Управление доступом с помощью Yandex Identity and Access Management
В Object Storage реализовано несколько механизмов для управления доступом к ресурсам. Алгоритм взаимодействия этих механизмов см. в Обзор способов управления доступом в Object Storage.
В этом разделе вы узнаете:
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, локальному пользователю, федеративному пользователю, группе пользователей, системной группе или публичной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль storage.admin или одна из следующих ролей:
admin;resource-manager.admin;organization-manager.admin;resource-manager.clouds.owner;organization-manager.organizations.owner.
На какие ресурсы можно назначить роль
В консоли управления, с помощью Yandex Cloud CLI, API или Terraform вы можете назначить роль на организацию, облако, каталог или отдельный бакет. Назначенные роли будут действовать и на вложенные ресурсы.
О том, как управлять доступом к бакетам и объектам в них, см. раздел Список управления доступом (ACL).
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Сервисные роли
storage.viewer
Роль storage.viewer позволяет читать данные в бакетах, просматривать информацию о бакетах и объектах в них, а также о каталоге и квотах сервиса Object Storage.
Пользователи с этой ролью могут:
- просматривать список бакетов;
- просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
- просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
- просматривать информацию о конфигурации CORS бакетов;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов;
- просматривать информацию о протоколе обращения к бакету;
- просматривать настройки логирования действий с бакетами;
- просматривать настройки версионирования бакетов;
- просматривать настройки шифрования бакетов;
- просматривать информацию о классе хранилища по умолчанию для бакета;
- просматривать метки бакетов;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о конфигурации жизненных циклов объектов;
- просматривать списки версий объектов и информацию о таких версиях;
- просматривать информацию о блокировках версий объектов;
- просматривать метки объектов и версий объектов;
- просматривать информацию о текущих составных загрузках объектов и их частях;
- просматривать статистику облака, каталога и сервиса Object Storage;
- просматривать информацию о квотах сервиса Object Storage;
- просматривать информацию о каталоге.
storage.configViewer
Роль storage.configViewer позволяет просматривать информацию о настройках бакетов и объектов в них, но не позволяет просматривать данные внутри бакета.
Пользователи с этой ролью могут:
- просматривать список бакетов и списки объектов в бакетах без доступа к содержимому объектов;
- просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
- просматривать информацию о политиках доступа к бакетам;
- просматривать информацию о конфигурации CORS бакетов;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов;
- просматривать информацию о протоколе обращения к бакету;
- просматривать настройки логирования действий с бакетами;
- просматривать настройки версионирования бакетов;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о блокировках версий объектов;
- просматривать списки версий объектов в бакетах;
- просматривать настройки шифрования бакетов;
- просматривать информацию о классе хранилища по умолчанию для бакета;
- просматривать метки бакетов;
- просматривать информацию о конфигурации жизненных циклов объектов;
- просматривать информацию о текущих составных загрузках объектов и их частях;
- просматривать статистику облака, каталога и сервиса Object Storage;
- просматривать информацию о каталоге.
storage.configurer
Роль storage.configurer позволяет управлять настройками жизненных циклов объектов, хостинга статических сайтов, политики доступа и CORS. Не позволяет управлять настройками списка управления доступом (ACL) и настройками публичного доступа. Не предоставляет доступа к данным в бакете.
Пользователи с этой ролью могут:
- просматривать информацию о политиках доступа к бакетам, а также создавать, изменять и удалять такие политики;
- просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
- просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
- просматривать настройки логирования действий с бакетами и изменять настройки логирования;
- просматривать настройки шифрования бакетов и изменять настройки шифрования;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
- просматривать настройки версионирования бакетов;
- просматривать информацию о каталоге.
storage.uploader
Роль storage.uploader позволяет загружать объекты в бакеты, в том числе перезаписывать загруженные ранее, а также читать данные в бакетах, просматривать информацию о бакетах и объектах в них, а также о каталоге и квотах сервиса Object Storage. Не позволяет удалять объекты и конфигурировать бакеты.
Пользователи с этой ролью могут:
- просматривать список бакетов;
- просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
- загружать объекты в бакет;
- просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
- просматривать информацию о конфигурации CORS бакетов;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов;
- просматривать информацию о протоколе обращения к бакету;
- просматривать настройки логирования действий с бакетами;
- просматривать настройки версионирования бакетов;
- просматривать настройки шифрования бакетов;
- просматривать информацию о классе хранилища по умолчанию для бакета;
- просматривать метки бакетов;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о конфигурации жизненных циклов объектов;
- просматривать списки версий объектов и информацию о таких версиях;
- просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
- просматривать метки объектов и версий объектов, а также изменять такие метки;
- просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
- просматривать статистику облака, каталога и сервиса Object Storage;
- просматривать информацию о квотах сервиса Object Storage;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью storage.viewer.
storage.editor
Роль storage.editor позволяет выполнять любые операции с бакетами и объектами: создавать, удалять и изменять их. Не позволяет управлять настройками списка управления доступом (ACL), а также создавать публично доступные бакеты.
Пользователи с этой ролью могут:
- просматривать список бакетов, а также создавать и удалять бакеты;
- просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
- просматривать информацию о назначенных правах доступа к бакетам и объектам в них;
- загружать объекты в бакет, а также удалять объекты и версии объектов;
- просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
- просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
- просматривать настройки логирования действий с бакетами и изменять настройки логирования;
- просматривать настройки версионирования бакетов;
- просматривать настройки шифрования бакетов и изменять настройки шифрования;
- просматривать информацию о классе хранилища по умолчанию для бакета, а также изменять класс хранилища по умолчанию;
- просматривать метки бакетов и изменять такие метки;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
- просматривать списки версий объектов и информацию о таких версиях;
- восстанавливать версии объектов в версионируемых бакетах;
- просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
- просматривать метки объектов и версий объектов, а также изменять и удалять такие метки;
- просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
- просматривать статистику облака, каталога и сервиса Object Storage;
- просматривать информацию о квотах сервиса Object Storage;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролью storage.uploader.
storage.admin
Роль storage.admin позволяет управлять сервисом Object Storage.
Пользователи с этой ролью могут:
- просматривать список бакетов;
- создавать бакеты, в том числе доступные публично, и удалять бакеты;
- просматривать списки объектов в бакетах, информацию о таких объектах и их содержимое;
- просматривать информацию о назначенных правах доступа к бакетам и объектам в них, а также изменять назначенные права доступа к бакетам и объектам;
- просматривать информацию о политиках доступа к бакетам, а также создавать, изменять и удалять такие политики;
- назначать список управления доступом (ACL);
- настраивать доступ к бакету через сервисное подключение из Virtual Private Cloud;
- загружать объекты в бакет, а также удалять объекты и версии объектов;
- просматривать информацию о конфигурации CORS бакетов и изменять конфигурацию CORS;
- просматривать информацию о конфигурации хостинга статических сайтов бакетов и изменять конфигурацию хостинга статических сайтов;
- просматривать информацию о протоколе обращения к бакету, а также изменять протокол обращения;
- просматривать настройки логирования действий с бакетами и изменять настройки логирования;
- просматривать настройки версионирования бакетов и изменять настройки версионирования;
- просматривать настройки шифрования бакетов и изменять настройки шифрования;
- просматривать информацию о классе хранилища по умолчанию для бакета, а также изменять класс хранилища по умолчанию;
- просматривать метки бакетов и изменять такие метки;
- просматривать информацию о регионе, в котором расположен бакет;
- просматривать информацию о конфигурации жизненных циклов объектов и изменять конфигурацию жизненных циклов;
- просматривать списки версий объектов и информацию о таких версиях;
- восстанавливать версии объектов в версионируемых бакетах;
- просматривать информацию о блокировках версий объектов и настраивать такие блокировки;
- обходить временную управляемую блокировку (governance-mode retention);
- просматривать метки объектов и версий объектов, а также изменять и удалять такие метки;
- просматривать информацию о текущих составных загрузках объектов и их частях, а также удалять частично загруженные объекты;
- просматривать статистику облака, каталога и сервиса Object Storage;
- просматривать информацию о квотах сервиса Object Storage;
- просматривать информацию о каталоге.
Включает разрешения, предоставляемые ролями storage.editor, storage.configViewer и storage.configurer.
Примитивные роли
Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.
auditor
Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.
Например, пользователи с этой ролью могут:
- просматривать информацию о ресурсе;
- просматривать метаданные ресурса;
- просматривать список операций с ресурсом.
Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.
viewer
Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.
Включает разрешения, предоставляемые ролью auditor.
В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.
editor
Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.
Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.
Включает разрешения, предоставляемые ролью viewer.
admin
Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.
Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.
Включает разрешения, предоставляемые ролью editor.
Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.
Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.