tocdepth

2

Агентства и представительства

Агентство (Agency) в Identity and Access Management позволяет делегировать управление ресурсами в одном аккаунте для другого аккаунта или сервиса без предоставления учетных данных пользователя.

С помощью агентства аккаунт, который получил делегирование, может переключить свою роль и управлять ресурсами другого аккаунта. А сервис, который получил делегирование прав, может управлять некоторыми ресурсами другого сервиса. Например, делегирование прав может пригодиться, когда сервису FunctionGraph нужно получить доступ к другим облачным сервисам.

См.также

Что такое аккаунт, IAM-пользователи и др.

Перед началом работы

• Ознакомьтесь с пользовательскими политиками.

• Проверьте разрешения, которые будут назначены агентству, на наличие зависимостей. Подробнее о назначении зависимостей для роли.

Создание агентства

1. Войдите в консоль управления Advanced как администратор безопасности.

   См.также

   • Войти через личный кабинет Cloud.ru

   • Войти как IAM-пользователь

2. В списке сервисов выберите Identity and Access Management.

3. В левом меню выберите Agencies.

4. Нажмите Create Agency и настройте параметры:

   Параметр	Описание
   Agency Name	Задайте название для агентства.
   Agency Type	Укажите один из двух типов агентств: Account — этот тип делегирования позволяет предоставить доступ для аккаунта. IAM-пользователи или федеративные пользователи не могут получить делегирование. Cloud Service — этот тип делегирования позволяет предоставить доступ определенному сервису к данным других сервисов.
   Delegated Account	Укажите название аккаунта, которому будет делегирован доступ. Это поле доступно, только если ранее было выбрано Agency Type — Account. Примечание Название аккаунта можно увидеть в правом верхнем углу. Для IAM-пользователей отображается сначала название аккаунта, а под ним имя IAM-пользователя.
   Cloud Service	Выберите облачный сервис, которому будет предоставлен доступ. Это поле доступно, только если ранее было выбрано Agency Type — Cloud Service.
   Validity Period	Укажите срок действия делегирования доступа: Unlimited — неограниченный. 1 day — один день. Custom — введите количество дней, на которые будет предоставлен доступ. Доступно от одного до 365 дней.
   Description	(Опционально) Введите описание.

5. Нажмите Next, чтобы перейти к настройкам политики доступа.

   Примечание

   • Назначение разрешений агентству аналогично назначению разрешений группе пользователей. Эти две операции отличаются только количеством доступных разрешений. Подробнее о том, как назначить разрешения группе пользователей.

   • Для агентства нельзя назначить роль Security Administrator (администратор безопасности). Подробнее о ролях и разрешениях. Для обеспечения безопасности учетной записи предоставляйте агентствам необходимые разрешения по принципу наименьших привилегий.

6. Выберите одну или несколько политик доступа. Также нужные разрешения можно прописать в редакторе кода, нажав на стрелку вниз.

7. Нажмите Next.

8. В Scope выберите область применения разрешений:

   Scope	Описание
   All resources	Возможность использовать все ресурсы со всех проектов в рамках назначенных разрешений.
   Enterprise projects	Возможность использовать все ресурсы только в корпоративных проектах в рамках назначенных разрешений.
   Region-specific projects	Возможность использовать все ресурсы только для конкретного региона в рамках назначенных разрешений. Сейчас доступен только регион «ru-moscow».

9. Нажмите OK. Теперь доступ аккаунту или облачному сервису предоставлен.

Переключение ролей

Когда аккаунт устанавливает доверительные отношения с другим аккаунтом, то другой аккаунт становится делегированной стороной. Это значит, что тот аккаунт, название которого было введено в поле Delegated Account на этапе создания агентства, сможет управлять ресурсами в аккаунте, где создано это агентство, на основании указанных политик.

Так, например, если при создании агентства в Delegated Account было указано «example-account-name», а в Agency Name — «test-agency», при этом ваш аккаунт называется «example-account-2», то управление ресурсами будет осуществляться в вашем аккаунте из аккаунта «example-account-name» при переключении на агентство «test-agency».

Для переключения роли:

1. В консоли управления Advanced в правом верхнем углу экрана нажмите на имя пользователя и далее на Switch Role.

1. Заполните поля:

   • Account — введите название аккаунта, который делегирует управление. Это не может быть учетная запись IAM-пользователя.

     Например, «example-account-2».

   • Agency Name — введите название агентства. Например, «test-agency».

2. Нажмите OK.

Теперь роль переключилась и можно управлять ресурсами, которые разрешены политиками в делегирующем аккаунте. Чтобы вернуться в свой аккаунт, наведите указатель мыши на название аккаунта в правом верхнем углу, нажмите Switch Role и выберите свою учетную запись.

Агентство будет отображаться в Switch Role весь период своей активности или до тех пор, пока делегирующий аккаунт не удалит его со своей стороны или не завершится срок действия делегирования.

Была ли статья полезной?

Да Нет

Предыдущая статья

Настройка SSO-входа

Следующая статья

Обучающие материалы

Запустили Evolution free tier
для Dev & Test

Получить