Настройки безопасности

Настройка группы безопасности

Получить доступ к группе безопасности нужного кластера можно двумя способами:

  • Посредством MapReduce Service: Clusters → Active Clusters → Basic Information → поле MRS Manager (или EIP) → Access (или Add Security Group Role).

    Активировав чек-бокс в диалоговом окне, вы подтверждаете безопасность IP-адреса устройства в поле Add Security Group Rule и данный адрес будет автоматически добавлен в Inbound Rules группы безопасности в качестве разрешенного. Для изменения правил группы безопасности нажмите Manage Security Group Rule. Далее следуйте инструкции начиная с п.4.

  • Посредством сервиса Virtual Private Cloud (VPC) → Access Control. Доступ к группе безопасности через сервис VPC описан ниже.

  1. Выберите Network → Virtual Private Cloud.

  2. В боковом меню слева выберите Access Control → Security Groups.

  3. Нажмите на имя нужной группы безопасности.

    Примечание

    Имя группы безопасности вида mrs_you-cluster-name_xxx, где you-cluster-name — первые 16 символов имени кластера MRS.

  4. Перейдите на вкладку Inbound Rules.

  5. На данной вкладке можно сделать следующие действия:

    1. Add Rule — добавить правило.

      Примечание

      В следующем пункте будет подробнее рассмотрен процесс добавления нового правила.

    2. Modify — изменить правило безопасности.

    3. Replicate — дублировать правило.

    4. Delete — удалить правило.

    ../_images/s__inbound-rules.jpeg
  6. Для добавления нового правила безопасности нажмите кнопку Add Rule, заполните следующие поля и нажмите кнопку ОК:

    1. Protocol & Port — выберите из списка вид протокола.

    2. Укажите номер порта доступа или диапазон портов (например, 22 или 22-30).

    3. Source — источником правила группы безопасности может быть другая группа либо IP-адрес.

    4. Укажите IP-адрес, с которого разрешаете доступ к инстансам кластера.

      Примечание

      Если оставить значение по умолчанию 0.0.0.0/0, то доступ разрешен с любого IP-адреса.

    5. Description — описание группы безопасности.

    6. Operation → Replicate — позволяет дублировать введенные правила.

    7. Operation → Delete — позволяет удалить правило.

    8. + Add Rule — добавить новое правило.

    ../_images/s__settings-inbound-rules.jpeg

Управление правами пользователей

Права пользователя регулируются на уровне группы пользователей, которая, в свою очередь, присваивается нужным пользователям.

В целях безопасности при выполнении основных операций на облачной платформе рекомендуется использовать IAM-пользователей. Пользователи IAM создаются с помощью основной (корневой) учетной записи или с помощью IAM-пользователя с административными правами.

У каждого пользователя IAM свой собственный пароль для входа в систему и ключи доступа (AK/SK) для подключения к облаку с помощью консоли или API. Пользователи управляют ресурсами на основе назначенных им прав, при этом самими ресурсами они не владеют.

Управление правами пользователя происходит в следующем порядке:

Создание группы пользователей

  1. Выберите Management & Deployment → Identity and Access Management.

  2. В меню слева выберите User Groups.

  3. Нажмите кнопку Create User Group.

  4. В поле User Group укажите имя группы, а в поле Description введите описание группы (например, права, которыми собираетесь наделить группу пользователей).

  5. Нажмите кнопку ОК. Новая группа отобразится в списке всех групп.

    ../_images/s__create-new-user-group.jpeg

Создание политики группы

В сервисе Identity and Access Management большой выбор системных политик по каждому сервису SberCloud.Advanced. При необходимости можно создать свою политику с индивидуальным набором прав и доступов.

Рассмотрим создание пользовательской политики на примере добавления разрешения для изменения размера кластера.

  1. Выберите Management & Deployment → Identity and Access Management.

  2. В меню слева выберите Policies.

  3. Нажмите кнопку Create Custom Policy.

  4. Заполните поля:

    1. Policy Name — укажите имя политики.

    2. Scope — выберите масштаб влияния данной политики:

      • Global services — относится к сервисам, которые работают вне зависимости от региона (например, OBS).

      • Project-level services — для сервисов, при создании которых учитывается регион.

    3. Policy View — выберите способ настройки политики:

      • Visual editor — с помощью графического редактора.

      • JSON — настройка разрешений пользователя с использованием формата JSON.

      ../_images/s__settings-politics.jpeg
  5. Настройте политику пользователя в блоке Policy Content и нажмите кнопку ОК:

    1. Select Existing Policy — можно выбрать преднастройки одной из существующих политик.

      Примечание

      Cписок отображаемых политик зависит от выбранного масштаба влияния в поле Scope.

    2. Expand/Collapse All — развернуть/свернуть все строки с настройками.

    3. Allow — выберите тип политики: разрешающая (Allow) или запрещающая (Deny). Например, Allow.

    4. Select service — выберите облачный сервис, к которому относится политика. Например, MapReduce Service.

    5. Select action — в разрешенных действиях (изменение (ReadWrite) или просмотр (ReadOnly)) выберите тип действия. Например, ReadWrite → mrs.cluster.resize.

      Примечание

      Воспользуйтесь всплывающими подсказками — наведите курсор на значок Значок вопрос нужного действия.

    6. All resources — укажите все (All) или конкретные ресурсы (Specific).

    7. (Optional) Set request conditions — можно настроить дополнительные условия.

    8. Значок клонирование (Clone) — дублировать заполненную строку с настройками.

    9. Значок корзина (Remove) — удалить строку.

    10. Add Permissions — добавить новую строку для настройки разрешений.

    11. Description — введите описание политики группы, которое будет видно в списке политик.

      ../_images/s__select-existing-policy.jpeg

Создание пользователя

  1. Выберите Management & Deployment → Identity and Access Management.

  2. В меню слева выберите Users.

  3. Нажмите кнопку Create User.

  4. Заполните следующие поля и нажмите кнопку Next:

    1. User Name — укажите уникальное имя пользователя.

    2. Credential Type — выберите тип доступа: пароль (Password) или ключ доступа (Access Key).

    3. User Groups — добавьте нужную группу (группы) пользователей: введите название группы или выберите из раскрывающегося списка.

    4. Description — введите описание.

    ../_images/s__users-create-user.jpeg
  5. Заполните следующие поля и нажмите кнопку ОК (только при выборе типа доступа Password):

    1. Password Type — выберите способ создания пароля:

      • «Set by user» — при выборе этого параметра на электронную почту пользователя будет выслано письмо с URL-адресом, пройдя по которому он сможет указать свой пароль для входа в консоль.

      • «Automatically generated» — пользователю на почту будет выслано письмо с автоматически сгенерированным системой паролем. В целях безопасности рекомендуется активировать чек-бокс Require user to set a new password upon first login.

      • «Set now» — пароль нужно будет указать в полях ниже. В целях безопасности рекомендуется активировать чек-бокс Require user to set a new password upon first login.

    2. Email — укажите электронный адрес пользователя.

    3. Mobile Number — укажите номер мобильного телефона (опционально).

Присвоение политики и добавление пользователя группе

  1. Выберите Management & Deployment → Identity and Access Management.

  2. В меню слева выберите User Groups.

  3. В строке с нужной группой нажмите Modify.

  4. В блоке Group Permissions в строке с рабочим проектом нажмите Attach Policy.

  5. В поисковой строке введите «MRS» и нажмите значок поиска Значок поиск или Enter. Активируйте чек-боксы с нужными разрешениями и нажмите кнопку ОК.

    Примечание

    Пользовательские политики отмечены CUSTOMED.

  6. В блоке Group Members введите имя пользователя или выберите его из раскрывающегося списка. Пользователь появится в таблице. Нажмите кнопку ОК.

    Примечание

    После изменения прав пользователю необходимо выйти из системы и вновь зайти, чтобы новые права вступили в силу.