Создание политики для группы пользователей

В дополнение к системным настройкам прав можно создать собственные политики и применить их к группам пользователей для более гибкого контроля доступа к сервисам. Например, политика может разрешать создание VPC, а также создание и удаление групп и правил безопасности в выделенном облаке.

Создание политики в визуальном редакторе

  1. Зайдите в консоль как администратор безопасности.

  2. В панели слева выберите Policy и нажмите Create Custom Policy.

  3. Введите название политики.

  4. Выберите область действия политики. Область действия зависит от вида сервиса, доступ к которому регулирует политика:

    • Global services — для сервисов, доступных во всех регионах.

    • Project-level services — для сервисов, развернутых в конкретном регионе. Пример: политика для Elastic Volume Service (EVS) с действием evs:volumes:create.

    Примечание

    • Регион — географическая область, в которой действуют заданные разрешения.

    • Чтобы задать разрешения, необходимые для доступа к сервисам, развернутым как глобально, так и в конкретном проекте, создайте две политики и задайте для них область действия.

  5. Выберите Visual editor в параметре Policy View.

  6. Настройте политику:

    • Выберите Allow или Deny.

      Примечание

      В каждый блок разрешений можно добавить только один сервис. Чтобы настроить разрешения для нескольких сервисов, нажмите Add Permissions или переключитесь на режим JSON.

    • Выберите действия.

    • Выберите все ресурсы или перечислите конкретные ресурсы, задав их пути.

    • При необходимости добавьте условия запроса с помощью условных ключей, операторов и значений:

      Параметр

      Описание

      Пример

      Condition Key

      Ключ в условном выражении:

      • Глобальный ключ. Начинается с последовательности g: и используется в операторах для всех сервисов.

      • Ключ на уровне сервиса. Начинается с аббревиатуры сервиса и двоеточия (например, obs:) и используется для операций в соответствующих сервисах.

      g:DomainName

      obs:SourceIp

      Operator

      Оператор — используется вместе с ключом.

      StringStartWithAnyOfIfExists

      IpAddress

      Value

      Значение — используется вместе с ключом и оператором для формирования законченного условного выражения.

      sber

      100.100.199.199.20

  7. Если нужно изменить политику с использованием формата JSON, переключитесь в режим JSON.

  8. Задайте описание для политики при необходимости.

  9. Нажмите OK.

  10. Назначьте политику группе пользователей. Пользователь наследует политику группы, в которую входит.

Создание политики с помощью JSON

  1. Начните создавать политику, как описано выше в шагах 1-4 раздела Создание политики в визуальном редакторе.

  2. Включите режим JSON в параметре Policy View.

  3. При необходимости нажмите Select Existing Policy и выберите политику, которую хотите использовать как шаблон, например, VPC Admin.

  4. Нажмите OK.

  5. Задайте или измените выражения в шаблоне.

    • Effect — введите Allow или Deny.

    • Action — введите действия, доступные в API сервиса, например, evs:volumes:create.

  6. Нажмите Validate. Если появится сообщение об ошибке валидации, проверьте синтаксис и отредактируйте правила политики.

  7. Задайте описание для политики при необходимости.

  8. Нажмите OK.

  9. Назначьте политику группе пользователей. Пользователь наследует политику группы, в которую входит.

Назначение политики группе пользователей

Чтобы политика вступила в силу, определите, на какую группу пользователей и в рамках какого проекта она будет распространяться:

  1. В панели слева выберите User Groups и нажмите Modify в строке с нужной группой.

  2. В блоке Group Permissions нажмите Attach Policy в строке с нужным проектом.

  3. В окне Attach Policy выберите из списка Available Policies одну или несколько политик. Чтобы быстро найти политику, введите ее название в поле Enter a policy name.

  4. Убедитесь, что в списке Selected Policies перечислены необходимые политики.

  5. Сохраните список политик — нажмите OK.

  6. Сохраните настройки группы — нажмите OK.