Yandex Cloud
Поиск
Связаться с экспертомПопробовать бесплатно
  • Кейсы
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
  • Marketplace
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Искусственный интеллект
    • Безопасность
    • Инструменты DevOps
    • Бессерверные вычисления
    • Управление ресурсами
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Калькулятор цен
    • Тарифы
    • Акции и free tier
  • Кейсы
  • Документация
  • Блог
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»
Yandex Security Deck
    • Общие роли Security Deck
    • Роли DSPM
    • Роли KSPM
    • Роли CIEM
    • Роли CSPM
    • Роли TD
    • Роли VM
    • Роли Access Transparency
    • Роли модуля Алерты
  • Правила тарификации
  • Аудитные логи Audit Trails
  • История изменений

В этой статье:

  • Какие роли действуют в сервисе
  • Сервисные роли
  • Примитивные роли
  • Полезные ссылки
  1. Управление доступом
  2. Общие роли Security Deck

Общие роли Yandex Security Deck

Статья создана
Yandex Cloud
Обновлена 8 июля 2026 г.
Открыть в Markdown
  • Какие роли действуют в сервисе
    • Сервисные роли
    • Примитивные роли
  • Полезные ссылки

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Security Deck, назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным или локальным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Resource Manager.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Для управления правами доступа в Security Deck можно использовать как сервисные, так и примитивные роли.

Сервисные ролиСервисные роли

security-deck.workersecurity-deck.worker

Роль security-deck.worker позволяет просматривать информацию об области сканирования модуля DSPM и контролируемых ресурсах модулей KSPM, CSPM и TD в Security Deck.

Пользователи с этой ролью могут:

  • просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем модуля DSPM области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах;
  • просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать список кластеров Kubernetes, информацию о них и их настройках в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
  • просматривать информацию об организации, просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для модуля CSPM;
  • просматривать логи, регистрируемые в инфраструктуре клиента, с помощью сервиса Yandex Audit Trails для модуля TD.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование DSPM, проверка KSPM, CSPM или TD. Роль назначается на организацию, облако, каталог или (при использовании модуля DSPM) бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

Включает разрешения, предоставляемые ролями dspm.worker, kspm.worker, cspm.worker и td.worker.

Примечание

Роль не может гарантировать доступа к бакету, если к бакету применена политика доступа Yandex Object Storage.

security-deck.auditorsecurity-deck.auditor

Роль security-deck.auditor позволяет просматривать информацию о ресурсах модулей DSPM, CSPM, KSPM, VM и TD, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM и их областях сканирований;
  • просматривать информацию о заданиях сканирования на наличие чувствительной информации в модуле DSPM;
  • просматривать информацию о типах и категориях данных;
  • просматривать информацию о сканированиях на наличие чувствительной информации в модуле DSPM;
  • просматривать списки результатов и ошибок сканирований;
  • просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
  • просматривать информацию о результатах анализа данных модуля DSPM;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • просматривать информацию о коннекторах;
  • просматривать информацию о проверках инфраструктуры на соответствие стандартам безопасности, а также о заданиях таких проверок, указанных в настройках модуля CSPM;
  • просматривать информацию о настройках модуля KSPM и операциях в модуле, а также список исключений из правил;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним;
  • просматривать результаты сканирования модуля VM;
  • просматривать информацию о правилах контроля безопасности модуля TD и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролями dspm.auditor, cspm.auditor, kspm.auditor, security-deck.alertSinks.auditor, vulnerability-manager.auditor и threat-detector.auditor.

security-deck.viewersecurity-deck.viewer

Роль security-deck.viewer позволяет просматривать информацию о событиях доступа к ресурсам организации со стороны сотрудников Yandex Cloud, информацию о ресурсах модулей DSPM, CSPM, KSPM, VM и TD, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM;
  • просматривать информацию об источниках данных DSPM и их областях сканирований;
  • просматривать информацию о заданиях сканирования на наличие чувствительной информации в модуле DSPM;
  • просматривать информацию о типах и категориях данных;
  • просматривать информацию о сканированиях на наличие чувствительной информации в модуле DSPM;
  • просматривать списки результатов и ошибок сканирований;
  • просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
  • просматривать информацию о результатах анализа данных модуля DSPM;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • просматривать информацию о коннекторах;
  • просматривать информацию о проверках инфраструктуры на соответствие стандартам безопасности и их результатах, а также о заданиях таких проверок и исключениях из правил проверок, указанных в настройках модуля CSPM;
  • просматривать информацию о настройках модуля KSPM, кластерах Managed Service for Kubernetes, подключенных к KSPM, исключениях из правил, исключениях из области контроля, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним;
  • просматривать информацию об алертах и назначенных правах доступа к ним;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
  • просматривать информацию о заданиях сканирования модуля VM и результаты сканирования в рамках этих заданий;
  • просматривать информацию о правилах контроля безопасности модуля TD и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролями access-transparency.viewer, dspm.viewer, cspm.viewer, kspm.viewer, security-deck.alertSinks.viewer, vulnerability-manager.viewer и threat-detector.viewer.

security-deck.editorsecurity-deck.editor

Роль security-deck.editor позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM, KSPM, VM и TD. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:
  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM и их областях сканирований, а также создавать, изменять, использовать и удалять такие источники;
  • просматривать информацию о заданиях сканирования DSPM на наличие чувствительной информации, а также создавать, запускать, приостанавливать, возобновлять, изменять и удалять такие задания;
  • просматривать информацию о сканированиях на наличие чувствительной информации, а также создавать, приостанавливать, возобновлять, изменять и удалять их;
  • просматривать списки результатов и ошибок сканирований на наличие чувствительной информации;
  • просматривать результаты сканирования DSPM на наличие чувствительной информации и информацию об обнаруженных угрозах;
  • просматривать информацию о типах и категориях данных DSPM;
  • просматривать информацию о результатах анализа данных модуля DSPM;
  • просматривать метаданные бакетов;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также о назначенных правах доступа к ним;
  • создавать, изменять и удалять окружения Security Deck;
  • просматривать информацию о коннекторах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о проверках инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM, а также удалять проверки;
  • просматривать информацию о заданиях проверок модуля CSPM;
  • запускать проверку на соответствие правилам контроля безопасности модуля CSPM вручную;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
  • задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
  • просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов и назначенных правах доступа к ним;
  • создавать, использовать, изменять и удалять приемники алертов;
  • просматривать информацию об алертах и назначенных правах доступа к ним;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
  • создавать, изменять и удалять алерты;
  • просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии;
  • просматривать информацию о заданиях сканирования модуля Управление уязвимостями, а также редактировать такие задания;
  • запускать задания сканирования модуля Управление уязвимостями и просматривать их результаты;
  • просматривать информацию о правилах контроля безопасности модуля TD, а также создавать исключения из правил контроля безопасности;
  • просматривать информацию о назначенных правах доступа к модулю TD.

Включает разрешения, предоставляемые ролями access-transparency.editor, dspm.editor, cspm.editor, kspm.editor, security-deck.alertSinks.editor, vulnerability-manager.editor и threat-detector.editor.

security-deck.adminsecurity-deck.admin

Роль security-deck.admin позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM, KSPM, VM и TD. Роль позволяет просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:
  • выбирать платежный аккаунт в модуле Access Transparency;
  • просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
  • просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
  • просматривать информацию о профилях DSPM и использовать их;
  • просматривать информацию об источниках данных DSPM и их областях сканирований, а также создавать, изменять, использовать и удалять такие источники;
  • использовать ресурсы Yandex Cloud в источниках данных DSPM;
  • просматривать информацию о типах и категориях данных DSPM;
  • просматривать информацию о результатах анализа данных модуля DSPM;
  • просматривать информацию о заданиях сканирования DSPM на наличие чувствительной информации, а также создавать, запускать, приостанавливать, возобновлять, изменять и удалять такие задания;
  • просматривать информацию о сканированиях на наличие чувствительной информации, а также создавать, приостанавливать, возобновлять, изменять и удалять их;
  • просматривать списки результатов и ошибок сканирований на наличие чувствительной информации;
  • просматривать результаты заданий сканирования DSPM и информацию об обнаруженных угрозах, в том числе просматривать замаскированные и необработанные данные в результатах сканирования;
  • просматривать метаданные бакетов;
  • просматривать информацию об окружениях Security Deck и контролируемых в них ресурсах, а также создавать, изменять и удалять окружения Security Deck;
  • просматривать информацию о назначенных правах доступа к окружениям Security Deck и изменять такие права доступа;
  • просматривать информацию о коннекторах, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о проверках инфраструктуры на соответствие стандартам безопасности, заданным в настройках модуля CSPM, а также удалять проверки;
  • просматривать информацию о заданиях проверок модуля CSPM;
  • запускать проверку на соответствие правилам контроля безопасности модуля CSPM вручную;
  • просматривать результаты проверок безопасности модуля CSPM;
  • создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
  • просматривать заданные исключения из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
  • задействовать, настраивать и отключать модуль KSPM, создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
  • просматривать информацию о кластерах Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
  • просматривать информацию о приемниках алертов, а также создавать, использовать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к приемникам алертов и изменять такие права доступа;
  • просматривать информацию об алертах, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к алертам и изменять такие права доступа;
  • просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
  • просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии;
  • просматривать информацию о заданиях сканирования модуля Управление уязвимостями, а также редактировать такие задания;
  • запускать задания сканирования модуля Управление уязвимостями и просматривать их результаты;
  • просматривать информацию о правилах контроля безопасности модуля TD, а также создавать исключения из правил контроля безопасности;
  • просматривать информацию о назначенных правах доступа к модулю TD, а также изменять их.

Включает разрешения, предоставляемые ролями access-transparency.admin, dspm.admin, cspm.admin, kspm.admin, security-deck.alertSinks.admin, vulnerability-manager.admin и threat-detector.admin.

Кроме того, Yandex Cloud поддерживает свой список ролей для каждого модуля, включенного в состав Security Deck. Подробнее читайте в соответствующих разделах:

  • Роли для контроля данных (Data Security Posture Management).
  • Роли для контроля безопасности с использованием модуля KSPM.
  • Роли для диагностики доступов (Cloud Infrastructure Entitlement Management).
  • Роли для контроля безопасности с использованием модуля CSPM.
  • Роли для анализа данных Access Transparency.
  • Роли для управления алертами и приемниками алертов.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях в справочнике ролей Yandex Cloud.

Полезные ссылкиПолезные ссылки

Структура ресурсов Yandex Cloud

Была ли статья полезна?

Предыдущая
Ошибки в работе VM
Следующая
Роли DSPM
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»