Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Virtual Private Cloud
  • Начало работы
  • DDoS Protection
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
  • Сервисные роли
  • Примитивные роли
  • Какие роли мне необходимы

Управление доступом в Virtual Private Cloud

Статья создана
Yandex Cloud
Обновлена 4 июля 2025 г.
  • Об управлении доступом
  • На какие ресурсы можно назначить роль
  • Какие роли действуют в сервисе
    • Сервисные роли
    • Примитивные роли
  • Какие роли мне необходимы

Для управления правами доступа в Virtual Private Cloud используются роли.

В этом разделе вы узнаете:

  • на какие ресурсы можно назначить роль;
  • какие роли действуют в сервисе;
  • какие роли необходимы для того или иного действия.

Об управлении доступомОб управлении доступом

Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.

Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:

  • admin;
  • resource-manager.admin;
  • organization-manager.admin;
  • resource-manager.clouds.owner;
  • organization-manager.organizations.owner.

На какие ресурсы можно назначить рольНа какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Какие роли действуют в сервисеКакие роли действуют в сервисе

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.

Сервисные ролиСервисные роли

vpc.auditorvpc.auditor

Роль vpc.auditor позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них;
  • просматривать список подсетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

vpc.viewervpc.viewer

Роль vpc.viewer позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них;
  • просматривать список подсетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.auditor.

vpc.uservpc.user

Роль vpc.user позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также использовать облачные сети;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список адресов облачных ресурсов и информацию о них, а также использовать такие адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также использовать таблицы маршрутизации;
  • просматривать список групп безопасности и информацию о них, а также использовать группы безопасности;
  • просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.externalAddresses.uservpc.externalAddresses.user

Роль vpc.externalAddresses.user позволяет просматривать список внутренних и публичных адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.

vpc.adminvpc.admin

Роль vpc.admin позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
  • настраивать внешний доступ к облачным сетям;
  • управлять связностью нескольких облачных сетей;
  • управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
  • просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
  • просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
  • привязывать таблицы маршрутизации к подсетям;
  • просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
  • просматривать список групп безопасности и информацию о них, а также создавать, изменять и удалять группы безопасности;
  • создавать и удалять в облачных сетях группы безопасности по умолчанию;
  • создавать и удалять правила групп безопасности, изменять их метаданные;
  • настраивать DHCP в подсетях;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролями vpc.privateAdmin, vpc.publicAdmin и vpc.securityGroups.admin.

vpc.bridgeAdminvpc.bridgeAdmin

Роль vpc.bridgeAdmin позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • управлять связностью нескольких облачных сетей;
  • просматривать список подсетей и информацию о них, а также использовать подсети;
  • просматривать список облачных сетей и информацию о них;
  • просматривать список адресов облачных ресурсов и информацию о них;
  • просматривать список таблиц маршрутизации и информацию о них;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.privateAdminvpc.privateAdmin

Роль vpc.privateAdmin позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также создавать, изменять и удалять облачные сети;
  • просматривать список подсетей и информацию о них, а также создавать, изменять и удалять подсети;
  • просматривать список таблиц маршрутизации и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
  • привязывать таблицы маршрутизации к подсетям;
  • просматривать список групп безопасности и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
  • настраивать DHCP в подсетях;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать внутренние IP-адреса;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.publicAdminvpc.publicAdmin

Роль vpc.publicAdmin позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.

Пользователи с этой ролью могут:
  • просматривать список облачных сетей и информацию о них, а также настраивать внешний доступ к облачным сетям;
  • управлять связностью нескольких облачных сетей;
  • управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
  • просматривать список подсетей и информацию о них, а также изменять подсети;
  • просматривать информацию о NAT-шлюзах, а также создавать, изменять и удалять их;
  • просматривать список адресов облачных ресурсов и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
  • просматривать список таблиц маршрутизации и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
  • просматривать список групп безопасности и информацию о них;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

Роль можно назначить на облако или каталог.

Важно

Если сеть и подсеть находятся в разных каталогах, то наличие роли vpc.publicAdmin проверяется на том каталоге, в котором находится сеть.

vpc.gateways.viewervpc.gateways.viewer

Роль vpc.gateways.viewer позволяет просматривать информацию о NAT-шлюзах.

vpc.gateways.uservpc.gateways.user

Роль vpc.gateways.user позволяет просматривать информацию о NAT-шлюзах и подключать их к таблицам маршрутизации.

vpc.gateways.editorvpc.gateways.editor

Роль vpc.gateways.editor позволяет создавать, изменять и удалять NAT-шлюзы, а также подключать их к таблицам маршрутизации.

vpc.securityGroups.uservpc.securityGroups.user

Роль vpc.securityGroups.user позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • назначать группы безопасности сетевым интерфейсам виртуальных машин;
  • получать список облачных сетей и просматривать информацию о них;
  • получать список подсетей и просматривать информацию о них;
  • получать список адресов облачных ресурсов и просматривать информацию о них;
  • получать список таблиц маршрутизации и просматривать информацию о них;
  • получать список групп безопасности и просматривать информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.securityGroups.adminvpc.securityGroups.admin

Роль vpc.securityGroups.admin позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

Пользователи с этой ролью могут:
  • просматривать информацию о группах безопасности, а также создавать, изменять и удалять их;
  • создавать и удалять в облачных сетях группы безопасности по умолчанию;
  • создавать и удалять правила групп безопасности, изменять их метаданные;
  • получать список облачных сетей и просматривать информацию о них;
  • получать список подсетей и просматривать информацию о них;
  • получать список адресов облачных ресурсов и просматривать информацию о них;
  • получать список таблиц маршрутизации и просматривать информацию о них;
  • просматривать информацию о NAT-шлюзах;
  • просматривать информацию об использованных IP-адресах в подсетях;
  • просматривать информацию о квотах сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
  • просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
  • просматривать информацию об облаке;
  • просматривать информацию о каталоге.

Включает разрешения, предоставляемые ролью vpc.viewer.

vpc.privateEndpoints.viewervpc.privateEndpoints.viewer

Роль vpc.privateEndpoints.viewer позволяет просматривать информацию о сервисных подключениях.

vpc.privateEndpoints.editorvpc.privateEndpoints.editor

Роль vpc.privateEndpoints.editor позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью vpc.privateEndpoints.viewer.

vpc.privateEndpoints.adminvpc.privateEndpoints.admin

Роль vpc.privateEndpoints.admin позволяет просматривать информацию о сервисных подключениях, а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью vpc.privateEndpoints.editor.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Какие роли мне необходимыКакие роли мне необходимы

В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer или vpc.admin вместо vpc.publicAdmin.

Действие Методы Необходимые роли
Просмотр информации
Просмотр информации о любом ресурсе get, list, listOperations vpc.viewer или viewer на этот ресурс
Получение списка подсетей в сети listSubnets vpc.viewer или viewer на сеть
Использование ресурсов
Назначение ресурсов VPC другим ресурсам Yandex Cloud (например, назначение адреса на интерфейс или подключение сетевого интерфейса к подсети) Различные vpc.user на ресурс, а также право на изменение принимающего его объекта, если операция назначения ресурса мутирующая
Назначение/удаление публичного адреса на интерфейсе различные vpc.publicAdmin на сеть
Создание ВМ, подключенной к нескольким сетям create vpc.publicAdmin на каждую сеть, к которой подключается ВМ
Управление ресурсами
Создание сетей в каталоге create vpc.privateAdmin или editor на каталог
Изменение, удаление сетей update, delete vpc.privateAdmin или editor на сеть
Создание подсетей в каталоге create vpc.privateAdmin или editor на каталог и на сеть
Изменение, удаление подсетей update, delete vpc.privateAdmin или editor на каталог
Создание таблицы маршрутизации create vpc.privateAdmin или editor на каталог
Изменение, удаление таблицы маршрутизации update, delete vpc.privateAdmin или editor на таблицу маршрутизации
Создание публичных адресов create vpc.publicAdmin или editor на каталог
Удаление публичных адресов delete vpc.publicAdmin или editor на адрес
Создание шлюзов create vpc.gateways.editor
Подключение шлюза в таблице маршрутизации create, update vpc.gateways.user
Создание групп безопасности create vpc.securityGroups.admin или editor на каталог и на сеть
Изменение, удаление групп безопасности update, delete vpc.securityGroups.admin или editor на сеть и на группу безопасности
Управление доступом к ресурсам
Назначение роли, отзыв роли и просмотр назначенных ролей на ресурс setAccessBindings, updateAccessBindings, listAccessBindings admin на этот ресурс

Чтобы создать NAT-шлюз и подключить его к таблице маршрутизации, вам потребуются роли vpc.gateways.editor и vpc.gateways.user. Использовать зарезервированные публичные IP-адреса для шлюзов сейчас нельзя, поэтому роли vpc.admin будет недостаточно.

Что дальшеЧто дальше

  • Как назначить роль.
  • Как отозвать роль.
  • Подробнее об управлении доступом в Yandex Cloud.
  • Подробнее о наследовании ролей.

Была ли статья полезна?

Предыдущая
Использование публичных IP-адресов
Следующая
Правила тарификации
Проект Яндекса
© 2025 ООО «Яндекс.Облако»