирования DSPM и просматривать их результаты и информацию об обнаруженных угрозах, в том числе просматривать замаскированные и необработанные данные в результатах сканирования;
  • просматривать метаданные бакетов;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также создавать, изменять и удалять окружения Security Deck;
  • просматривать информацию о назначенных правах доступа к окружениям Security Deck и изменять такие права доступа;
  • просматривать информацию о коннекторах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о заданиях проверок инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
  • задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
  • просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к приемникам алертов и изменять такие права доступа;
  • просматривать информацию об алертах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к алертам и изменять такие права доступа;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
  • просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии.

Включает разрешения, предоставляемые ролями access-transparency.admin, dspm.admin, cspm.admin, kspm.admin и security-deck.alertSinks.admin.

Кроме того, Yandex Cloud поддерживает свой список ролей для каждого модуля, включенного в состав Security Deck. Подробнее читайте в соответствующих разделах:

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

См. также

Структура ресурсов Yandex Cloud

Предыдущая
Квоты и лимиты
Следующая
Роли YCDR