Сервисные роли для контроля данных (DSPM)

С помощью сервисных ролей модуля контроля данных (DSPM) вы можете управлять доступом пользователей к ресурсам модуля контроля данных и их настройкам, а также к данным, содержащимся в результатах сканирования источников на наличие чувствительной информации.

dspm.workerdspm.worker

Роль dspm.worker позволяет просматривать информацию об организации, просматривать список облаков, каталогов и бакетов в заданной пользователем области сканирования и информацию о них, а также просматривать данные в сканируемых бакетах.

Роль выдается сервисному аккаунту, от имени которого будет выполняться сканирование, и назначается на организацию, облако, каталог или бакет.

Роль не позволяет просматривать данные в зашифрованных бакетах. Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту роль kms.keys.decrypter на соответствующий ключ шифрования, либо на каталог, облако или организацию, в которой находится этот ключ.

dspm.inspectordspm.inspector

Роль dspm.inspector позволяет создавать источники данных DSPM с использованием заданных ресурсов Yandex Cloud. Чтобы создать источник данных в DSPM, эту роль необходимо назначить пользователю на соответствующий облачный ресурс.

Роль dspm.inspector устарела и больше не используется.

dspm.auditordspm.auditor

Роль dspm.auditor позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM;
• просматривать информацию об источниках данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности.

dspm.viewerdspm.viewer

Роль dspm.viewer позволяет просматривать информацию о ресурсах сервиса DSPM, а также о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM;
• просматривать информацию об источниках данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности.

Включает разрешения, предоставляемые ролью dspm.auditor.

dspm.editordspm.editor

Роль dspm.editor позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM и использовать их;
• просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
• просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, запускать, изменять и удалять такие задания.

Включает разрешения, предоставляемые ролью dspm.viewer.

dspm.admindspm.admin

Роль dspm.admin позволяет использовать профили DSPM, управлять источниками данных и сканированием на угрозы безопасности, в том числе просматривать замаскированные и необработанные данные в результатах сканирования.

Пользователи с этой ролью могут:

• просматривать информацию о профилях DSPM и использовать их;
• просматривать информацию об источниках данных DSPM, а также создавать, изменять, использовать и удалять их;
• использовать ресурсы Yandex Cloud в источниках данных DSPM;
• просматривать информацию о категориях данных DSPM;
• просматривать информацию о заданиях сканирования на угрозы безопасности, а также создавать, изменять и удалять такие задания;
• запускать задания сканирования и просматривать их результаты и информацию об обнаруженных угрозах.

Включает разрешения, предоставляемые ролью dspm.editor.