Управление доступом в SpeechSense
Доступ к сервису Yandex SpeechSense регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Identity Hub.
Список операций, доступных пользователю SpeechSense, определяется его ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin, resource-manager.clouds.owner или organization-manager.organizations.owner на этот ресурс.
На какие ресурсы можно назначить роль
В интерфейсе SpeechSense роль можно назначить на пространство или проект. Роли, назначенные на пространство, действуют и на вложенные проекты и ресурсы.
Какие роли действуют в сервисе
Сервисные роли
speech-sense.auditor
Роль speech-sense.auditor позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.
speech-sense.viewer
Роль speech-sense.viewer позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.
Роль speech-sense.viewer включает в себя все разрешения роли speech-sense.auditor.
speech-sense.editor
Роль speech-sense.editor позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство роль позволяет редактировать пространство и создавать в нем проекты, подключения и словари.
Роль speech-sense.editor включает в себя все разрешения роли speech-sense.viewer.
speech-sense.admin
Роль speech-sense.admin, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.
Роль speech-sense.admin включает в себя все разрешения ролей speech-sense.editor и speech-sense.data.editor.
speech-sense.spaces.creator
Роль speech-sense.spaces.creator позволяет создавать пространства в SpeechSense.
speech-sense.data.viewer
Роль speech-sense.data.viewer позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.
speech-sense.data.editor
Роль speech-sense.data.editor позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.
Роль speech-sense.data.editor включает в себя все разрешения роли speech-sense.data.viewer.
Пользователи с ролями вида speech-sense.data.* могут просматривать и оценивать содержимое документов, но не имеют доступа к агрегированной информации.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить на пространство роль speech-sense.editor вместо speech-sense.viewer.
|
Действие |
Необходимые роли |
|
Просмотр информации |
|
|
Просмотр пространства и всех его проектов |
|
|
Просмотр характеристик пространства и проекта |
|
|
Просмотр проекта, его каналов и диалогов |
|
|
Управление проектом |
|
|
Создание проекта |
|
|
Изменение настроек проекта |
|
|
Загрузка и оценка диалогов |
|
|
Написание комментариев |
|
|
Создание подключений |
|
|
Создание классификаторов |
|
|
Запуск анализа |
|
|
Удаление проекта |
|
|
Выдача роли в проекте |
|
|
Управление пространством |
|
|
Изменение настроек пространства |
|
|
Удаление пространства |
|
|
Выдача роли в пространстве |
|