Управление доступом в Virtual Private Cloud
Для управления правами доступа в Virtual Private Cloud используются роли.
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
vpc.auditor
Роль vpc.auditor позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
vpc.viewer
Роль vpc.viewer позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них;
- просматривать список подсетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.auditor.
vpc.user
Роль vpc.user позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
- просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
- просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
vpc.externalAddresses.user
Роль vpc.externalAddresses.user позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.
vpc.admin
Роль vpc.admin позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
- настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
- просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
- привязывать таблицы маршрутизации к подсетям;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать список групп безопасности и информацию о них, а также создавать, изменять и удалять группы безопасности;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- настраивать DHCP в подсетях;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями vpc.privateAdmin, vpc.publicAdmin и vpc.securityGroups.admin.
vpc.bridgeAdmin
Роль vpc.bridgeAdmin позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- управлять связностью нескольких облачных сетей;
- просматривать список подсетей и информацию о них, а также использовать подсети;
- просматривать список облачных сетей и информацию о них;
- просматривать список адресов облачных ресурсов и информацию о них;
- просматривать список таблиц маршрутизации и информацию о них;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
vpc.privateAdmin
Роль vpc.privateAdmin позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
- просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
- просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
- привязывать таблицы маршрутизации к подсетям;
- просматривать список групп безопасности и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
- настраивать DHCP в подсетях;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать внутренние IP-адреса;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
vpc.publicAdmin
Роль vpc.publicAdmin позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.
Пользователи с этой ролью могут:
- просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
- управлять связностью нескольких облачных сетей;
- управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
- просматривать список подсетей и информацию о них, а также изменять подсети;
- просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
- подключать NAT-шлюзы к таблицам маршрутизации;
- просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
- просматривать список таблиц маршрутизации и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
- просматривать список групп безопасности и информацию о них;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
Роль можно назначить на облако или каталог.
Важно
Если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.
vpc.gateways.viewer
Роль vpc.gateways.viewer позволяет просматривать информацию о NAT-шлюзах.
vpc.gateways.user
Роль vpc.gateways.user позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.
vpc.gateways.editor
Роль vpc.gateways.editor позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.
vpc.securityGroups.user
Роль vpc.securityGroups.user позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- назначать группы безопасности сетевым интерфейсам виртуальных машин;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- получать список групп безопасности и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
vpc.securityGroups.admin
Роль vpc.securityGroups.admin позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.
Пользователи с этой ролью могут:
- просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
- создавать и удалять в облачных сетях группы безопасности по умолчанию;
- создавать и удалять правила групп безопасности, изменять их метаданные;
- получать список облачных сетей и просматривать информацию о них;
- получать список подсетей и просматривать информацию о них;
- получать список адресов облачных ресурсов и просматривать информацию о них;
- получать список таблиц маршрутизации и просматривать информацию о них;
- просматривать информацию о NAT-шлюзах;
- просматривать информацию об использованных IP-адресах в подсетях;
- просматривать информацию о квотах сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
- просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
- просматривать информацию об облаке;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью vpc.viewer.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer или vpc.admin вместо vpc.publicAdmin.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о любом ресурсе | get, list, listOperations |
vpc.viewer или viewer на этот ресурс |
| Получение списка подсетей в сети | listSubnets |
vpc.viewer или viewer на сеть |
| Использование ресурсов | ||
| Назначение ресурсов VPC другим ресурсам Yandex Cloud (например, назначение адреса на интерфейс или подключение сетевого интерфейса к подсети) | Различные | vpc.user на ресурс, а также право на изменение принимающего его объекта, если операция назначения ресурса мутирующая |
| Назначение/удаление публичного адреса на интерфейсе | различные | vpc.publicAdmin на сеть |
| Создание ВМ, подключенной к нескольким сетям | create |
vpc.publicAdmin на каждую сеть, к которой подключается ВМ |
| Управление ресурсами | ||
| Создание сетей в каталоге | create |
vpc.privateAdmin или editor на каталог |
| Изменение, удаление сетей | update, delete |
vpc.privateAdmin или editor на сеть |
| Создание подсетей в каталоге | create |
vpc.privateAdmin или editor на каталог и на сеть |
| Изменение, удаление подсетей | update, delete |
vpc.privateAdmin или editor на каталог |
| Создание таблицы маршрутизации | create |
vpc.privateAdmin или editor на каталог |
| Изменение, удаление таблицы маршрутизации | update, delete |
vpc.privateAdmin или editor на таблицу маршрутизации |
| Создание публичных адресов | create |
vpc.publicAdmin или editor на каталог |
| Удаление публичных адресов | delete |
vpc.publicAdmin или editor на адрес |
| Создание шлюзов | create |
vpc.gateways.editor |
| Подключение шлюза в таблице маршрутизации | create, update |
vpc.gateways.user |
| Создание групп безопасности | create |
vpc.securityGroups.admin или editor на каталог и на сеть |
| Изменение, удаление групп безопасности | update, delete |
vpc.securityGroups.admin или editor на сеть и на группу безопасности |
| Управление доступом к ресурсам | ||
| Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот ресурс |
Чтобы создать NAT-шлюз и подключить его к таблице маршрутизации, вам потребуются роли vpc.gateways.editor и vpc.gateways.user. Использовать зарезервированные публичные IP-адреса для шлюзов сейчас нельзя, поэтому роли vpc.admin будет недостаточно.