Вернуться наверх

Роли

Роли необходимы для разграничения прав доступа при работе с ресурсами. Роль – это конкретный набор разрешений, который регламентирует, какие действия с ресурсом (или организацией/проектом) может выполнять аккаунт.

Для того чтобы аккаунт имел доступ к ресурсу, ему нужно назначить роль.

Роль всегда назначается для учетной записи в рамках конкретной области видимости – на организацию, проект или ресурс.

Роли в IAM подразделяются на базовые и сервисные:

  • Базовые роли (пользовательские роли) используются для предоставления доступа аккаунтам в соответствии с их задачами. Например, администратор управляет проектом, разработчик — конкретным ресурсом этого проекта и т.д.

  • Сервисные роли (сервисно-специфичные роли) используются для работы с ресурсами конкретного сервиса. Например, в Object Storage предусмотрена роль storage.bucket.policyEditor, которая разрешает только управлять политиками бакета, но не позволяет загружать или удалять объекты.

При назначении роли аккаунту рекомендуется соблюдать принцип наименьших привилегий. Например, если для выполнения задач аккаунту достаточно роли storage.bucket.editor, то не следует назначать ему роль admin на проект.

Дополнительно учитывайте, что права доступа наследуются от родительской области видимости к дочерней.

Базовые роли

В рамках области видимости для аккаунта можно назначать любую из базовых ролей:

Название ролиОписание разрешений ролиОбласть видимости, на которую можно назначить рольТипичный пользователь роли
viewerпросматривать данные о ресурсах без возможности их измененияОрганизация,
Проект,
Ресурс		Любой сотрудник не IT-подразделения
(например, маркетолог, знакомящийся с UI продукта)
editorпросматривать,
создавать,
удалять и
изменять ресурсы		Организация,
Проект,
Ресурс		DevOps-инженер или разработчик, использующий облако в своей работе
adminпросматривать, создавать, удалять и изменять ресурсы,

управлять биллингом (только при назначении роли на организацию),

управлять иерархией ресурсов и доступом к ресурсам		Организация,
Проект,
Ресурс.

При назначении роли admin на проект или ресурс доступа к управлению билингом не будет		DevOps-инженер или администратор, отвечающий в целом за управление облаком

Сервисные роли

Список сервисных ролей приводится в разделе Управление доступомIAM-роли конкретного сервиса.

Особенности и ограничения

Назначить роль на проект или ресурс можно только пользователю организации.

Доступные операции

Назначить роль на проект

  1. Выберите в веб-консоли нужный проект из списка в верхней строке навигации.
    Откроется дашборд проекта.
  2. Перейдите на вкладку Управление ролями.
  3. Нажмите Добавить.
  4. Выберите из выпадающего списка один или несколько аккаунтов и назначьте им необходимые роли из списка ролей.
    В списке присутствуют только аккаунты, которые являются пользователями организации.
  5. Нажмите Добавить.

Примечание

Назначенная на проект роль будет распространяться на все ресурсы этого проекта. Если необходимо назначить роль только на конкретный ресурс проекта, назначьте именно роль на ресурс, а не на проект.

Изменить роль на проект

  1. Выберите в веб-консоли нужный проект из списка в верхней строке навигации.
    Откроется дашборд проекта.
  2. Перейдите на вкладку Управление ролями.
  3. Нажмите на значок ... справа от имени пользователя, которого нужно обновить.
  4. Выберите Редактировать роли.
  5. Назначьте нужные роли:
    • Добавьте нужные роли, выбрав их из списка.
    • Удалите лишние роли, нажав на значок x рядом с именем роли.
  6. Нажмите Сохранить.

Отозвать доступ

  1. Выберите в веб-консоли нужный проект из списка в верхней строке навигации.
    Откроется дашборд проекта.
  2. Перейдите на вкладку Управление ролями.
  3. Нажмите на значок ... справа от имени пользователя, которого нужно обновить.
  4. Выберите Отозвать доступ.
  5. В открывшейся форме подтвердите действие.

Пример:
У аккаунта есть назначенные роли viewer в рамках организации и admin на проект. Если у данного аккаунта отозвать роль admin на проект, то он:

  • не сможет ничего изменять в проекте;
  • по-прежнему сможет видеть это проект, так как все проекты наследуют роль viewer от организации.

Назначить роль на ресурс

  1. Выберите в веб-консоли нужный проект из списка в верхней строке навигации.
    Откроется дашборд проекта.
  2. Нажмите на карточку нужного сервиса.
    Откроется список ресурсов сервиса.
  3. Нажмите на имя ресурса, на который требуется назначить роль.
  4. Перейдите на вкладку Права доступа и нажмите Добавить.
  5. Выберите из выпадающего списка один или несколько аккаунтов и назначьте им необходимые сервисные роли из списка — например, storage.bucket.editor.
  6. Нажмите Добавить.