Перейти к основному содержимому

Управлять доступом к сетям облачной платформы

Доступ к сетям облачной платформы регулируется:

Доступ в рамках ролевой модели

Подробнее о доступе в рамках ролевой модели в инструкции Управление доступом в продуктах Servercore.

В этой инструкции описаны роли для доступа к ресурсам сетей облачной платформы: к приватным сетям, подсетям и портам, публичным подсетям и портам, публичным IP-адресам и облачным роутерам. Отдельно регулируется доступ к балансировщикам нагрузки, доступ к облачным файрволам и доступ к группам безопасности.

member

Пользователь с полным доступом ко всем сервисам. Недоступно управление доступом: пользователями, сервисными пользователями, группами пользователей и федерациями.

Области доступа
  • Аккаунт
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них во всех проектах;

  • управление приватными сетями, подсетями и портами во всех проектах:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • настройка доступа к сети в разных проектах;
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него;
    • подключение сети к глобальному роутеру и отключение от него;
    • создание порта в сети и удаление порта;
    • включение и выключение порта в сети;
    • управление разрешенными адресами и группами безопасности на порте в сети;

  • управление публичными подсетями во всех проектах:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • настройка доступа к подсети в разных проектах;
    • создание и удаление порта в подсети;

  • управление публичными IP-адресами во всех проектах:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами во всех проектах:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него

В области доступа Проект:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них в выбранном проекте;

  • управление приватными сетями, подсетями и портами в выбранном проекте:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • настройка доступа к сети в разных проектах (необходим доступ к каждому из проектов);
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него;
    • создание порта в сети и удаление порта;
    • включение и выключение порта в сети;
    • управление разрешенными адресами и группами безопасности на порте;

  • управление публичными подсетями в выбранном проекте:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • настройка доступа к подсети в разных проектах;
    • создание и удаление порта в подсети;
    • включение и выключение порта в сети;

  • управление публичными IP-адресами в выбранном проекте:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами в выбранном проекте:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него

iam_admin

Пользователь с доступом к управлению пользователями и без доступа к услугам и биллингу. Не может управлять своей учетной записью: изменять разрешения, управлять уведомлениями, удалять пользователя. Первого пользователя с ролью iam_admin создает Владелец аккаунта.

Области доступаАккаунт
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

reader

Пользователь с доступом к просмотру всего, чем управляет member в той же области доступа.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них во всех проектах

В области доступа Проект:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них в выбранном проекте

vpc.admin

Пользователь с доступом к управлению сетями облачной платформы (приватными сетями и подсетями, публичными подсетями и публичными IP-адресами, облачными роутерами), облачными файрволами, группами безопасности, облачными балансировщиками нагрузки.

Недоступно добавление портов на облачный сервер и удаление портов, добавленных на облачный сервер, для этого требуется роль member.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них во всех проектах;

  • управление приватными сетями, подсетями и портами во всех проектах:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него;
    • подключение подсети к глобальному роутеру и отключение от него (дополнительно требуется роль global_router.admin);
    • создание порта в сети (без назначения на облачный сервер) и удаление порта в сети (кроме назначенных на облачный сервер);
    • включение и выключение порта в сети;

  • управление публичными подсетями во всех проектах:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • создание и удаление порта в подсети;
    • включение и выключение порта в сети;

  • управление публичными IP-адресами во всех проектах:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами во всех проектах:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него

В области доступа Проект:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них в выбранном проекте;

  • управление приватными сетями, подсетями и портами в выбранном проекте:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него;
    • подключение подсети к глобальному роутеру и отключение от него (дополнительно требуется роль global_router.admin);
    • создание порта в сети (без назначения на облачный сервер) и удаление порта в сети (кроме назначенных на облачный сервер);
    • включение и выключение порта в сети;

  • управление публичными подсетями в выбранном проекте:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • создание и удаление порта в подсети;
    • включение и выключение порта в сети;

  • управление публичными IP-адресами в выбранном проекте:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами в выбранном проекте:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него

vpc.viewer

Пользователь с доступом к просмотру всего, чем управляет vpc.admin в той же области доступа.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них во всех проектах

В области доступа Проект:

  • просмотр списка всех сетевых ресурсов облачной платформы и информации о них в выбранном проекте

vpc.private_network.admin

Пользователь с доступом к управлению приватными сетями, подсетями и портами.

Недоступно добавление портов на облачный сервер и удаление портов, добавленных на облачный сервер, для этого требуется роль member.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка приватных сетей, подсетей, портов и информации о них во всех проектах;

  • управление приватными сетями, подсетями и портами во всех проектах:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него (дополнительно требуется роль vpc.external_access.admin);
    • подключение подсети к глобальному роутеру и отключение от него (дополнительно требуется роль global_router.admin);
    • создание порта в сети (без назначения на облачный сервер) и удаление порта в сети (кроме назначенных на облачный сервер);
    • включение и выключение порта в сети

В области доступа Проект:

  • просмотр списка приватных сетей, подсетей, портов и информации о них в выбранном проекте;

  • управление приватными сетями, подсетями и портами в выбранном проекте:

    • создание и удаление сети и подсети;
    • изменение имени и тегов сети и подсети;
    • изменение автоматических сетевых настроек подсети (шлюза, DNS-серверов, статических маршрутов, состояния DHCP);
    • подключение подсети к облачному роутеру и отключение от него (дополнительно требуется роль vpc.external_access.admin);
    • подключение подсети к глобальному роутеру и отключение от него (дополнительно требуется роль global_router.admin);
    • создание порта в сети (без назначения на облачный сервер) и удаление порта в сети (кроме назначенных на облачный сервер);
    • включение и выключение порта в сети

vpc.private_network.viewer

Пользователь с доступом к просмотру всего, чем управляет vpc.private_network.admin в той же области доступа.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка приватных сетей, подсетей, портов и информации о них во всех проектах

В области доступа Проект:

  • просмотр списка приватных сетей, подсетей, портов и информации о них в выбранном проекте

vpc.external_access.admin

Пользователь с доступом к управлению объектами для доступа в интернет — публичными подсетями, публичными IP-адресами, облачными роутерами.

Недоступно добавление портов на облачный сервер и удаление портов, добавленных на облачный сервер, для этого требуется роль member.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах;

  • управление публичными подсетями во всех проектах:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • создание и удаление порта в подсети;
    • включение и выключение порта в сети

  • управление публичными IP-адресами во всех проектах:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами во всех проектах:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него (дополнительно требуется роль vpc.private_network.admin)

В области доступа Проект:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в выбранном проекте;

  • управление публичными подсетями в выбранном проекте:

    • создание и удаление подсети;
    • изменение имени и тегов подсети;
    • изменение DNS-серверов;
    • создание и удаление порта в подсети;
    • включение и выключение порта в сети

  • управление публичными IP-адресами в выбранном проекте:

    • создание и удаление IP-адреса;
    • подключение IP-адреса к порту в приватной сети;
    • переключение между портами;
    • отключение от порта;

  • управление облачными роутерами в выбранном проекте:

    • создание и удаление роутера;
    • изменение имени и тегов роутера;
    • включение и выключение роутера;
    • подключение роутера к внешней сети и отключение от нее;
    • управление статическими маршрутами на роутере;
    • подключение приватной подсети к роутеру и отключение от него (дополнительно требуется роль vpc.private_network.admin)

vpc.external_access.user

Пользователь с доступом к просмотру всего, чем управляет vpc.external_access.admin в той же области доступа, а также с доступом к управлению публичными IP-адресами.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах;

  • управление публичными IP-адресами во всех проектах:

    • подключение IP-адреса к порту в приватной сети, переключение между портами, отключение от порта

В области доступа Проект:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в выбранном проекте;

  • управление публичными IP-адресами в выбранном проекте:

    • подключение IP-адреса к порту в приватной сети, переключение между портами, отключение от порта

vpc.external_access.viewer

Пользователь с доступом к просмотру всего, чем управляет vpc.external_access.admin в той же области доступа.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции с сетями облачной платформы

В области доступа Аккаунт:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них во всех проектах

В области доступа Проект:

  • просмотр списка публичных подсетей и публичных IP-адресов, портов в публичных сетях, облачных роутеров и информации о них в выбранном проекте