Роли
Чтобы аккаунт имел доступ к ресурсу, ему нужно назначить роль. Роль — это конкретный набор разрешений, который регламентирует, какие действия аккаунт может выполнять с ресурсом, или организацией, или проектом.
Роль всегда назначается для учетной записи в рамках конкретной области видимости – на организацию, проект или ресурс.
Роли в IAM подразделяются на базовые и сервисные:
Базовые роли (пользовательские роли) используются для предоставления доступа аккаунтам в соответствии с их задачами. Например, администратор управляет проектом, разработчик — конкретным ресурсом этого проекта и т.д.
Сервисные роли (сервисно-специфичные роли) используются для работы с ресурсами конкретного сервиса. Например, в Object Storage предусмотрена роль
storage.bucket.policyEditor, которая разрешает только управлять политиками бакета, но не позволяет загружать или удалять объекты.
При назначении роли аккаунту рекомендуется соблюдать принцип наименьших привилегий. Например, если для выполнения задач аккаунту достаточно роли storage.bucket.editor, то не следует назначать ему роль admin на проект.
Права доступа наследуются от родительской области видимости к дочерней.
Базовые роли
Заголовок раздела «Базовые роли»В рамках области видимости для аккаунта можно назначать любую из базовых ролей:
| Название роли | Описание разрешений роли | Область видимости, на которую можно назначить роль | Типичный пользователь роли |
|---|---|---|---|
viewer | просматривать данные о ресурсах без возможности их изменения | Организация, Проект, Ресурс | Любой сотрудник не IT-подразделения (например, маркетолог, знакомящийся с UI продукта) |
editor | просматривать, создавать, удалять и изменять ресурсы | Организация, Проект, Ресурс | DevOps-инженер или разработчик, использующий облако в своей работе |
admin | просматривать, создавать, удалять и изменять ресурсы, управлять биллингом (только при назначении роли на организацию), управлять иерархией ресурсов и доступом к ресурсам | Организация, Проект, Ресурс. При назначении роли admin на проект или ресурс доступа к управлению билингом не будет | DevOps-инженер или администратор, отвечающий в целом за управление облаком |
Сервисные роли
Заголовок раздела «Сервисные роли»Список сервисных ролей приводится в разделе Управление доступом → IAM-роли конкретного сервиса.
Как базовые, так и сервисные роли можно назначить любому типу аккаунтов пользователей, включая сервисный аккаунт.
Особенности и ограничения
Заголовок раздела «Особенности и ограничения»Назначить роль на проект или ресурс можно только участнику организации.