tocdepth

2

Управление ролями в Object Storage

Если с хранилищем работает несколько пользователей и каждому нужен определенный уровень доступа, вы можете разграничить доступ к ресурсам с помощью ролей. Роль пользователя — предустановленный набор разрешений, который определяет, какие операции с ресурсами может выполнить пользователь.

В Object Storage доступ к ресурсам разграничивается через проектные и сервисные роли.

Проектные роли

Проектные роли содержат набор разрешений для всех сервисов текущего проекта. Их можно использовать, если проект небольшой, а сложного разграничения доступа для пользователей не требуется.

В Object Storage используются несколько проектных ролей.

  • Пользователь проекта может просматривать информацию о ресурсах и скачивать объекты.

  • Пользователь сервисов может просматривать список бакетов в проекте.

  • Администратор проекта может управлять ресурсами и настраивать к ним доступ.

Если права нужно настроить более гибко, например, разрешить Пользователю проекта просматривать и редактировать настройки ACL, назначьте пользователю сервисную роль.

Сервисные роли

В отличие от проектных, сервисные роли действуют только в хранилище и не влияют на другие сервисы платформы. Это позволит вам более гибко настроить доступ ресурсам хранилища. Например, чтобы не назначать пользователю роль Администратор проекта, вы можете дать полные права только на ресурсы хранилища.

В таблице ниже перечислены все доступные сервисные роли Object Storage и операции, которые разрешает каждая роль.

Роли и доступные действия

Роль

Описание

Разрешенные операции

s3e.viewer-acl

  • Разрешает просматривать настройки ACL и Bucket Policy.

  • Не дает доступа к бакету и его содержимому.

s3e.editor-acl

  • Разрешает создавать и редактировать ACL.

  • Разрешает создавать, редактировать и удалять Bucket Policy.

  • Не дает доступа к бакету и его содержимому.

s3e.viewer

  • Разрешает чтение списка бакетов, просмотр информации о бакете и регионе, в котором он хранится.

  • Разрешает чтение списка объектов в бакете, просмотре информации об объекте и его скачивание.

s3e.editor

  • Разрешает создавать и удалять бакеты, а также менять класс хранения.

  • Разрешает загружать, копировать и удалять объекты.

s3e.admin

  • Разрешает создание и редактирование проекта.

  • Наследует все перечисленные выше права.

  • Разрешает операции CORS и BucketOwnershipControls.

Назначить проектную роль

Проектную роль можно назначить пользователю проекта и сервисному аккаунту.

Примечание

При назначении прав действует принцип иерархии: вы можете назначить только те роли, которые находятся на одном уровне с вашей, либо ниже ее. Назначить себе или другому пользователю роль выше нельзя.

Назначить проектную роль пользователю

Проектная роль доступна как для пользователей с авторизацией по логину и паролю, так и с авторизацией по SSO.

Назначить роль можно при создании пользователя или при изменении прав созданного пользователя.

Подробнее о назначении ролей — в разделе Добавление пользователей.

Назначить проектную роль сервисному аккаунту

Чтобы назначить проектную роль для сервисного аккаунта:

  1. В разделе Пользователи откройте вкладку Сервисные аккаунты.

  2. Нажмите на Вертикальное меню в строке с названием аккаунта и выберите Редактировать.

  3. Выберите роль:

    • Пользователь проекта — чтение списка ресурсов, информации о них, а также скачиванию объектов;

    • Администратор проекта — полный доступ к ресурсам хранилища.

  4. Нажмите Сохранить.

После назначения роли, сервисный аккаунт получит набор прав для работы с ресурсами.

Назначить сервисную роль

Сервисные роли можно назначать только пользователям проекта. Это может сделать Администратор организации, Администратор проекта и Администратор пользователей.

Сервисная роль добавляется при создании пользователя или при изменении прав созданного пользователя. Вы можете выбрать:

  • общую роль — разрешения будут действовать на все бакеты и вложенные в них объекты;

  • роль на бакет — разрешения будут действовать на отдельный бакет.

В поле Роли выберите сервисную роль. Вы можете перечислить несколько ролей, например s3e.editor и s3e.viewer-acl.

Назначенные на бакеты права будут действовать и на вложенные объекты.

Запустили Evolution free tier
для Dev & Test
Получить