VK Private Cloud logo
Помощь
Обновлена 17 июля 2026 г. в 15:55

Права и учётные записи пользователей

Каждому пользователю соответствует персонифицированная учётная запись.

Учетные записи пользователей условно делятся на группы, приведенные в таблице 1.

Таблица 1 — Пользователи

Группа

Описание

Пользователи Портала самообслуживания

Создаются в Keycloak в области безопасности (realm) mcs_users или импортируются в рамках интеграции с LDAP-провайдером.

К этим пользователям Платформы применяется ролевая модель управления доступом.

Пользователи Портала администратора

Создаются в Keycloak в области безопасности (realm) mcs_admins или импортируются в рамках интеграции с LDAP-провайдером.

К этим пользователям Платформы применяется ролевая модель управления доступом.

Администратор ИБ Платформы

Администратор Портала управления доступом Keycloak. Имя учетной записи по умолчанию — admin. Обладает доступом ко всем учётным записям Платформы (кроме Суперадминистратора и тех, что хранятся в службе каталогов LDAP-провайдера) и настройкам их доступа.

Учётные записи с данной ролью создаются в Keycloak в области безопасности (realm) master при включённой настройке неограниченного доступа к другим областям безопасности

Встроенные служебные учётные записи

Служебные (или сервисные) учётные записи используются сервисами OpenStack для обеспечения работы необходимых служб или сервисов

Пользователи Портала самообслуживания

Для пользователей Портала самообслуживания поддерживается набор ролей, назначаемых в рамках отдельного проекта. Пользователю можно назначить одну или несколько ролей из таблицы 2.

Таблица 2 — Роли пользователей Портала самообслуживания

ID роли

Название роли

Описание

mcs_viewer

Наблюдатель

Позволяет просматривать большую часть информации о проекте, но без доступа на редактирование

mcs_owner

Владелец проекта

Служебная роль назначается автоматически только Владельцу проекта. Роль не может быть назначена другому пользователю

mcs_co_owner

Совладелец проекта

Предоставляет доступ ко всем ресурсам проекта. Может быть назначена вручную

mcs_admin_network

Администратор сети

Предоставляет доступ ко всем объектам сетевой подсистемы

mcs_admin_billing

Администратор биллинга проекта

Предоставляет доступ только к пункту Баланс и функциям биллинга

mcs_admin_security

Администратор пользователей

Роль обычно не используется, так как добавление новых пользователей происходит с помощью добавления их в соответствующую группу LDAP-провайдера

mcs_admin

Администратор проекта

Предоставляет доступ ко всем ресурсам проекта, кроме групп пользователей и баланса

mcs_admin_vm

Администратор виртуальных машин

Предоставляет доступ к виртуальным машинам проекта

mcs_admin_network_objects

Администратор сетевых ресурсов

Предоставляет доступ к сетевым ресурсам, связанным с Neutron и Octavia

mcs_admin_network_security

Администратор сетевой безопасности

Предоставляет доступ к сетевым ресурсам, связанным с безопасностью (neutron_security)

mcs_k8s_admin

Администратор Kubernetes

Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён, включая возможность создавать другие роли и связывания ролей. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён.

mcs_k8s_viewer

Аудитор Kubernetes

Предоставляет доступ на чтение к большинству объектов в пространстве имён

mcs_k8s_editor

Оператор Kubernetes

Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён.

Каждой роли соответствует определенный набор прав, приведенных в таблице 3.

Условные обозначения:

  • — право не предоставляется.
  • RW — право как на чтение, так и на внесение изменений.
  • R — право только на чтение.

[1] Роль mcs_admin_security не является необходимой в реализации Платформы. Пользователям с данной ролью рекомендуется предоставлять доступ к Порталу администратора для управления пользователями и ролями.

[2] Указанный функционал отключен в Портале самообслуживания Платформы. Взаимодействие с пользователями и ролями осуществляется исключительно через Портал администратора.

[3] В реализации Платформы биллинг доступен для чтения только некоторым ролям. Все операции на запись (например, изменение баланса или цен) осуществляются исключительно через Портал администратора.

Таблица 3 — Права пользователей Портала самообслуживания
Права пользователей Портала самообслуживания

Пользователи Портала администратора

Для пользователей Портала администратора поддерживается набор ролей, назначаемых персонально каждому администратору. Пользователю можно назначить одну или несколько ролей из таблицы 4.

Таблица 4 — Роли пользователей Портала администратора

ID роли

Описание

sa_access_admin

Предоставляет доступ к разделу Управление доступом

sa_billing_admin

Предоставляет доступ к разделу Управление балансом

sa_account_admin

Предоставляет доступ к управлению:

  • пользователями,
  • квотами,
  • доступами,
  • сервисами

sa_iam_admin

Предоставляет доступ к управлению проектами и пользователями в IAM

sa_iam_viewer

Предоставляет доступ к просмотру проектов и пользователей в IAM

sa_session_admin

Предоставляет доступ к управлению сессиями пользователей

sa_session_viewer

Предоставляет доступ к просмотру сессий пользователей

sa_scrooge_plans_viewer

Предоставляет доступ к просмотру данных на вкладке Индивидуальные тарифы

sa_scrooge_plans_project_admin

Предоставляет доступ к управлению данными на вкладке Индивидуальные тарифы

sa_scrooge_plans_admin

Предоставляет доступ к управлению данными на вкладке Тарифные планы

admin

Предоставляет доступ к разделам OpenStack и вкладке Проекты → Журнал действий

Каждой роли соответствует определенный набор прав, приведенных в таблице 5.

Условные обозначения:

  • — право не предоставляется.
  • RW — право как на чтение, так и на внесение изменений.
  • R — право только на чтение.
Таблица 5 — Права пользователей Портала администратора
Права пользователей Портала администратора

Встроенные служебные учётные записи

Кроме пользовательских учётных записей в Платформе имеются встроенные учётные записи для внутренних запросов между компонентами.

Служебные (или сервисные) учётные записи используются сервисами OpenStack. Каждый сервис OpenStack аутентифицируется по паролю во встроенном компоненте Keystone, получает одноразовый токен и выполняет требуемый запрос.

Пользовательские учётные записи используются для идентификации и аутентификации пользователей.

Реализовано следующими сервисами:

  • Keycloak.
  • Keystone.
  • Breeze.
  • Dusk.

Как в Keystone, так и в Keycloak для идентификации и аутентификации необходима пара из двух полей:

  • Имя пользователя.
  • Пароль.

Каждый сервис OpenStack использует свою сервисную учётную запись для авторизации запросов к Платформе. Исключение — Суперадминистратор с учётной записью admin.