tocdepth

2

Управление разрешениями NAT Gateway

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к ресурсам NAT-шлюза.

Например, разработчику программного обеспечения необходимо создавать и просматривать NAT-шлюзы, но он не должен удалять их или выполнять какие-либо операции с высоким риском. В этом случае создается IAM-пользователь для разработчика и назначается роль и политика, которые необходимы для NAT-шлюзов.

По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными ресурсами на основе разрешений.

IAM предоставляет два типа политик:

  • Fine-grained (детальная). Состоит из разрешений на основе API для операций с определенными типами ресурсов. Обеспечивает более детальный контроль, чем RBAC.

    Описание политик:

    • NAT Admin — все операции с ресурсами NAT-шлюза.

    • NAT Viewer — разрешение read-only для всех ресурсов NAT-шлюза.

  • RBAC. Пользователю в группе с назначенной политикой RBAC предоставляются все разрешения, необходимые для этого сервиса, например, разрешения на изменение.

    Описание политики:

    NAT Gateway Administrator — все операции с ресурсами NAT-шлюза. Для этой политики пользователь также должен иметь разрешение Tenant Guest.

Операции, поддерживаемые NAT-шлюзом.

Операция

NAT Admin

NAT Viewer

NAT Gateway Administrator

Создание NAT-шлюза

Просмотр NAT-шлюза

Просмотр деталей NAT-шлюза

Изменение NAT-шлюза

Удаление NAT-шлюза

Создание группы пользователей

  1. Выберите Management & Deployment → Identify and Access Management.

  2. В меню слева выберите User Groups и нажмите Create User Group.

  3. Задайте название и (опционально) описание для пользовательской группы и нажмите ОК. Новая группа пользователей появится в списке.

  4. Чтобы добавить права доступа группе, в строке с группой нажмите More → Manage Permissions.

  5. На вкладке Permissions нажмите Assign Permissions.

  6. В блоке Scope выберите Region-specific projects → ru-moscow-1.

  7. В блоке Permissions выберите нужные роли из таблицы.

  8. Нажмите ОК.

Создание и добавление пользователя в группу

  1. В меню слева выберите раздел Users и нажмите Create User.

  2. Укажите имя пользователя, адрес электронной почты, (опционально) номер мобильного телефона и описание.

  3. В блоке Access Type выберите тип доступа:

    • Programmatic access — ключ доступа позволяет использовать средства разработки (включая API, CLI и SDK), поддерживающие проверку подлинности ключей для доступа к облачным сервисам.

    • Management console access — пароль применяется для входа в консоль управления.

  4. При активации Management console access выберите один из типов пароля:

    • Set now — нужно указать и подтвердить новый пароль в полях ниже. При включении опции Require password reset at first login пользователь должен будет изменить пароль на новый при первом входе в систему.

    • Automatically generated — пароль будет автоматически сгенерирован системой и отправлен на электронную почту пользователя.

    • Set by user — на указанную ниже электронную почту пользователя будет отправлен одноразовый URL-адрес. Когда пользователь нажмет на данную ссылку, он сможет указать свой пароль для входа в консоль.

  5. Login Protection — при подключении этой функции пользователю дополнительно потребуется ввести проверочный код.

  6. Нажмите Next.

  7. Выберите из списка доступных групп пользователей нужную группу и нажмите Create.

Пользователь создан и добавлен в группу.

Запустили Evolution free tier
для Dev & Test
Получить