Управление Agencies
Агентство (Agency) в Identity and Access Management позволяет делегировать управление ресурсами в одном аккаунте для другого аккаунта или сервиса без предоставления учетных данных пользователя.
С помощью агентства аккаунт, который получил делегирование, может переключить свою роль и управлять ресурсами другого аккаунта. А сервис, который получил делегирование прав, может управлять некоторыми ресурсами другого сервиса. Например, делегирование прав может пригодиться, когда сервису FunctionGraph нужно получить доступ к другим облачным сервисам.
Перед началом работы
Ознакомьтесь с пользовательскими политиками.
Проверьте разрешения, которые будут назначены агентству, на наличие зависимостей. Подробнее о назначении зависимостей для роли.
Создать агентство
Войдите в консоль управления Advanced как администратор безопасности.
В списке сервисов выберите Identity and Access Management.
В левом меню выберите Agencies.
Нажмите Create Agency и настройте параметры:
Параметр
Описание
Agency Name
Задайте название для агентства.
Agency Type
Укажите один из двух типов агентств:
Account — этот тип делегирования позволяет предоставить доступ для аккаунта. IAM-пользователи или федеративные пользователи не могут получить делегирование.
Cloud Service — этот тип делегирования позволяет предоставить доступ определенному сервису к данным других сервисов.
Delegated Account
Укажите название аккаунта, которому будет делегирован доступ. Это поле доступно, только если ранее было выбрано Agency Type — Account.
ПримечаниеНазвание аккаунта можно увидеть в правом верхнем углу. Для IAM-пользователей отображается сначала название аккаунта, а под ним имя IAM-пользователя.
Cloud Service
Выберите облачный сервис, которому будет предоставлен доступ. Это поле доступно, только если ранее было выбрано Agency Type — Cloud Service.
Validity Period
Укажите срок действия делегирования доступа:
Unlimited — неограниченный.
1 day — один день.
Custom — введите количество дней, на которые будет предоставлен доступ. Доступно от одного до 365 дней.
Description
(Опционально) Введите описание.
Нажмите Next, чтобы перейти к настройкам политики доступа.
ПримечаниеНазначение разрешений агентству аналогично назначению разрешений группе пользователей. Эти две операции отличаются только количеством доступных разрешений. Подробнее о том, как назначить разрешения группе пользователей.
Для агентства нельзя назначить роль Security Administrator (администратор безопасности). Подробнее о ролях и разрешениях. Для обеспечения безопасности учетной записи предоставляйте агентствам необходимые разрешения по принципу наименьших привилегий.
Выберите одну или несколько политик доступа. Также нужные разрешения можно прописать в редакторе кода, нажав на стрелку вниз.
Нажмите Next.
В Scope выберите область применения разрешений:
Scope
Описание
All resources
Возможность использовать все ресурсы со всех проектов в рамках назначенных разрешений.
Enterprise projects
Возможность использовать все ресурсы только в корпоративных проектах в рамках назначенных разрешений.
Region-specific projects
Возможность использовать все ресурсы только для конкретного региона в рамках назначенных разрешений. Сейчас доступен только регион «ru-moscow».
Нажмите OK. Теперь доступ аккаунту или облачному сервису предоставлен.
Переключить роли
Когда аккаунт устанавливает доверительные отношения с другим аккаунтом, то другой аккаунт становится делегированной стороной. Это значит, что тот аккаунт, название которого было введено в поле Delegated Account на этапе создания агентства, сможет управлять ресурсами в аккаунте, где создано это агентство, на основании указанных политик.
Так, например, если при создании агентства в Delegated Account было указано «example-account-name», а в Agency Name — «test-agency», при этом ваш аккаунт называется «example-account-2», то управление ресурсами будет осуществляться в вашем аккаунте из аккаунта «example-account-name» при переключении на агентство «test-agency».
Для переключения роли:
В консоли управления Advanced в правом верхнем углу экрана нажмите на имя пользователя и далее на Switch Role.
Заполните поля:
Account — введите название аккаунта, который делегирует управление. Это не может быть учетная запись IAM-пользователя.
Например, «example-account-2».
Agency Name — введите название агентства. Например, «test-agency».
Нажмите OK.
Теперь роль переключилась и можно управлять ресурсами, которые разрешены политиками в делегирующем аккаунте. Чтобы вернуться в свой аккаунт, наведите указатель мыши на название аккаунта в правом верхнем углу, нажмите Switch Role и выберите свою учетную запись.
Агентство будет отображаться в Switch Role весь период своей активности или до тех пор, пока делегирующий аккаунт не удалит его со своей стороны или не завершится срок действия делегирования.