Политики и группы
In this article:
Политики и группы#
Пользователю необходимо явным образом предоставить права для работы с конкретным сервисом К2 Облака. Права предоставляются путём назначения пользователю политик, где описываются разрешённые действия. Как правило, пользователю назначается несколько политик, совокупность которых описывает имеющиеся у него права. Описания политик хранятся в виде документа в формате JSON.
Чтобы не задавать по отдельности права для каждого пользователя, К2 Облако использует механизм групп. Как и пользователям, группам можно назначить собственные политики. При включении в группу пользователь получает все права этой группы. Пользователя можно включить в несколько групп. Полученные в результате права объединяются с правами, которые пользователю предоставляют индивидуальные политики.
Политики и группы делятся на глобальные и проектные в зависимости от того, действия с какими сервисами они разрешают. Глобальные политики предоставляют права на глобальные сервисы, проектные, соответственно, — на проектные. Одной группе нельзя назначать разные типы политик, т.е. группа может быть либо глобальной, либо проектной. При назначении пользователю проектной политики или включении его в проектную группу указывается проект, в котором ему предоставляются соответствующие права.
Внимание
Для управления привилегиями пользователей мы советуем использовать группы вместо политик, так как это позволяет упростить выдачу прав: их не надо назначать каждому пользователю индивидуально.
Политики#
Политики описывают набор разрешений на действия, которые пользователь может выполнять с облачными ресурсами. Например, пользователю можно разрешить запускать и останавливать экземпляры, но не удалять их.
Политики могут быть глобальными или проектными в зависимости от того, действия с какими сервисами они разрешают. В одной политике нельзя смешивать разрешения на сервисы разных типов. При назначении пользователю проектной политики необходимо указать проект, в котором ему предоставляются соответствующие привилегии.
Вы можете определить собственные или использовать предопределённые политики, которые предоставляет К2 Облако. По умолчанию в К2 Облаке доступны следующие политики:
Политика |
Описание |
|---|---|
Billing Full Access |
Полный доступ к биллинговой информации |
IAM Full Access |
Полный набор разрешений для администрирования пользователей, проектов и групп в рамках IAM |
Политика |
Описание |
|---|---|
AutoScalingFullAccess |
Полный набор разрешений для работы с группами экземпляров и управления политиками масштабирования |
BackupFullAccess |
Полный набор разрешений для управления резервным копированием |
BackupOperationsPolicy |
Все действия с резервными копиями за исключением их удаления |
CloudTrailFullAccess |
Полный набор разрешений для работы с журналом действий |
CloudWatchFullAccess |
Полный набор разрешений для работы с сервисом мониторинга. |
EC2FullAccess |
Полный набор разрешений для управления инфраструктурным сервисом. |
EKSCSIPolicy |
Необходимые разрешения для специального пользователя в EBS-провайдере для управления дисками |
EKSFullAccess |
Полный набор разрешений для управления кластерами Kubernetes |
ELBFullAccess |
Полный набор разрешений для управления балансировщиками нагрузки |
PaaSBackupPolicy |
Необходимый набор разрешений для сервиса PaaS для выполнения резервного копирования |
PaaSFullAccess |
Полный набор разрешений для управления всеми сервисами PaaS |
PaaSServicePolicy |
Необходимый набор разрешений для сервиса PaaS для управления другими сервисами PaaS и соответствующими ресурсами |
RCFullAccess |
Полный набор привилегий для доступа к удалённой консоли через Web |
Route53FullAccess |
Полный набор привилегий для управления сервисом DNS |
S3FullAccess |
Полный набор привилегий для работы с объектным хранилищем |
Важно
Политика CloudTrailFullAccess позволяет пользователю контролировать события во всех проектах компании независимо от того, в каком проекте они были добавлены.
Создать политику#
Перейдите в раздел IAM Политики.
Нажмите Создать.
Задайте имя политики и выберите тип политики (глобальная или проектная). Вы можете добавить также описание политики (опционально). Нажмите Далее для перехода на следующий шаг.
Выберите сервис, разрешения на действия с которым вы хотите добавить. Для выбора всех возможных действий выберите действие
*. Нажмите Выбрать для добавления действий в список выбранных разрешений.Если вы хотите добавить разрешения для действий с другим сервисом, то повторите данный шаг.
Примечание
Мастер создания политики предоставляет возможность задать и редактировать политику непосредственно в формате JSON. Для этого перейдите на следующий шаг, нажав Редактировать JSON.
После выбора всех разрешённых действий нажмите Создать.
Изменить разрешения#
Вы можете в любой момент изменить разрешения политики. При добавлении разрешений все пользователи, которым назначена эта политика, получат соответствующие привилегии. Например, если вы добавили разрешение на удаление экземпляров, то они смогут удалять экземпляры. Однако при удалении разрешений из политики у некоторых пользователей могут остаться соответствующие привилегии, если они предоставляются другими политиками, которые им назначены, или группами, в которые они входят.
Важно
Предопределённые политики изменить нельзя.
Чтобы изменить разрешения, которые предоставляет политика:
Перейдите в раздел IAM Политики.
Выберите политику, для которой надо изменить разрешения, в таблице ресурсов и нажмите Изменить разрешения.
В открывшемся окне выберите сервис, для которого вы хотите изменить разрешения. Для добавления разрешений выберите действия в доступных разрешениях и нажмите Добавить. Для удаления разрешений выберите действия в блоке Выбранные разрешения и нажмите Удалить.
Если вы хотите изменить разрешения для действий с другим сервисом, то повторите данный шаг.
Примечание
Мастер создания политики предоставляет возможность задать и редактировать политику непосредственно в формате JSON. Для этого перейдите на следующий шаг, нажав Редактировать JSON.
После выбора всех разрешённых действий нажмите Создать.
Вы можете также изменить разрешения на странице политики на вкладке Разрешения.
Просмотреть политику в формате JSON#
Перейдите в раздел IAM Политики.
Выберите политику, которую вы хотите просмотреть, в таблице ресурсов и нажмите Показать JSON.
При необходимости вы можете изменить политику. Для этого нажмите Изменить разрешения для перехода в диалог изменения политики.
После просмотра политики нажмите Закрыть.
Удалить политику#
Прежде чем удалять политику, её надо удалить у всех пользователей, которым она назначена, и из всех групп, в которые она добавлена.
Примечание
Предопределённые политики удалить нельзя.
Перейдите в раздел IAM Политики.
Выберите политику, которую необходимо удалить, и нажмите Удалить.
Подтвердите действие в открывшемся окне.
Вы можете также удалить политику на её странице на вкладке Информация.
Группы#
Использование групп позволяет выдавать одинаковые права сразу всем членам группы, а не назначить их каждому пользователю индивидуально. При включении в группу пользователь получает все привилегии, которая предоставляет эта группа. При изменении привилегий группы права автоматически изменятся у всех входящих в неё пользователей.
Привилегии группы определяются тем, какие политики ей назначены. В зависимости от типа — глобальная или проектная — группам могут быть назначены только политики соответствующего типа. При включении пользователей в проектную группу необходимо указать проект, в котором им будут предоставлены привилегии группы.
Вы можете создать собственные группы, либо использовать предопределённые группы, которые предоставляет К2 Облако. По умолчанию в К2 Облаке доступны следующие группы:
Группа |
Тип |
Описание |
Применяемые политики |
|---|---|---|---|
ActivityLogAdministrators |
Проектная |
Полный набор привилегий для работы с сервисом Журнал действий |
CloudTrailFullAccess |
BackupAdministrators |
Проектная |
Полный набор привилегий для управления резервным копированием |
BackupFullAccess |
BackupOperators |
Проектная |
Все действия с резервными копиями за исключением их удаления |
BackupOperationsPolicy |
BillingAdministrators |
Глобальная |
Полный доступ к биллинговой информации |
BillingFullAccess |
CloudAdministrators |
Проектная |
Полный набор привилегий для работы всеми ресурсами проекта, кроме доступа к сервису Журнал действий и удаления резервных копий. |
AutoscalingFullAccess |
IAMAdministrators |
Глобальная |
Полный набор привилегий для администрирования пользователей и проектов в рамках IAM |
IAMFullAccess |
InstanceAdministrators |
Проектная |
Необходимые привилегии для работы с экземплярами |
CloudWatchFullAccess |
ObjectStorageAdministrators (администраторы объектного хранилища) |
Проектная |
Полный набор привилегий для работы с объектным хранилищем |
S3FullAccess |
Создать группу#
Перейдите в раздел IAM Группы.
В открывшемся окне задайте имя для группы и выберите тип группы (глобальная или проектная). Нажмите Далее для перехода на следующий шаг.
В списке политик отметьте политики, которые вы хотите назначить группе, и нажмите Выбрать. Для отмены выбора отметьте политики в блоке Выбранные политики и нажмите Убрать.
Нажмите Создать для завершения создания группы.
Изменить назначенные политики#
Вы можете назначить группе другие политики после её создания. В результате изменятся соответствующие привилегии у пользователей, которые входят в эту группу.
Важно
Для предопределённых групп нельзя изменить, какие политики ей назначены.
Добавить политики в группу#
Перейдите в раздел IAM Группы.
Найдите группу в таблице ресурсов и нажмите на имя группы для перехода на её страницу.
Откройте вкладку Политики и нажмите Добавить.
В открывшемся окне отметьте добавляемые политики и нажмите Выбрать.
Нажмите Добавить для сохранения изменений.
Удалить политики из группы#
Перейдите в раздел IAM Группы.
Найдите группу в таблице ресурсов и нажмите на имя группы для перехода на её страницу.
Откройте вкладку Политики.
Выберите удаляемые политики в списке ресурсов и нажмите Удалить.
Подтвердите действие в открывшемся окне.
Изменить состав пользователей группы#
Добавить пользователей в группу#
При добавлении пользователей в проектную группу необходимо указать проект, в котором им будут предоставлены привилегии данной группы.
Перейдите в раздел IAM Группы.
Найдите группу в таблице ресурсов и нажмите на имя группы для перехода на её страницу.
Откройте вкладку Пользователи и нажмите Добавить.
Для проектной группы выберите проект, в который будут добавлены пользователи, и нажмите Далее. В случае глобальной группы данный шаг отсутствует.
Отметьте пользователей, которым необходимо предоставить привилегии, и нажмите Выбрать.
Нажмите Добавить для включения пользователей в группу.
Удалить пользователей из группы#
В случае проектной группы один и тот же пользователь может иметь привилегии в несколько проектах. Соответственно, для удалении пользователя из группы надо выбрать все проекты, где пользователю предоставлены привилегии.
Перейдите в раздел IAM Группы.
Найдите группу в таблице ресурсов и нажмите на имя группы для перехода на её страницу.
Откройте вкладку Пользователи.
Выберите пользователей, которых вы хотите удалить из группы, в таблице ресурсов и нажмите Удалить.
Подтвердите действие в открывшемся окне.
Отменить групповые привилегии в проекте#
Чтобы отменить групповые привилегии в конкретном проекте в случае проектной группы:
Перейдите в раздел IAM Группы.
Найдите группу в таблице ресурсов и нажмите на имя группы для перехода на её страницу.
Откройте вкладку Пользователи и выберите нужны проект в селекторе проектов.
Отметьте пользователя или пользователей, которых необходимо лишить групповых привилегии , и нажмите Удалить.
Подтвердите действие в открывшемся окне.
Удалить группу#
Примечание
Прежде чему удалять группу, необходимо удалить из неё всех пользователей.
Перейдите в раздел IAM Группы.
Выберите удаляемую группу в таблице ресурсов и нажмите Удалить.
Подтвердите действие в открывшемся окне.
Вы можете также удалить группу на её странице на вкладке Информация.