Вернуться наверх

Ролевая модель

Доступ к ресурсам определяется набором разрешений, которые есть у пользователя. Перед выполнением любой операции с ресурсом сервис IAM осуществляет проверку, разрешена ли эта операция для пользователя. Если разрешение на выполнение операции есть в списке разрешений пользователя, то IAM не блокирует выполнение операции; в противном случае выводится ошибка.

Конкретный набор разрешений называется ролью. Роль выдается пользователю в рамках определенной области видимости (scope) – то есть, ее действие ограничивается данной областью видимости.

В настоящий момент в ролевой модели MWS предусмотрены следующие области видимости:

  • организация,
  • проект,
  • биллинг-аккаунт.

Базовые роли

Существует набор базовых ролей, которые можно назначать пользователю в рамках различных областей видимости:

  • Viewer – роль позволяет просматривать ресурсы. Типичный пользователь роли – любой сотрудник, которому необходимо просматривать какую-либо информацию по сервисам облака. Область видимости:

    • Организация
    • Проект

  • Editor – роль позволяет просматривать, создавать, удалять и изменять ресурсы. Типичный пользователь роли – DevOps/разработчик, использующий облако в своей работе. Область видимости:

    • Организация
    • Проект

  • Admin – роль позволяет просматривать, создавать, удалять и изменять ресурсы, управлять биллингом (только при назначении роли на организацию), иерархией ресурсов и доступом к ресурсам. Типичный пользователь роли – DevOps или SysAdmin, отвечающий в целом за управление облаком. Область видимости:

    • Организация
    • Проект (при назначении роли Admin на проект доступа к биллингу не будет)

  • Billing Admin – роль позволяет управлять биллингом (без доступа к ресурсам). Типичный пользователь роли – финансист, отвечающий за бюджет и расходы на облако. Область видимости:

    • Организация (то есть, все биллинг-аккаунты организации)
    • Биллинг-аккаунт (определенный)

Наследование прав доступа

В MWS существует наследование прав доступа от родительской области видимости к дочерней, например, администратор (Admin) организации одновременно является администратором всех ее проектов и биллинг-аккаунтов.