Справочник ролей

Роль — это набор разрешенных операций над конкретными типами ресурсов.

Роли назначаются в рамках разрешений. Действие роли распространяется на область доступа, которая в указана в разрешении, подробнее в инструкции Управление доступом в продуктах Servercore.

Некоторые роли могут назначаться только в определенной области доступа, а также иметь разный набор управляемых ресурсов в разных областях доступа.

В зависимости от ресурсов и настроек, к которым дают доступ роли, они делятся:

на глобальные роли — определяют доступ к ресурсам всех продуктов в выбранной области доступа (кроме продуктов, которые не поддерживают управление доступом), а также к настройкам аккаунта, биллинга и доступов;
и роли продуктов — определяют доступ к ресурсам одного или нескольких продуктов в выбранной области доступа. Не позволяют управлять другими продуктами, а также настройками аккаунта, биллинга и доступов.

Полным доступом к управлению аккаунтом и ресурсами, а также исключительными разрешениями обладает Владелец аккаунта — пользователь, который зарегистрировал аккаунт. Статус Владельца аккаунта не является ролью и не может быть изменен или назначен на кого-либо.

Список ролей

Группа ролей	Список ролей	Чем управляет
Глобальные роли	member	Все продукты, аккаунт, биллинг, проекты
	billing	Биллинг
	iam.admin	Настройки доступа
	iam.viewer	Только просмотр настроек доступа
	reader	Все продукты, аккаунт, биллинг, проекты (только просмотр)
`audit_logs`	audit_logs.admin	Аудит-логи
`compute`	compute.admin; compute.viewer; compute.server.user; compute.server.viewer; compute.flavor.admin; compute.flavor.viewer; compute.server_group.admin; compute.server_group.viewer; compute.volume.admin; compute.volume.user; compute.volume.viewer; compute.snapshot.admin; compute.snapshot.viewer; compute.image.admin; compute.image.user; compute.backup.admin; compute.backup.viewer	облачные серверы и флейворы; группы размещения облачных серверов; сетевые диски облачных серверов и снапшоты; образы облачных серверов; бэкапы сетевых дисков облачных серверов
`dedicated`	dedicated.admin; dedicated.viewer	выделенные серверы; размещенное оборудование; межсетевые экраны; базовый файрвол; система хранения данных; сетевые диски для выделенных серверов; арендованное сетевое оборудование
`filestorage`	filestorage.admin; filestorage.viewer	Файловое хранилище
`global_router`	global_router.admin; global_router.viewer	Глобальный роутер
`logs`	logs.admin; logs.viewer	Логи
`metrics`	metrics.admin	Метрики
`mobile_farm`	mobile_farm.admin; mobile_farm.user; mobile_farm.viewer	Мобильная ферма
`s3` и `object_storage*`	s3.admin; s3.user; s3.bucket.user; object_storage:admin; object_storage_user	S3
`vpc`	vpc.admin; vpc.viewer; vpc.private_network.admin; vpc.private_network.viewer; vpc.external_access.admin; vpc.external_access.user; vpc.external_access.viewer; vpc.network_security.admin; vpc.network_security.user; vpc.network_security.viewer; vpc.load_balancer.admin; vpc.load_balancer.viewer	сети облачной платформы; облачные файрволы; группы безопасности; облачные балансировщики нагрузки; приватный DNS

Глобальные роли

member

Роль member дает полный доступ к управлению всеми продуктами и ресурсами. Не имеет доступа к управлению пользователями, сервисными пользователями, группами пользователей, федерациями.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: управление проектами, их лимитами и квотами; управление биллингом; управление ресурсами во всех проектах; управление ресурсами вне проектов; работа с аудит-логами
Доступные операции	В области доступа Проект: управление ресурсами выбранного проекта

billing

Роль billing дает доступ к управлению биллингом без доступа к управлению услугами.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	управление биллингом: пополнение баланса и перевод средств между балансами; управление автосчетом, ежемесячными платежами, отсрочками оплаты; управление уведомлениями о балансе; управление банковскими картами; просмотр отчетных документов; управление партнерской программой и выводом средств; просмотр подключенных услуг и статусов услуг

iam.admin

Роль iam.admin дает доступ к управлению пользователями без доступа к услугам и биллингу. Не может управлять своей учетной записью: изменять разрешения, управлять уведомлениями, удалять пользователя. Первого пользователя с ролью iam.admin может создать только Владелец аккаунта.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	управление пользователями, сервисными пользователями, группами пользователей; управление федерациями; выдача ключей пользователям; управление уведомлениями других пользователей; настройка ограничений доступа к аккаунту

iam.viewer

Роль iam.viewer дает доступ к просмотру всего, чем управляет iam.admin.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	просмотр пользователей, сервисных пользователей, группа пользователей; просмотр федераций; просмотр ключей пользователей; просмотр уведомлений других пользователей; просмотр ограничений доступа к аккаунту

reader

Роль reader дает доступ к просмотру всего, чем управляет member в той же области доступа.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр ресурсов во всех проектах, а также ресурсов, которые не привязаны к проекту; просмотр настроек всех проектов, их лимитов и квот; просмотр данных биллинга (баланса, банковских карт, отчетных документов, партнерской программы и т. п.)
Доступные операции	В области доступа Проект: просмотр ресурсов выбранного проекта

Роли audit_logs

audit_logs.admin

Роль audit_logs.admin дает доступ к аудит-логам, подробнее в инструкции Управлять доступом к аудит-логам.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	Выгрузка аудит-логов

Роли compute

compute.admin

Роль compute.admin дает доступ к управлению:

облачными серверами и флейворами, подробнее в инструкции Управлять доступом к облачным серверам и флейворам;
группами размещения, подробнее в инструкции Управлять доступом к группам размещения облачных серверов.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию, измененные значения квот и используемые квоты); управление облачными серверами (создание, изменение, удаление)`*` во всех проектах; использование консоли; управление флейворами (создание, изменение, удаление) во всех проектах; управление SSH-ключами (добавление, удаление) во всех проектах; управление группами размещения (создание, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию, измененные значения квот и используемые квоты); управление облачными серверами (создание, изменение, удаление)`*` в своем проекте; использование консоли; управление флейворами (создание приватных флейворов, изменение, удаление) в своем проекте; управление SSH-ключами (добавление, удаление) в своем проекте; управление группами размещения (создание, удаление) в своем проекте

* Для управления облачными серверами дополнительно требуется роль с доступом к управлению сетями облачной платформы.

compute.viewer

Роль compute.viewer дает доступ к просмотру всего, чем управляет compute.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию, измененные значения квот и используемые квоты); просмотр списка облачных серверов и информации о них (тип сервера, тип конфигурации, количество vCPU, размер памяти, подключенные диски, группы безопасности, настройки сети, теги) во всех проектах; просмотр статистики по облачным серверам во всех проектах; просмотр списка флейворов и информации о них (название флейвора, количество vCPU, RAM и размер локального диска) во всех проектах; просмотр списка SSH-ключей и информации о них во всех проектах; просмотр списка групп размещения и информации о них (имя группы, условие политики размещения) во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию, измененные значения квот и используемые квоты); просмотр списка облачных серверов и информации о них (тип сервера, тип конфигурации, количество vCPU, размер памяти, подключенные диски, группы безопасности, настройки сети, теги) в своем проекте; просмотр статистики по облачным серверам в своем проекте; просмотр списка флейворов и информации о них (название флейвора, количество vCPU, RAM и размер локального диска) в своем проекте; просмотр списка SSH-ключей и информации о них в своем проекте; просмотр списка групп размещения и информации о них (имя группы, условие политики размещения) в своем проекте

compute.server.user

Роль compute.server.user дает доступ к управлению облачными серверами, подробнее в инструкции Управлять доступом к облачным серверам и флейворам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию, измененные значения квот и используемые квоты); управление облачными серверами (создание, изменение, удаление)`*` во всех проектах; использование консоли; просмотр списка флейворов и информации о них во всех проектах: название флейвора, количество vCPU, RAM и размер локального диска во всех проектах; управление SSH-ключами (добавление, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию, измененные значения квот и используемые квоты); управление облачными серверами (создание, изменение, удаление)`*` в своем проекте; использование консоли; просмотр списка флейворов и информации о них в своем проекте: название флейвора, количество vCPU, RAM и размер локального диска; управление SSH-ключами (добавление, удаление) в своем проекте

* Для управления облачными серверами дополнительно требуется роль с доступом к управлению сетями облачной платформы, сетевыми дисками, образами и бэкапами.

compute.server.viewer

Роль compute.server.viewer дает доступ к просмотру всего, чем управляет compute.server.user.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию, измененные значения квот и используемые квоты); просмотр списка облачных серверов и информации о них во всех проектах: тип сервера, тип конфигурации, количество vCPU, размер памяти, подключенные диски, группы безопасности, настройки сети, теги; просмотр статистики по облачным серверам во всех проектах; просмотр списка флейворов и информации о них во всех проектах: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию, измененные значения квот и используемые квоты); просмотр списка облачных серверов и информации о них в своем проекте: тип сервера, тип конфигурации, количество vCPU, размер памяти, подключенные диски, группы безопасности, настройки сети, теги; просмотр статистики по облачным серверам в своем проекте; просмотр списка флейворов и информации о них в своем проекте: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них в своем проекте

compute.flavor.admin

Роль compute.flavor.admin дает доступ к управлению флейворами облачных серверов, подробнее в инструкции Управлять доступом к облачным серверам и флейворам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию) во всех проектах; управление флейворами (создание приватных флейворов, изменение, удаление) во всех проектах; просмотр списка SSH-ключей и информации о них во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию) в своем проекте; управление флейворами (создание приватных флейворов, изменение, удаление) в своем проекте; просмотр списка SSH-ключей и информации о них в своем проекте

compute.flavor.viewer

Роль compute.flavor.viewer дает доступ к просмотру всего, чем управляет compute.flavor.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию); просмотр списка флейворов и информации о них во всех проектах: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию); просмотр списка флейворов и информации о них в своем проекте: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них в своем проекте

compute.server_group.admin

Роль compute.server_group.admin дает доступ к управлению группами размещения облачных серверов, подробнее в инструкции Управлять доступом к группам размещения облачных серверов.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр квот всех проектов (квоты по умолчанию); управление группами размещения (создание, удаление) во всех проектах; просмотр списка флейворов и информации о них во всех проектах: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них во всех проектах
Доступные операции	В области доступа Проект: просмотр квот проекта (квоты по умолчанию) в своем проекте; управление группами размещения (создание, удаление) в своем проекте; просмотр списка флейворов и информации о них в своем проекте: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них в своем проекте

compute.server_group.viewer

Роль compute.server_group.viewer дает доступ к просмотру всего, чем управляет compute.server_group.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: получение квот всех проектов; просмотр списка групп размещения и информации о них во всех проектах: имя группы, условие политики размещения; просмотр списка флейворов и информации о них во всех проектах: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них во всех проектах
Доступные операции	В области доступа Проект: получение квот проекта; просмотр списка групп размещения и информации о них в своем проекте: имя группы, условие политики размещения; просмотр списка флейворов и информации о них в своем проекте: название флейвора, количество vCPU, RAM и размер локального диска; просмотр списка SSH-ключей и информации о них в своем проекте

compute.volume.admin

Роль compute.volume.admin дает доступ к управлению сетевыми дисками облачных серверов, подробнее в инструкции Управлять доступом к сетевым дискам облачных серверов и снапшотам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка всех сетевых дисков и информации о них во всех проектах: тип диска, размер диска; управление дисками (создание, изменение, удаление) во всех проектах; перемещение дисков между проектами; просмотр информации о перемещении дисков во всех проектах
Доступные операции	В области доступа Проект: просмотр списка всех сетевых дисков и информации о них в своем проекте: тип диска, размер диска; управление дисками (создание, изменение, удаление) в своем проекте; передача дисков из своего проекта в другой; просмотр информации о перемещении дисков в своем проекте

compute.volume.user

Роль compute.volume.user дает доступ к управлению сетевыми дисками облачных серверов, подробнее в инструкции Управлять доступом к сетевым дискам облачных серверов и снапшотам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка всех сетевых дисков и информации о них (тип диска, размер диска) во всех проектах; управление дисками (создание, изменение, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка всех сетевых дисков и информации о них (тип диска, размер диска) в своем проекте; управление дисками (создание, изменение, удаление) в своем проекте

compute.volume.viewer

Роль compute.volume.viewer дает доступ к просмотру всего, чем управляет compute.volume.user.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка сетевых дисков и информации о них (тип диска, размер диска) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка сетевых дисков и информации о них (тип диска, размер диска) в своем проекте

compute.snapshot.admin

Роль compute.snapshot.admin дает доступ к управлению снапшотами сетевых дисков, подробнее в инструкции Управлять доступом к сетевым дискам облачных серверов и снапшотам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка снапшотов и информации о них (размер снапшота, дата создания и статус) во всех проектах; управление снапшотами (создание, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка снапшотов и информации о них (размер снапшота, дата создания и статус) в своем проекте; управление снапшотами (создание, удаление) в своем проекте

compute.snapshot.viewer

Роль compute.snapshot.viewer дает доступ к просмотру всего, чем управляет compute.snapshot.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка снапшотов и информации о них (размер снапшота, дата создания и статус) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка снапшотов и информации о них (размер снапшота, дата создания и статус) в своем проекте

compute.image.admin

Роль compute.image.admin дает доступ к управлению образами и настройке общего доступа к образам, подробнее в инструкции Управлять доступом к образам облачных серверов.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка образов и информации о них во всех проектах: размер образа, формат образа и контейнер, минимальные требования образа; управление образами (загрузка, создание, изменение, удаление) во всех проектах; настройка общего доступа к образам в проектах из одного аккаунта или из других аккаунтов
Доступные операции	В области доступа Проект: просмотр списка образов и информации о них в своем проекте: размер образа, формат образа и контейнер, минимальные требования образа; управление образами (загрузка, создание, изменение, удаление) в своем проекте; настройка общего доступа к образам в проектах из одного аккаунта или из других аккаунтов

compute.image.user

Роль compute.image.user дает доступ к управлению образами, подробнее в инструкции Управлять доступом к образам облачных серверов.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка образов и информации о них во всех проектах: размер образа, формат образа и контейнер, минимальные требования образа; управление образами (загрузка, создание, изменение, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка образов и информации о них в своем проекте: размер образа, формат образа и контейнер, минимальные требования образа; управление образами (загрузка, создание, изменение, удаление) в своем проекте

compute.backup.admin

Роль compute.backup.admin дает доступ к управлению бэкапами сетевых дисков и планами бэкапов, подробнее в инструкции Управлять доступом к бэкапам сетевых дисков облачных серверов.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка бэкапов и информации о них (тип бэкапа, размер, подключенные планы бэкапов, статус) во всех проектах; управление бэкапами (создание, удаление) во всех проектах; просмотр списка планов бэкапов во всех проектах; управление планами бэкапов (создание, изменение, удаление) во всех проектах
Доступные операции	В области доступа Проект: просмотр списка бэкапов и информации о них (тип бэкапа, размер, подключенные планы бэкапов, статус) в своем проекте; управление бэкапами (создание, удаление) в своем проекте; просмотр списка всех планов бэкапов в своем проекте; управление планами бэкапов (создание, изменение, удаление) в своем проекте

compute.backup.viewer

Роль compute.backup.viewer дает доступ к просмотру всего, чем управляет compute.backup.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка бэкапов и информации о них (тип бэкапа, размер, подключенные планы бэкапов, статус) во всех проектах; просмотр списка планов бэкапов во всех проектах
Доступные операции	В области доступа Проект: просмотр списка бэкапов и информации о них (тип бэкапа, размер, подключенные планы бэкапов, статус) в своем проекте; просмотр списка планов бэкапов в своем проекте

Роли dedicated

dedicated.admin

Роль dedicated.admin дает доступ к управлению:

выделенными серверами, подробнее в инструкции Управлять доступом к выделенным серверам;
размещенным оборудованием, подробнее в инструкции Управлять доступом к размещенному оборудованию;
межсетевыми экранами, подробнее в инструкции Управлять доступом к межсетевым экранам;
базовым файрволом, подробнее в инструкции Управлять доступом к базовому файрволу;
системой хранения данных, подробнее в инструкции Управлять доступом к СХД;
сетевыми диски для выделенных серверов, подробнее в инструкции Управлять доступом к сетевым дискам;
арендованным сетевым оборудованием, подробнее в инструкции Управлять доступом к арендованному сетевому.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка проектов; управление выделенными серверами (заказ, изменение, отказ) во всех проектах; управление размещенным оборудованием (заказ, изменение, отказ) во всех проектах; управление сетями; подключение и отключение дополнительных услуг; просмотр списка SSH-ключей, добавление SSH-ключей в хранилище и управление добавленными SSH-ключами; управление межсетевыми экранами (заказ, изменение, отказ); управление сетевыми дисками (создание, изменение, удаление); управление СХД (заказ, изменение, отказ); управление базовым файрволом (создание, изменение, удаление); управление арендованным оборудованием (заказ, изменение, отказ)
Доступные операции	В области доступа Проект: управление выделенными серверам (заказ, изменение, отказ) в своем проекте; управление размещенным оборудованием (заказ, изменение, отказ) в своем проекте; подключение и отключение дополнительных услуг; просмотр списка добавленных в хранилище SSH-ключей и информации о них; недоступен просмотр и управление: сетями; межсетевыми экранами; сетевыми дисками и СХД; базовым файрволом; арендованным сетевым оборудованием

dedicated.viewer

Пользователь с доступом к просмотру всего, чем управляет dedicated.admin в той же области доступа.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка всех выделенных серверов и информации о них во всех проектах; просмотр списка размещенного оборудования и информации о нем во всех проектах; просмотр списка всех VLAN, публичных и приватных подсетей, SAN-сетей и информации о них; просмотр списка сетевых дисков и СХД и информации о них; просмотр списка межсетевых экранов и информации о них; просмотр списка базовых файрволов и информации о них; просмотр списка арендованного сетевого оборудования и информации о нем; просмотр списка добавленных в хранилище SSH-ключей и информации о них
Доступные операции	В области доступа Проект: просмотр списка выделенных серверов и информации о них в своем проекте; просмотр списка размещенного оборудования и информации о нем в своем проекте; просмотр списка добавленных в хранилище SSH-ключей и информации о них; недоступен просмотр и управление: сетями; сетевыми дисками и СХД; межсетевыми экранами; базовым файрволом; арендованным сетевым оборудованием

Роли filestorage

filestorage.admin

Роль filestorage.admin дает доступ к управлению файловым хранилищем, подробнее в инструкции Управлять доступом к файловому хранилищу.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка файловых хранилищ и информации о них во всех проектах: имя, размер, тип хранилища и протокол, IP и имя сети, статус; просмотр правил доступа к файловым хранилищам во всех проектах; создание и управление файловыми хранилищами`*` во всех проектах; создание и управление правилами доступа во всех проектах
Доступные операции	В области доступа Проект: просмотр списка файловых хранилищ и информации о них в своем проекте: имя, размер, тип хранилища и протокол, IP и имя сети, статус; просмотр правил доступа к файловым хранилищам в своем проекте; создание и управление файловыми хранилищами`*` в своем проекте; создание и управление правилами доступа в своем проекте

* Для работы с файловым хранилищем дополнительно требуется роль с доступом к управлению сетями облачной платформы для подключения сети файлового хранилища.

filestorage.viewer

Роль filestorage.viewer дает доступ к просмотру всего, чем управляет filestorage.admin.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка файловых хранилищ и информации о них во всех проектах: имя, размер, тип хранилища и протокол, IP и имя сети, статус; просмотр правил доступа к файловым хранилищам во всех проектах
Доступные операции	В области доступа Проект: просмотр списка файловых хранилищ и информации о них в своем проекте: имя, размер, тип хранилища и протокол, IP и имя сети, статус; просмотр правил доступа к файловым хранилищам в своем проекте

Роли global_router

global_router.admin

Роль global_router.admin дает доступ к управлению глобальными роутерами в аккаунте, подробнее в инструкции Управлять доступом к глобальному роутеру.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	просмотр списка глобальных роутеров, подключенных к ним сетей и подсетей, списка статических маршрутов на роутере; управление глобальными роутерами (создание, изменение, удаление); добавление, изменение и удаление статических маршрутов на глобальном роутере; изменение имен сетей и подсетей, подключенных к глобальному роутеру; подключение к глобальному роутеру существующей или новой сети и подсети облачной платформы``; подключение к глобальному роутеру существующей или новой сети и подсети выделенных серверов``; удаление сети или подсети облачной платформы из сети глобального роутера, в том числе с удалением самой сети или подсети облачной платформы``; удаление сети или подсети выделенных серверов из сети глобального роутера``

* Для управления подключением сетей к глобальному роутеру дополнительно требуется роль member в области доступа Проект или Аккаунт.

global_router.viewer

Роль global_router.viewer дает доступ к просмотру всего, чем управляет global_router.admin.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	Просмотр списка глобальных роутеров, подключенных к ним сетей и подсетей, списка статических маршрутов на роутере

Роли logs

logs.admin

Роль logs.admin дает доступ к управлению логами, подробнее в инструкции Управлять доступом к логам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр логов в панели управления и с помощью доступных инструментов во всех проектах; управление пользовательскими логами во всех проектах; управление группами логов и стримами событий во всех проектах
Доступные операции	В области доступа Проект: просмотр логов в панели управления и с помощью доступных инструментов в своем проекте; управление пользовательскими логами в своем проекте; управление группами логов и стримами событий в своем проекте

logs.writer

Роль logs.writer дает доступ к добавлению логов в сервис Логи, подробнее в инструкции Управлять доступом к логам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: добавление логов из пользовательского хранилища с помощью доступных инструментов во всех проектах; создание групп логов и стримов событий во всех проектах
Доступные операции	В области доступа Проект: добавление логов из пользовательского хранилища с помощью доступных инструментов в своем проекте; создание групп логов и стримов событий в своем проекте

logs.viewer

Роль logs.viewer дает доступ к просмотру логов, подробнее в инструкции Управлять доступом к логам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр логов в панели управления и с помощью доступных инструментов во всех проектах
Доступные операции	В области доступа Проект: просмотр логов в панели управления и с помощью доступных инструментов в своем проекте

Роли metrics

metrics.admin

Роль metrics.admin дает доступ к управлению метриками, подробнее в инструкции Управлять доступом к метрикам.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: сбор метрик во всех проектах
Доступные операции	В области доступа Проект: сбор метрик в своем проекте

Роли mobile_farm

mobile_farm.admin

Роль mobile_farm.admin дает доступ к управлению мобильной фермой в своем проекте, подробнее в инструкции Управлять доступом в мобильную ферму.

Области доступа	Проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	просмотр потребления мобильной фермы в своем проекте; добавление и удаление устройств мобильной фермы в своем проекте; использование устройств мобильной фермы в своем проекте; изменение тарификации устройств мобильной фермы в своем проекте; добавление ADB-ключей в свой профиль

mobile_farm.user

Роль mobile_farm.user дает доступ к использованию устройств мобильной фермы в своем проекте, подробнее в инструкции Управлять доступом в мобильную ферму.

Области доступа	Проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	просмотр потребления мобильной фермы в своем проекте; использование устройств мобильной фермы в своем проекте; добавление ADB-ключей в свой профиль

mobile_farm.viewer

Роль mobile_farm.viewer дает доступ к просмотру всего, чем управляет mobile_farm.admin.

Области доступа	Проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	просмотр потребления мобильной фермы в своем проекте; просмотр устройств мобильной фермы в своем проекте; добавление ADB-ключей в свой профиль

Роли s3 и object_storage

s3.admin

Роль s3.admin дает доступ к управлению S3 в рамках проекта, подробнее в инструкции Управлять доступом в S3.

Области доступа	Проект
Кому можно назначить	Сервисным пользователям
Доступные операции	просмотр списка бакетов в своем проекте; просмотр содержимого бакетов в своем проекте; управление объектами бакетов (загрузка, изменение, удаление) в своем проекте; изменение настроек бакетов в своем проекте; настройка политики доступа к бакетам в своем проекте

s3.user

Роль s3.user дает доступ к просмотру списка бакетов в проекте и управлению бакетом S3, если в бакете настроена политика доступа, которая разрешает доступ к бакету этому пользователю, подробнее в инструкции Управлять доступом в S3. Степень доступа к бакету определяется настройками политики доступа. Если политика доступа не создана, пользователь не имеет доступа к бакету.

Области доступа	Проект
Кому можно назначить	Сервисным пользователям
Доступные операции	просмотр списка бакетов в своем проекте; операции в определенном бакете, которые разрешены его политикой доступа

s3.bucket.user

Роль s3.bucket.user дает доступ к бакету S3, если в бакете настроена политика доступа, которая разрешает доступ к бакету этому пользователю, подробнее в инструкции Управлять доступом в S3. Степень доступа к бакету определяется настройками политики доступа. Если политика доступа не создана, пользователь не имеет доступа к бакету.

Отличается от пользователя с ролью s3.user только тем, что не имеет доступа к просмотру списка бакетов в проекте.

Области доступа	Проект
Кому можно назначить	Сервисным пользователям
Доступные операции	Операции в определенном бакете, которые разрешены его политикой доступа

object_storage:admin

к сведению

Роль object_storage:admin скоро будет удалена, ее нельзя назначать новым пользователям. Существующие пользователи с ролью object_storage:admin продолжают работать.

Устаревшая версия роли s3.admin. Обладает идентичными правами.

object_storage_user

к сведению

Роль object_storage_user скоро будет удалена, ее нельзя назначать новым пользователям. Существующие пользователи с ролью object_storage_user продолжают работать.

Устаревшая версия роли s3.user. Обладает идентичными правами.

Роли vpc

vpc.admin

Роль vpc.admin дает доступ к управлению:

сетями облачной платформы (приватными сетями и подсетями, публичными подсетями и публичными IP-адресами, облачными роутерами), подробнее в инструкции Управлять доступом к сетям облачной платформы;
облачными файрволами, подробнее в инструкции Управлять доступом к облачному файрволу;
группами безопасности, подробнее в инструкции Управлять доступом к группам безопасности;
облачными балансировщиками нагрузки, подробнее в инструкции Управлять доступом к облачному балансировщику нагрузки.

Недоступно добавление портов на облачный сервер и удаление портов, добавленных на облачный сервер, для этого требуется роль member.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка: всех сетевых ресурсов облачной платформы и информации о них во всех проектах; всех объектов балансировщика и информации о них во всех проектах: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности; облачных файрволов и информации о них во всех проектах; групп безопасности и информации о них во всех проектах; управление приватными сетями, подсетями и портами во всех проектах`*`; управление публичными подсетями и публичными IP-адресами во всех проектах; управление облачными роутерами во всех проектах; управление балансировщиками нагрузки, правилами и HTTP-политиками, целевыми группами, проверками доступности, логированием балансировщика во всех проектах; просмотр статистики балансировщиков во всех проектах; управление облачными файрволами во всех проектах; управление группами безопасности, правилами и портами во всех проектах, а также скачивание отчета по группам безопасности во всех проектах
Доступные операции	В области доступа Проект: просмотр списка: всех сетевых ресурсов облачной платформы и информации о них в своем проекте; всех объектов балансировщика и информации о них в своем проекте: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности; облачных файрволов и информации о них в своем проекте; групп безопасности и информации о них в своем проекте; управление приватными сетями, подсетями и портами в своем проекте`*`; управление публичными подсетями и публичными IP-адресами в своем проекте; управление облачными роутерами в своем проекте; управление балансировщиками нагрузки, правилами и HTTP-политиками, целевыми группами, проверками доступности, логированием балансировщика в своем проекте; просмотр статистики балансировщиков в своем проекте; управление облачными файрволами в своем проекте; управление группами безопасности, правилами и портами в своем проекте; скачивание отчета по группам безопасности в своем проекте

* Для управления подключением подсети к глобальному роутеру дополнительно требуется роль global_router.admin.

vpc.viewer

Роль vpc.viewer дает доступ к просмотру всего, чем управляет vpc.admin в той же области доступа.

Области доступа	Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка: всех сетевых ресурсов облачной платформы и информации о них во всех проектах; облачных файрволов и информации о них во всех проектах; списка групп безопасности и информации о них во всех проектах; скачивание отчета по группам безопасности во всех проектах
Доступные операции	В области доступа Проект: просмотр списка: всех сетевых ресурсов облачной платформы и информации о них в своем проекте облачных файрволов и информации о них в своем проекте; списка групп безопасности и информации о них в своем проекте; скачивание отчета по группам безопасности в своем проекте

vpc.private_network.admin

Роль vpc.private_network.admin дает доступ к управлению:

сетями облачной платформы (приватными сетями, подсетями и портами), подробнее в инструкции Управлять доступом к сетям облачной платформы;
приватным DNS, подробнее в инструкции Управлять доступом к приватному DNS.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр: списка приватных сетей, подсетей, портов и информации о них во всех проектах; информации о подключении сети к приватному DNS-резолверу, просмотр списка зон и ресурсных записей в зонах во всех проектах; управление приватными сетями, подсетями и портами во всех проектах`*`; управление приватным DNS во всех проектах
Доступные операции	В области доступа Проект: просмотр: списка приватных сетей, подсетей, портов и информации о них в своем проекте; информации о подключении сети к приватному DNS-резолверу, просмотр списка зон и ресурсных записей в зонах в своем проекте; управление приватными сетями, подсетями и портами в своем проекте`*`; управление приватным DNS в своем проекте

* Для управления подключением подсети к облачному роутеру дополнительно требуется роль vpc.external_access.admin. Для подключения к глобальному роутеру — роль global_router.admin.

vpc.private_network.viewer

Роль vpc.private_network.viewer дает доступ к просмотру всего, чем управляет vpc.private_network.admin в той же области доступа.

Области доступа	проект; Аккаунт
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка приватных сетей, подсетей, портов и информации о них во всех проектах; просмотр информации о подключении сети к приватному DNS-резолверу, просмотр списка зон и ресурсных записей в зонах во всех проектах
Доступные операции	В области доступа Проект: просмотр списка приватных сетей, подсетей, портов и информации о них в своем проекте; просмотр информации о подключении сети к приватному DNS-резолверу, просмотр списка зон и ресурсных записей и информации о них в своем проекте

vpc.external_access.admin

Роль vpc.external_access.admin дает доступ к управлению объектами для доступа в интернет — публичными подсетями, публичными IP-адресами, облачными роутерами. Подробнее в инструкции Управлять доступом к сетям облачной платформы.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах; управление публичными подсетями во всех проектах; управление публичными IP-адресами во всех проектах; управление облачными роутерами во всех проектах`*`
Доступные операции	В области доступа Проект: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в своем проекте; управление публичными подсетями в своем проекте; управление публичными IP-адресами в своем проекте; управление облачными роутерами в своем проекте`*`

* Для управления подключением приватной подсети к облачному роутеру дополнительно требуется роль vpc.private_network.admin.

vpc.external_access.user

Роль vpc.external_access.user дает доступ:

к просмотру всего, чем управляет vpc.external_access.admin в той же области доступа;
к управлению публичными IP-адресами, подробнее в инструкции Управлять доступом к сетям облачной платформы.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах; управление публичными IP-адресами, кроме создания и удаления публичных IP-адресов, во всех проектах
Доступные операции	В области доступа Проект: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в своем проекте; управление публичными IP-адресами, кроме создания и удаления публичных IP-адресов, в своем проекте

vpc.external_access.viewer

Роль vpc.external_access.viewer дает доступ к просмотру всего, чем управляет vpc.external_access.admin в той же области доступа.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах
Доступные операции	В области доступа Проект: просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в своем проекте

vpc.network_security.admin

Роль vpc.network_security.admin дает доступ к управлению средствами для ограничения трафика:

облачными файрволами, подробнее в инструкции Управлять доступом к облачному файрволу;
группами безопасности, подробнее в инструкции Управлять доступом к группам безопасности.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка: облачных файрволов и информации о них во всех проектах; групп безопасности и информации о них во всех проектах``; управление облачными файрволами во всех проектах; управление группами безопасности, правилами и портами во всех проектах``; скачивание отчета по группам безопасности во всех проектах`**`
Доступные операции	В области доступа Проект: просмотр списка: облачных файрволов и информации о них в своем проекте; групп безопасности и информации о них в своем проекте``; управление облачными файрволами в своем проекте; управление группами безопасности, правилами и портами в своем проекте``; скачивание отчета по группам безопасности в своем проекте`**`

* Для просмотра групп безопасности и управления назначениями на порты дополнительно требуется роль vpc.private_network.viewer или vpc.external_access.viewer.

** Для скачивания отчета дополнительно требуется комбинация ролей vpc.private_network.viewer и vpc.external_access.viewer, либо роль vpc.viewer.

vpc.network_security.user

Роль vpc.network_security.user дает доступ:

к просмотру всего, чем управляет vpc.network_security.admin в той же области доступа;
к управлению группами безопасности на портах в приватной или публичной сети, подробнее в инструкции Управлять доступом к группам безопасности.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка: облачных файрволов и информации о них во всех проектах; групп безопасности и информации о них во всех проектах; управление портами групп безопасности во всех проектах. В панели управления действие доступно для роли только через страницу группы безопасности (в верхнем меню нажмите Продукты → Облачные серверы → Группы безопасности → страница группы); скачивание отчета по группам безопасности во всех проектах`*`
Доступные операции	В области доступа Проект: просмотр списка: облачных файрволов и информации о них в своем проекте; групп безопасности и информации о них в своем проекте; управление портами групп безопасности в своем проекте. В панели управления действие доступно для роли только через страницу группы безопасности (в верхнем меню нажмите Продукты → Облачные серверы → Группы безопасности → страница группы); скачивание отчета по группам безопасности в своем проекте`*`

* Для скачивания отчета дополнительно требуется комбинация ролей vpc.private_network.viewer и vpc.external_access.viewer, либо роль vpc.viewer.

vpc.network_security.viewer

Роль vpc.network_security.viewer дает доступ к просмотру всего, чем управляет vpc.network_security.admin в той же области доступа.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка: облачных файрволов и информации о них во всех проектах; групп безопасности и информации о них во всех проектах; скачивание отчета по группам безопасности во всех проектах`*`
Доступные операции	В области доступа Проект: просмотр списка: облачных файрволов и информации о них в своем проекте; групп безопасности и информации о них в своем проекте; скачивание отчета по группам безопасности в своем проекте`*`

vpc.load_balancer.admin

Роль vpc.load_balancer.admin дает доступ к управлению облачным балансировщиком нагрузки, подробнее в инструкции Управлять доступом к облачному балансировщику нагрузки.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка всех объектов балансировщика и информации о них во всех проектах: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности; просмотр статистики балансировщиков во всех проектах; управление объектами балансировщика нагрузки, кроме создания балансировщика, во всех проектах`*`; включение и выключение логирования балансировщиков во всех проектах
Доступные операции	В области доступа Проект: просмотр списка всех объектов балансировщика и информации о них в своем проекте: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности; просмотр статистики балансировщиков в своем проекте; управление объектами балансировщика нагрузки, кроме создания балансировщика, в своем проекте`*`; включение и выключение логирования балансировщиков в своем проекте

* Для создания балансировщика дополнительно требуется одна или несколько ролей. Дополнительные роли зависят от сети, в которой будет создан балансировщик:

vpc.admin для создания балансировщика в любой подсети;
vpc.private_network.admin для создания балансировщика в приватной подсети;
vpc.external_access.admin для создания балансировщика в публичной подсети;
комбинация ролей vpc.private_network.admin и vpc.external_access.admin для создания балансирощика в приватной подсети с публичным IP-адресом;

vpc.load_balancer.viewer

Роль vpc.load_balancer.viewer дает доступ к просмотру всего, чем управляет vpc.load_balancer.admin в той же области доступа.

Области доступа	аккаунт; проект
Кому можно назначить	пользователям; сервисным пользователям; группам пользователей
Доступные операции	В области доступа Аккаунт: просмотр списка всех объектов балансировщика и информации о них во всех проектах: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности
Доступные операции	В области доступа Проект: просмотр списка всех объектов балансировщика и информации о них в своем проекте: балансировщиков нагрузки, правил и HTTP-политик, целевых групп и серверов в них, проверок доступности