VK Private Cloud logo
Помощь
Обновлена 17 июля 2026 г. в 15:55

Роли пользователей

Каждому пользователю соответствует персонифицированная учетная запись.

Учетные записи пользователей условно делятся на группы, приведенные в таблице 1.

Таблица 1 — Пользователи Платформы

Группа

Описание

Пользователи Портала самообслуживания

Создаются в Keycloak в рилме (realm) mcs_users или импортируются в рамках интеграции с LDAP-провайдером.

К этим пользователям Платформы применяется ролевая модель управления доступом

Пользователи Портала администратора

Создаются в Keycloak в рилме mcs_admin или импортируются в рамках интеграции с LDAP-провайдером.

К этим пользователям Платформы применяется ролевая модель управления доступом

Администратор ИБ Платформы

Администратор Портала управления доступом Keycloak. Имя учетной записи по умолчанию — admin. Обладает доступом ко всем учетным записям Платформы (кроме superadmin и тех, что хранятся в службе каталогов LDAP-провайдера) и настройкам их доступа.

Учетные записи с данной ролью создаются в Keycloak в рилме master при включенной настройке неограниченного доступа к другим рилмам

Встроенные служебные учетные записи

Служебные (или сервисные) учетные записи используются сервисами OpenStack для обеспечения работы необходимых служб или сервисов

Пользователи Портала самообслуживания

Для пользователей Портала самообслуживания поддерживается набор ролей, назначаемых в рамках отдельного проекта. Пользователю можно назначить одну или несколько ролей, приведенных в таблице 2.

Таблица 2 — Роли пользователей Портала самообслуживания

ID роли

Название роли

Описание

mcs_viewer

Наблюдатель

Позволяет просматривать большую часть информации о проекте, но без доступа на редактирование

mcs_owner

Владелец проекта

Служебная роль назначается автоматически только Владельцу проекта. Роль не может быть назначена другому пользователю. Роль создается в единственном экземпляре при первоначальной настройке Платформы в Keystone и представляет собой единственного владельца всех проектов Платформы. Имя задается при создании.

mcs_co_owner

Совладелец проекта

Предоставляет доступ ко всем ресурсам проекта. Может быть назначена вручную

mcs_admin_network

Администратор сети

Предоставляет доступ ко всем объектам сетевой подсистемы

mcs_admin_vm

Администратор ВМ

Предоставляет доступ к ВМ проекта

mcs_admin_vm_junior

Младший администратор ВМ

Предоставляет доступ к ВМ проекта, за исключением создания, редактирования и удаления правил и групп безопасности

mcs_operator_vm

Оператор виртуальных машин

Позволяет работать на виртуальной машине, но не управлять ее настройками.

Оператор ВМ может:

  • запустить или остановить ВМ;
  • работать в ВМ через VNC-консоль;
  • подключаться к ВМ по SSH;
  • просматривать конфигурацию и сетевые настройки ВМ.

Оператор ВМ не может создавать резервные копии

mcs_admin_network_objects

Администратор внутренних сетей

Предоставляет доступ к сетевым ресурсам, связанным с Neutron и Octavia

mcs_admin_network_security

Администратор сетевой безопасности

Предоставляет доступ к сетевым ресурсам, связанным с безопасностью

mcs_k8s_admin

Администратор Kubernetes

Предоставляет доступ на чтение и запись к большинству объектов в пространстве имен, включая возможность создавать другие роли и связывания ролей. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имен

mcs_k8s_viewer

Аудитор Kubernetes

Предоставляет доступ на чтение к большинству объектов в пространстве имен

mcs_k8s_editor

Оператор Kubernetes

Предоставляет доступ на чтение и запись к большинству объектов в пространстве имен. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имен

Каждой роли соответствует набор прав, приведенных в таблице 3.

[1] В реализации Платформы все операции на запись выполняются на Портале администратора. Пример: изменение баланса или цен.

Таблица 3 — Права пользователей Портала самообслуживания
Права пользователей Портала самообслуживания

Права в подсистеме Cloud Logging

В подсистеме прикладного журналирования Cloud Logging каждой роли соответствует набор прав, приведенный в таблице 4.

Таблица 4 — Роли пользователей в подсистеме Cloud Logging

Роли

Просмотр логов и конфигурации подсистемы

Изменение настроек логов

Создание сервисных пользователей и ресурсов

mcs_owner

Роли пользователей

Роли пользователей

Роли пользователей

mcs_co_owner

Роли пользователей

Роли пользователей

Роли пользователей

mcs_viewer

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_vm, mcs_admin_vm_junior, mcs_operator_vm

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network_security

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network_objects

Роли пользователей

Роли пользователей

Роли пользователей

mcs_k8s_admin, mcs_k8s_editor, mcs_k8s_viewer

Роли пользователей

Роли пользователей

Роли пользователей

Права в подсистеме Cloud Monitoring

В подсистеме прикладного мониторинга Cloud Monitoring каждой роли соответствует набор прав, приведенный в таблице 5.

Таблица 5 — Роли пользователей в подсистеме Cloud Monitoring

Роли

Просмотр дашбордов

Запись в систему мониторинга

Создание и редактирование дашбордов

mcs_owner

Роли пользователей

Роли пользователей

Роли пользователей

mcs_co_owner

Роли пользователей

Роли пользователей

Роли пользователей

mcs_viewer

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_vm, mcs_admin_vm_junior

Роли пользователей

Роли пользователей

Роли пользователей

mcs_operator_vm

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network_security

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network_objects

Роли пользователей

Роли пользователей

Роли пользователей

mcs_k8s_admin, mcs_k8s_editor, mcs_k8s_viewer

Роли пользователей

Роли пользователей

Роли пользователей

Права в подсистеме Cloud Audit

В подсистеме аудита Cloud Audit каждой роли соответствует набор прав, приведенный в таблице 6.

Таблица 6 — Роли пользователей в подсистеме Cloud Audit

Роли

Просмотр событий

Выгрузка данных

Настройка аудита

mcs_owner

Все события проекта

Роли пользователей

Роли пользователей

mcs_co_owner

Все события проекта

Роли пользователей

Роли пользователей

mcs_viewer

Все события проекта

Роли пользователей

Роли пользователей

mcs_admin_vm, mcs_admin_vm_junior

Все события проекта

Роли пользователей

Роли пользователей

mcs_operator_vm

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network

Все события подсистемы Cloud Network и все свои действия

Роли пользователей

Роли пользователей

mcs_admin_network_security

Роли пользователей

Роли пользователей

Роли пользователей

mcs_admin_network_objects

Роли пользователей

Роли пользователей

Роли пользователей

mcs_k8s_admin, mcs_k8s_editor, mcs_k8s_viewer

Все события подсистемы Cloud Containers и все свои действия

Роли пользователей

Роли пользователей

Права для ролей подсистемы Cloud Containers

В Портале самообслуживания доступны специализированные роли для работы с подсистемой управляемых контейнеров Cloud Containers:

  • mcs_k8s_admin.
  • mcs_k8s_editor.
  • mcs_k8s_viewer.

Каждой роли соответствует набор прав, приведенный в таблице 7.

Операции, доступные роли mcs_k8s_admin, доступны также ролям mcs_owner и mcs_co_owner. Для остальных ролей эти операции недоступны.

Таблица 7 — Роли пользователей в подсистеме Cloud Containers

Операции

Роли

mcs_k8s_admin

mcs_k8s_editor

mcs_k8s_viewer

mcs_viewer

Создать кластер

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Удалить кластер

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Запустить кластер

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Остановить кластер

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Отобразить информацию о кластере, нод-группах

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Получить kubeconfig

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Получить секрет для доступа в Kubernetes Dashboard

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Обновить версию

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Изменить тип виртуальной машины

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Добавить группу узлов

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Удалить группу узлов

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Изменить настройки масштабирования

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Изменить Labels и Taints

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Установить и удалить аддон

Роли пользователей

Роли пользователей

Роли пользователей

Роли пользователей

Пользователи Портала администратора

Для пользователей Портала администратора поддерживается набор ролей, назначаемых персонально каждому администратору. Пользователю можно назначить одну или несколько ролей, приведенных в таблице 8.

Таблица 8 — Роли пользователей Портала администратора

ID роли

Описание

sa_access_admin

Предоставляет доступ к разделу Управление доступом

sa_partners_admin

Предоставляет доступ к разделу Партнерская программа

sa_billing_admin

Предоставляет доступ к разделу Управление балансом

sa_account_admin

Предоставляет доступ к управлению:

  • Пользователями.
  • Квотами.
  • Доступами.
  • Сервисами

sa_iam_admin

Предоставляет доступ к управлению проектами и пользователями в IAM

sa_iam_viewer

Предоставляет доступ к просмотру проектов и пользователей в IAM

sa_session_admin

Предоставляет доступ к управлению сессиями пользователей

sa_session_viewer

Предоставляет доступ к просмотру сессий пользователей

sa_scrooge_plans_viewer

Предоставляет доступ к просмотру данных на вкладке Индивидуальные тарифы

sa_scrooge_plans_project_admin

Предоставляет доступ к управлению данными на вкладке Индивидуальные тарифы

sa_scrooge_plans_admin

Предоставляет доступ к управлению данными на вкладке Тарифные планы

admin

Предоставляет доступ к разделам OpenStack и вкладке Журнал действий

Каждой роли соответствует набор прав, приведенных в таблице 9.

Таблица 9 — Права пользователей Портала администратора
Права пользователей Портала администратора

Встроенные служебные учетные записи

Кроме пользовательских учетных записей на Платформе есть встроенные учетные записи для внутренних запросов между компонентами.

Служебные (или сервисные) учетные записи используются сервисами OpenStack. Каждый сервис OpenStack аутентифицируется по паролю во встроенном компоненте Keystone, получает одноразовый токен и выполняет требуемый запрос.

Пользовательские учетные записи используются для идентификации и аутентификации пользователей.

Реализованы следующими сервисами:

  • Keycloak.
  • Keystone.
  • Breeze.
  • Dusk.

Как в Keystone, так и в Keycloak для идентификации и аутентификации необходима пара из двух полей:

  • Имя пользователя.
  • Пароль.

Каждый сервис OpenStack использует свою сервисную учетную запись для авторизации запросов к Платформе. Исключение — Суперадминистратор с учетной записью admin.