Управление доступом в SpeechSense
Доступ к сервису Yandex SpeechSense регулируется путем назначения прав в организации. Управление организациями осуществляется с помощью сервиса Yandex Cloud Organization.
Список операций, доступных пользователю SpeechSense, определяется его ролью. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее об управлении доступом в Yandex Cloud см. раздел Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Роль можно назначить на пространство или проект. Роли, назначенные на пространство, действуют и на вложенные проекты и ресурсы.
Какие роли действуют в сервисе
Сервисные роли
speech-sense.auditor
Роль speech-sense.auditor
позволяет просматривать название, описание и список участников проекта или пространства и всех его проектов. Роль не дает доступа к данным проекта.
speech-sense.viewer
Роль speech-sense.viewer
позволяет просматривать характеристики проекта или пространства, список участников, список подключений и дашборды.
Роль speech-sense.viewer
включает в себя все разрешения роли speech-sense.auditor
.
speech-sense.editor
Роль speech-sense.editor
позволяет редактировать проект, его описание, дашборды и алерты, создавать и редактировать его классификаторы и запускать анализ. Назначенная на пространство роль позволяет редактировать пространство и создавать в нем проекты, подключения и словари.
Роль speech-sense.editor
включает в себя все разрешения роли speech-sense.viewer
.
speech-sense.admin
Роль speech-sense.admin
, назначенная на пространство или проект, позволяет выполнять любые действия в нем: просматривать диалоги, редактировать подключения, запускать анализ. Роль дает право назначать роли другим пользователям.
Роль speech-sense.admin
включает в себя все разрешения ролей speech-sense.editor
и speech-sense.data.editor
.
speech-sense.spaces.creator
Роль speech-sense.spaces.creator
позволяет создавать пространства в SpeechSense.
speech-sense.data.viewer
Роль speech-sense.data.viewer
позволяет просматривать название и описание проекта, список подключений и дашборды, список участников проекта, а также дает возможность искать по документам, прослушивать диалоги и просматривать текстовые расшифровки. При назначении роли на пространство дает возможность просматривать все проекты этого пространства, но не дает права редактировать их.
speech-sense.data.editor
Роль speech-sense.data.editor
позволяет загружать диалоги в подключения проекта или пространства, оценивать диалоги и писать комментарии к ним в системе.
Роль speech-sense.data.editor
включает в себя все разрешения роли speech-sense.data.viewer
.
Пользователи с ролями вида speech-sense.data.*
могут просматривать и оценивать содержимое документов, но не имеют доступа к агрегированной информации.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor
предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor
— наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
Роль auditor
в настоящее время доступна во всех сервисах Yandex Cloud, за исключением:
- Yandex Data Streams;
- Yandex Query.
viewer
Роль viewer
предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor
.
В отличие от роли auditor
, роль viewer
предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor
предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer
.
admin
Роль admin
позволяет назначать любые роли, кроме resource-manager.clouds.owner
и organization-manager.organizations.owner
, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin
на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor
.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить на пространство роль speech-sense.editor
вместо speech-sense.viewer
.
Действие |
Необходимые роли |
Просмотр информации |
|
Просмотр пространства и всех его проектов |
|
Просмотр характеристик пространства и проекта |
|
Просмотр проекта, его каналов и диалогов |
|
Управление проектом |
|
Создание проекта |
|
Изменение настроек проекта |
|
Загрузка и оценка диалогов |
|
Написание комментариев |
|
Создание подключений |
|
Создание классификаторов |
|
Запуск анализа |
|
Удаление проекта |
|
Выдача роли в проекте |
|
Управление пространством |
|
Изменение настроек пространства |
|
Удаление пространства |
|
Выдача роли в пространстве |
|