Связаться с намиПодключиться

Разграничение прав доступа для групп пользователей с различными ролями в Yandex Cloud Organization

Статья создана
Обновлена 11 февраля 2025 г.

В настоящем руководстве приведен пример решения по использованию групп пользователей для разграничения прав доступа к ресурсам в организации Yandex Cloud Organization.

Обзор решения

В рамках руководства вы создадите тестовую организацию, в которой будут созданы два облакаproduction и testing, соответствующие независимым друг от друга продуктовой и тестовой средам разработки. Этими облаками будут пользоваться три группы пользователей, созданные в организации: группа инженеров по информационной безопасности (security), группа инженеров DevOps (devops) и группа разработчиков (developers).

Каждой из групп пользователей будет назначен свой набор ролей, соответствующий объему задач, выполняемых пользователями-участниками этих групп. Так, инженерам по информационной безопасности во всей организации будут предоставлены права на получение информации обо всех ресурсах, настройку сбора и хранения аудитных логов любых ресурсов, а также настройку и выполнение сканирования Docker-образов в реестрах Yandex Container Registry.

Кроме того, для группы инженеров по информационной безопасности в продуктовой среде будет создан отдельный каталог security, в котором у участников этой группы будут права администратора и в котором они смогут управлять любыми необходимыми им ресурсами и доступом к ним.

Группе инженеров DevOps в двух облаках будут предоставлены права на управление реестрами Container Registry, кластерами Yandex Managed Service for Kubernetes, кластерами управляемых баз данных, виртуальными машинами, ресурсами сервиса Yandex Monitoring, а также на управление лог-группами Yandex Cloud Logging и доступом к ним.

Группе разработчиков будут предоставлены следующие права доступа:

  • в продуктовой среде на скачивание Docker-образов из реестров Container Registry, просмотр информации о кластерах Kubernetes, подключение к виртуальным машинам Compute Cloud через OS Login, а также на просмотр информации о ресурсах и метриках сервиса Monitoring;
  • в тестовой среде на скачивание и загрузку Docker-образов в реестры Container Registry, управление кластерами Kubernetes, подключение к виртуальным машинам Compute Cloud через OS Login от имени суперпользователя, а также на управление ресурсами сервиса Monitoring.

Чтобы настроить разграничение прав доступа к ресурсам организации с помощью групп пользователей:

  1. Подготовьте платформу Yandex Cloud к работе.
  2. Создайте организацию.
  3. Создайте облака.
  4. Создайте каталог для группы инженеров по информационной безопасности.
  5. Создайте группы пользователей.
  6. Настройте права доступа.
  7. Добавьте пользователей и распределите их по группам.
  8. Создайте рабочую инфраструктуру.

Если созданная тестовая организация вам больше не нужна, удалите ее.

Подготовьте платформу Yandex Cloud к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Создайте организацию

Организация — это рабочее пространство, которое объединяет разные типы ресурсов Yandex Cloud и пользователей. Создать организацию в Yandex Cloud Organization может любой пользователь Яндекса.

Чтобы создать организацию:

  1. Перейдите в сервис Yandex Cloud Organization.

    Порядок действий при создании организации будет зависеть от того, являетесь ли вы уже членом какой-либо организации Yandex Cloud Organization.

  2. Создайте организацию:

    Если вы пока не являетесь членом какой-либо организации Yandex Cloud Organization, при переходе по ссылке у вас откроется форма создания новой организации:

    1. Введите название организации: Example organization.
    2. Нажмите кнопку Создать новую организацию.

    Если вы уже являетесь членом какой-либо организации Yandex Cloud Organization, при переходе по ссылке у вас откроется интерфейс Yandex Cloud Organization в Cloud Center.

    Чтобы не нарушить работу инфраструктуры в существующих организациях, для целей данного руководства вы создадите новую организацию:

    1. В левом верхнем углу экрана рядом с названием текущей организации нажмите значок и выберите Создать организацию.
    2. В открывшемся окне введите название организации: Example organization.
    3. Нажмите Создать новую организацию.

После создания организации вы станете ее владельцем и сможете управлять ее настройками.

Создайте облака

В новой организации вы создадите два облакаtesting и production, в которых, соответственно, будет размещаться инфраструктура независимых друг от друга тестовой и продуктовой сред.

  1. Создайте два облака в организации Example organization:

    1. Перейдите в консоль управления и на панели слева нажмите фото вашего аккаунта.

    2. Выберите организацию Example organization. Откроется окно с формой создания первого облака в организации:

      1. Убедитесь, что в поле Организация выбрана организация Example organization.
      2. В поле Название облака укажите testing.
      3. Нажмите Создать.

      В результате в организации Example organization будет создано первое облако testing, а браузер откроет каталог по умолчанию default, созданный внутри этого нового облака.

    3. В левой части экрана в строке с именем организации Example organization нажмите значок и выберите Создать облако. В открывшемся окне:

      1. В поле Имя укажите production.
      2. Нажмите Создать.

      В результате в организации Example organization будет создано второе облако production.

  2. Убедитесь, что созданные облака привязаны к платежному аккаунту:

    1. Перейдите в сервис Yandex Cloud Billing.

    2. Выберите ваш платежный аккаунт.

    3. На странице с информацией об аккаунте убедитесь, что в блоке Привязанные облака и сервисы указаны оба созданных облака — production и testing.

    4. Если какое-то из облаков (или оба облака) отсутствуют в этом блоке, привяжите их:

      1. В блоке Привязанные облака и сервисы нажмите кнопку Привязать облако.
      2. В открывшемся окне выберите облако, которое необходимо привязать, и нажмите кнопку Привязать.

Создайте каталог для группы инженеров по информационной безопасности

Создайте отдельный каталог security для группы инженеров по информационной безопасности в облаке production.

  1. В консоли управления в списке организаций, облаков и каталогов в левой части экрана выберите облако production.

  2. В строке с именем облака production нажмите значок и выберите Создать каталог. В открывшемся окне:

    1. В поле Имя задайте имя каталога security.
    2. (Опционально) В поле Описание задайте описание создаваемого каталога.
    3. В поле Дополнительно отключите опцию Создать сеть по умолчанию. Позднее при создании инфраструктуры вы в любой момент сможете создать облачную сеть с нужными вам параметрами.
    4. Нажмите кнопку Создать.

Создайте группы пользователей

Создайте три группы пользователей: security для инженеров по информационной безопасности, devops для инженеров DevOps и developers для разработчиков:

  1. Войдите в сервис Yandex Cloud Organization.

  2. На панели слева выберите Группы.

  3. В правом верхнем углу страницы нажмите Создать группу и в открывшемся окне:

    1. Задайте название группы: security.
    2. (Опционально) Задайте описание группы.
    3. Нажмите кнопку Создать группу.

  4. Аналогичным образом создайте две другие группы пользователей — devops и developers.

Настройте права доступа

В рамках настоящего руководства вы назначите группам пользователей несколько ролей, соответствующих профилям деятельности сотрудников, которые будут входить в эти группы.

Примечание

Все пользователи, входящие в группу пользователей, будут автоматически наследовать роли, назначенные группе. Кроме этого, вы также можете назначать роли каждому отдельному пользователю, в том числе входящему в группу пользователей.

Назначьте роли группе инженеров по информационной безопасности

Пользователям, входящим в группу инженеров по информационной безопасности (security), понадобятся следующие возможности:

  • получать информацию обо всех ресурсах во всех облаках организации (роль auditor на организацию);
  • настраивать сбор и хранение аудитных логов всех ресурсов во всех облаках организации (роль audit-trails.admin на организацию);
  • настраивать и выполнять сканирование Docker-образов в реестрах Yandex Container Registry во всех облаках организации (роль container-registry.images.scanner на организацию);
  • управлять всеми ресурсами и доступом к ним в специальном каталоге security облака production (роль admin на этот каталог).

Для того, чтобы предоставить группе пользователей security необходимые права доступа:

  1. Назначьте роли на организацию:

    1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.
    2. На панели слева выберите Права доступа.
    3. Справа сверху нажмите кнопку Назначить роли.
    4. Перейдите на вкладку Группы и выберите группу security.
    5. Нажмите кнопку Добавить роль, введите в строке поиска и выберите роль auditor.
    6. Повторите предыдущее действие, чтобы добавить роли audit-trails.admin и container-registry.images.scanner.
    7. Нажмите кнопку Сохранить.

  2. Назначьте роль admin на каталог security:

    1. В консоли управления выберите каталог security в облаке production.

    2. В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:

      1. Перейдите на вкладку Группы и выберите группу security.
      2. Нажмите кнопку Добавить роль, введите в строке поиска и выберите роль admin.
      3. Нажмите Сохранить.

Назначьте роли группе инженеров DevOps

Пользователям, входящим в группу инженеров DevOps (devops), в обоих облаках понадобятся следующие возможности:

Назначьте группе пользователей devops роли на облака:

  1. В консоли управления выберите облако production.

  2. В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:

    1. Перейдите на вкладку Группы и выберите группу devops.
    2. Нажмите кнопку Добавить роль, найдите и выберите роли container-registry.editor, k8s.editor, mdb.admin, compute.editor, monitoring.admin и logging.admin.
    3. Нажмите Сохранить.

  3. Аналогичным образом назначьте эти же роли группе пользователей devops на облако testing.

Назначьте роли группе разработчиков

Пользователям, входящим в группу разработчиков (developers), понадобятся следующие возможности:

  • скачивать Docker-образы из реестров Container Registry в продуктовой среде (роль container-registry.images.puller на облако production);
  • скачивать и загружать Docker-образы в реестры Container Registry в тестовой среде (роль container-registry.images.pusher на облако testing);
  • просматривать информацию о кластерах Kubernetes в продуктовой среде (роль k8s.viewer на облако production);
  • управлять кластерами Kubernetes в тестовой среде (роль k8s.editor и роль k8s.cluster-api.editor на облако testing);
  • подключаться к виртуальным машинам Compute Cloud через OS Login в продуктовой среде (роль compute.osLogin на облако production);
  • подключаться к виртуальным машинам Compute Cloud через OS Login от имени суперпользователя в тестовой среде (роль compute.osAdminLogin на облако testing);
  • просматривать информацию о ресурсах и метриках Monitoring в продуктовой среде (роль monitoring.viewer на облако production);
  • управлять ресурсами сервиса Monitoring в тестовой среде (роль monitoring.editor на облако testing).

Назначьте группе пользователей developers роли на облака:

  1. В консоли управления выберите облако production.

  2. В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:

    1. Перейдите на вкладку Группы и выберите группу developers.
    2. Нажмите кнопку Добавить роль, найдите и выберите роли container-registry.images.puller, k8s.viewer, compute.osLogin и monitoring.viewer.
    3. Нажмите Сохранить.

  3. Аналогичным образом назначьте группе пользователей developers роли container-registry.images.pusher, k8s.editor, k8s.cluster-api.editor, compute.osAdminLogin и monitoring.editor на облако testing.

Добавьте пользователей и распределите их по группам

Чтобы сотрудники вашей компании могли использовать ресурсы Yandex Cloud, добавьте их в созданную организацию Yandex Cloud Organization, а затем, в зависимости от выполняемых ими обязанностей, распределите добавленных сотрудников по созданным ранее группам пользователей.

  1. Пригласите сотрудников в организацию:

    1. Перейдите в сервис Yandex Cloud Organization.

    2. На панели слева выберите Пользователи.

    3. В правом верхнем углу экрана нажмите кнопку Пригласить пользователей с аккаунтом на Яндексе.

    4. Через запятую введите почтовые адреса пользователей, которых вы хотите пригласить в организацию.

      Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.

    5. Нажмите кнопку Отправить приглашение.

    Сразу после того, как пользователи примут приглашения по ссылке из письма, они станут участниками организации и будут отображаться в списке в разделе Пользователи вашей организации.

    Примечание

    Для доступа к сервисам, которые подключены к организации, приглашенным пользователям достаточно войти в свой аккаунт на Яндексе.

  2. Распределите добавленных пользователей по созданным ранее группам:

    1. Войдите в сервис Yandex Cloud Organization.

    2. На панели слева выберите Группы и нажмите строку с названием нужной группы.

    3. Перейдите на вкладку Участники.

    4. Нажмите кнопку Добавить участника. В открывшемся окне:

      1. Выберите нужных пользователей. При необходимости воспользуйтесь поиском.
      2. Нажмите Сохранить.

    Распределите всех пользователей по группам в соответствии с выполняемыми ими обязанностями.

    Примечание

    Пользователь может являться участником одновременно нескольких групп пользователей.

Создайте рабочую инфраструктуру

Вы завершили базовую настройку прав доступа в вашей тестовой организации. Теперь вы можете создавать в облаках организации различные ресурсы: виртуальные машины, кластеры Yandex Managed Service for Kubernetes, реестры Yandex Container Registry, ключи шифрования KMS, секреты Lockbox и др.

Важно

Обратите внимание, что виртуальные машины, кластеры, реестры, ключи, секреты и многие другие ресурсы, создаваемые в каталогах, тарифицируются. Подробнее о тарификации облачных ресурсов см. в документации соответствующих сервисов.

Права доступа к создаваемым ресурсам будут предоставлены пользователям в соответствии с настройками прав доступа для соответствующих групп пользователей.

Управлять созданной инфраструктурой рекомендуется от имени сервисных аккаунтов, которые могут использоваться для аутентификации программ. Сервисные аккаунты создаются в каталогах. Сервисные аккаунты также можно добавлять в группы пользователей.

При необходимости вы можете в любое время назначить дополнительные роли отдельным пользователям или сервисным аккаунтам как на всю организацию, так и на отдельные облака, каталоги или ресурсы.

Как удалить созданные ресурсы

Если созданная тестовая организация вам больше не нужна, удалите ее.

Сами по себе организации, облака, каталоги и пользователи не тарифицируются, поэтому вам не придется за них платить. Однако другие ресурсы, создаваемые внутри каталогов, могут тарифицироваться.

Кроме того, созданная в настоящем руководстве инфраструктура расходует квоты сервиса Yandex Cloud Billing и некоторых других сервисов. Поэтому неиспользуемую организацию лучше удалить.

Также вы можете отдельно удалить облака, каталоги, группы пользователей, сервисные аккаунты или исключить пользователей из организации.

См. также

Предыдущая
Все руководства
Следующая
Обзор