IAM
In this article:
IAM#
Сервис IAM позволяет контролировать доступ к вашей инфраструктуре в К2 Облаке, в частности вы можете настроить двухфакторную аутентификацию для повышения безопасности. С его помощью вы можете делегировать пользователям права на администрирование тех или иных ресурсов и предоставить им права на использование только определённых типов облачных ресурсов. А подключение внешнего провайдера удостоверений (Identity Provider, IdP) позволяет централизованно регулировать доступ к облачным ресурсам посредством задания привилегий для групп без их настройки для каждого пользователя в отдельности.
Внимание
Административную учётную запись, выданную при регистрации компании, из соображений безопасности рекомендуется использовать только для работы в разделе IAM. Для работы с другими сервисами облака лучше использовать только дополнительно созданные учётные записи без прав администрирования IAM.
Действия в разделе IAM логируются сервисом Журнал действий.
Миграция сервиса IAM#
Вместо ранее используемой ролевой модели права пользователям теперь назначаются при помощи политик и групп (см. подробнее раздел Политики и группы). Миграция пользователей и ролей на новую схему была осуществлена автоматически с соблюдением приведённых ниже правил.
Миграция ролей#
Вместо предопределённых ролей теперь используются политики или группы с аналогичным набором прав. Соответствие между ролями и политиками/группами представлено в таблице.
Роль |
Аналог |
Имя политики/группы |
|---|---|---|
Auto Scaling administrator |
Группа |
AutoScalingAdministrators |
Backup administrator |
Группа |
BackupAdministrators |
Backup operator |
Группа |
BackupOperators |
Cloud administrator |
Группа |
CloudAdministrators |
CloudTrail administrator |
Группа |
ActivityLogAdministrators |
DNSaaS administrator |
Группа |
Route53Administrators |
Kubernetes EBS Provider User |
Политика |
EKSCSIPolicy |
Kubernetes administrator |
Политика |
EKSFullAccess |
ELB administrator |
Группа |
ELBAdministrators |
PaaS backup user |
Политика |
PaaSBackupPolicy |
PaaS administrator |
Политика |
PaaSFullAccess |
Public user |
n/a |
n/a |
Storage administrator |
Группа |
ObjectStorageAdministrators |
Viewer |
Группа |
InstanceViewers |
VM administrator |
Группа |
InstanceAdministrators |
Если у вас были определены собственные роли, то для них создаются политики с именами в следующем формате:
# Исходное имя роли можно посмотреть в описании политики
role-<нормализованное_имя_роли>
Миграция пользователей#
Если у пользователя имеются права на сервис IAM или сервис биллинга, то он добавляется в соответствующую глобальную группу.
Если у пользователя есть права в конкретном проекте, то из всей совокупности его прав выделяются максимально широкие наборы прав, которые совпадают с имеющимися группами и политиками. После этого пользователю назначаются права в следующем порядке:
пользователь добавляется в предопределённую проектную группу;
пользователю назначается собственная политика, которая была создана при миграции ролей (при наличии);
пользователю назначается предопределённая политика.
Если у пользователя остались нераспределённые права, то на их основе создаётся новая политика и назначается пользователю. Имя политики имеет следующий вид:
# Полный логин пользователя можно посмотреть в описании политики
user-<индекс>-<нормализованный_логин_пользователя>
Если пользователь отвечал за резервное копирование сервисов PaaS, то ему назначается политика PaaSBackupPolicy в соответствующих проектах. Специальному пользователю с ролью Kubernetes EBS Provider User назначается политика EKSCSIPolicy в соответствующих проектах.
Миграция групп провайдеров удостоверений#
Если у группы провайдера удостоверений есть права на сервис IAM или сервис биллинга, то она добавляется в соответствующие глобальные группы IAM.
Если группе провайдера удостоверений предоставлены права в каком-либо проекты, то они распределяются между имеющимися группами и политиками в следующем порядке:
группа провайдера удостоверений добавляется в предопределённую проектную группу IAM;
группе провайдера удостоверений назначается предопределённая политика.
Если оставшиеся нераспределёнными права не могут быть соотнесены ни с одной группой, то создаётся политика с этими правами и назначается группе провайдера удостоверений. Имя политики имеет следующий вид:
# Исходное название группы провайдера удостоверений можно посмотреть в описании политики
ad-group-<индекс>-<нормализованное_имя_группы_провайдера_удостоверений>