Ролевая модель управления доступом
Сразу после создания проекта в нем присутствует только один пользователь — его владелец. Этот пользователь может приглашать в проект других участников, назначив им роли и разрешения. Роли и разрешения определяют доступные пользователю права при работе с функциональностью личного кабинета и с облачными сервисами.
Роль — это определенный набор разрешений на выполнение операций с ресурсами VK Cloud.
Разрешение позволяет пользователю выполнять только одну операцию в определенном сервисе или компоненте.
С полным списком ролей и разрешений вы можете ознакомиться в справочниках:
У каждой роли и каждого разрешения есть:
- название в личном кабинете, которое используется для назначения или удаления роли через графический интерфейс;
- техническое название, которое используется для управления проектом и сервисами через API и Terraform.
Один и тот же пользователь может быть участником нескольких проектов и иметь в них разные роли и разрешения. Одному участнику может быть назначено несколько ролей и разрешений в одном проекте, в этом случае права суммируются.
Кроме пользователей, в проект также могут быть добавлены сервисные учетные записи (СУЗ), предназначенные для взаимодействия между программами и сервисами. Для СУЗ назначаются любые роли и разрешения, за исключением роли Владелец проекта.
Список участников проекта и назначенных им ролей и разрешений можно посмотреть на странице Управление доступами личного кабинета.
Для некоторых сервисов существуют особые наборы прав. Далее приведены такие наборы прав и то, как они соотносятся с ролями VK Cloud.
Роли | Просмотр логов и конфигурации сервиса | Изменение настроек логов | Создание сервисных пользователей и названий сервисов |
|---|---|---|---|
Владелец проекта | |||
Суперадминистратор | |||
Администратор проекта | |||
Администратор пользователей (IAM) | |||
Администратор биллинга | |||
Наблюдатель | |||
Администратор, младший администратор, оператор ВМ | |||
Администратор сети | |||
Администратор сетевой безопасности | |||
Администратор внутренних сетей | |||
Администратор, оператор, аудитор Kubernetes |
Роли | Просмотр дашбордов | Просмотр метрик Prometheus | Запись в систему мониторинга | Создание и редактирование дашбордов |
|---|---|---|---|---|
Владелец проекта | ||||
Суперадминистратор | ||||
Администратор проекта | ||||
Администратор пользователей (IAM) | ||||
Администратор биллинга | ||||
Наблюдатель | ||||
Администратор, младший администратор | ||||
Оператор ВМ | ||||
Администратор сети | ||||
Администратор сетевой безопасности | ||||
Администратор внутренних сетей | ||||
Администратор, оператор, аудитор Kubernetes |
Роли | Просмотр событий | Выгрузка данных | Настройка сервиса |
|---|---|---|---|
Владелец проекта | Все события проекта | ||
Суперадминистратор | Все события проекта | ||
Администратор проекта | Все события проекта | ||
Администратор пользователей (IAM) | Все события сервиса IAM и все свои действия | ||
Администратор биллинга | Все события сервиса Billing и все свои действия | ||
Наблюдатель | Все события проекта | ||
Администратор, младший администратор | Все события проекта | ||
Оператор ВМ | |||
Администратор сети | Все события сервиса Cloud Network и все свои действия | ||
Администратор сетевой безопасности | |||
Администратор внутренних сетей | |||
Администратор, оператор, аудитор Kubernetes | Все события сервиса Cloud Containers и все свои действия |
Сервис Security Gate в личном кабинете доступен для следующих ролей:
- владелец проекта,
- суперадминистратор,
- администратор проекта,
- администратор сетевой безопасности,
- администратор внутренних сетей,
- администратор виртуальных машин,
- младший администратор ВМ,
- оператор ВМ,
- наблюдатель.
Для остальных ролей сервис Security Gate не доступен.