Управление разрешениями

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.

По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными ресурсами на основе разрешений.

IAM предоставляет два типа политик:

  • Fine-grained (детальная). Состоит из разрешений на основе API для операций с определенными типами ресурсов. Обеспечивает более детальный контроль, чем RBAC. Например, пользователи могут выполнять только базовые операции с CCE, такие как запуск виртуальных машин, но не могут удалять их.

  • RBAC. Пользователям в группе с назначенной политикой RBAC предоставляются все разрешения, необходимые для этого сервиса, например, разрешения на доступ и управление. Политики RBAC не поддерживают управление разрешениями для конкретной операции. Политики Kubernetes RBAC регулируют доступ к ресурсам кластера CCE, таким как рабочие нагрузки, сервисы и другие собственные ресурсы Kubernetes. Подробнее о Kubernetes RBAC.

Создание группы пользователей

  1. В консоли управления CCE выберите Permissions Management.

  2. На вкладке Cluster-Level Permissions нажмите Create User Group.

  3. Задайте название и (опционально) описание для пользовательской группы и нажмите ОК. Новая группа пользователей появится в списке.

  4. Чтобы добавить права доступа группе, в строке с группой нажмите More → Manage Permissions.

  5. На вкладке Permissions нажмите Assign Permissions.

  6. В блоке Scope выберите Region-specific projects → ru-moscow-1.

  7. В блоке Permissions выберите роли:

    Роль

    Описание

    Тип политики

    Зависимости

    CCE ReadOnlyAccess

    Разрешения только на чтение для кластеров CCE.

    Fine-grained

    Нет

    CCE FullAccess

    Разрешения на чтение и запись для кластеров CCE, включая создание, удаление и обновление кластера.

    Fine-grained

    Нет

    CCE Administrator

    Разрешения на чтение и запись для кластеров CCE и всех ресурсов (включая рабочие нагрузки и сервисы) в кластерах.

    IAM RBAC

    От ECS Administrator, VPC Administrator, EVS Administrator, IMS Administrator, SvcStg Admin.

    • Пользователи с CCE Administrator и ELB Administrator могут использовать функции ELB для кластеров CCE.

    • Пользователи с CCE Administrator и NAT Gateway Administrator могут использовать функции NAT Gateway для кластеров CCE.

    • Пользователи с CCE Administrator и SFS Administrator могут выполнять все операции в хранилищах SFS.

    Связь разрешений между операциями и ролями

    Операция

    CCE ReadOnlyAccess

    CCE FullAccess

    CCE Administrator

    Создание кластера

    нет

    да

    да

    Удаление кластера

    нет

    да

    да

    Изменение кластера, например, параметры планирования узлов кластера и обеспечение поддержки RBAC для кластеров

    нет

    да

    да

    Расширение кластера

    нет

    да

    да

    Запуск кластера

    нет

    да

    да

    Остановка кластера

    нет

    да

    да

    Просмотр кластеров

    да

    да

    да

    Просмотр сведений о кластере

    да

    да

    да

    Добавление узла

    нет

    да

    да

    Удаление одного или несколько узлов

    нет

    да

    да

    Изменение узлов, например, названия

    нет

    да

    да

    Просмотр сведений об узле

    да

    да

    да

    Просмотр всех узлов

    да

    да

    да

    Просмотр всех заданий

    да

    да

    да

    Удаление одного или несколько заданий

    нет

    да

    да

    Просмотр сведений о задании

    да

    да

    да

    Создание хранилища

    нет

    да

    да

    Удаление хранилища

    нет

    да

    да

    Управление всеми ресурсами кластера Kubernetes

    да

    да

    да

    Выполнение всех операций с Elastic Cloud Server (ECS)

    нет

    да

    да

    Выполнение всех операций с Elastic Volume Service (EVS)

    нет

    да

    да

    Выполнение всех операций с Virtual Private Cloud (VPC), включая ELB

    нет

    да

    да

    Просмотр сведений о всех ресурсах в ECS

    да

    да

    да

    Просмотр всех ресурсов EVS

    да

    да

    да

    Просмотр сведений о ресурсах VPC, включая ELB

    да

    да

    да

    Просмотр сведений о ресурсах SFS

    да

    да

    да

    Просмотр сведений о ресурсах AOM

    да

    да

    да

  8. Нажмите ОК.

Создание пользователя

  1. Выберите Management & Deployment → Identify and Access Management.

  2. В меню слева выберите раздел Users и нажмите Create User.

  3. Укажите имя пользователя, адрес электронной почты, (опционально) номер мобильного телефона и описание.

  4. В блоке Access Type выберите тип доступа:

    • Programmatic access — ключ доступа позволяет использовать средства разработки (включая API, CLI и SDK), поддерживающие проверку подлинности ключей для доступа к облачным сервисам.

    • Management console access — пароль применяется для входа в консоль управления.

  5. При активации Management console access выберите один из типов пароля:

    • Set now — нужно указать и подтвердить новый пароль в полях ниже. При активации чек-бокса Require password reset at first login пользователь должен будет изменить пароль на новый при первом входе в систему.

    • Automatically generated — пароль будет автоматически сгенерирован системой и отправлен на электронную почту пользователя.

    • Set by user — на указанную ниже электронную почту пользователя будет отправлен одноразовый URL-адрес. Когда пользователь нажмет на данную ссылку, он сможет указать свой пароль для входа в консоль.

  6. Login Protection — при подключении этой функции пользователю дополнительно потребуется ввести проверочный код.

  7. Нажмите Next.

  8. Выберите из списка доступных групп пользователей нужную группу и нажмите Create.

Пользователь создан и добавлен в группу.

Добавление в группу уже созданного пользователя

  1. Выберите Management & Deployment → Identify and Access Management.

  2. В меню слева выберите User Groups, нажмите на название нужной группы и перейдите на вкладку Users.

  3. Нажмите Add и выберите из списка пользователя.

  4. Нажмите ОК.

Пользователь добавлен.