Управление разрешениями

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные права доступа. Например, некоторым разработчикам программного обеспечения в вашей организации необходимо использовать сервис VPN, но им нельзя удалять или изменять параметры. В этом случае можно создать IAM-пользователей для разработчиков и предоставить им разрешение только на использование сервиса.

По умолчанию у новых IAM-пользователей нет разрешений на выполнение операций с сервисом VPN. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь наследует права доступа от групп, в которых он состоит, и может выполнять операции с облачными ресурсами на основе этих разрешений.

Системные роли, поддерживаемые сервисом VPN

Роль

Описание

Зависимости

VPN Administrator

Все операции с сервисом VPN. Чтобы разрешения этой роли вступили в силу, пользователь также должен иметь права Tenant Guest и VPC Administrator.

  • Tenant Guest — project-level политика, которая должна быть назначена в том же проекте, что и VPN Administrator.

  • VPC Administrator — project-level политика, которая должна быть назначена в том же проекте, что и VPN Administrator.

Операции, поддерживаемые ролью VPN Administrator:

  • Создание VPN-шлюза

  • Просмотр VPN-шлюза

  • Изменение VPN-шлюза

  • Удаление VPN-шлюза

  • Создание VPN-соединения

  • Просмотр VPN-соединения

  • Изменение VPN-соединения

  • Удаление VPN-соединения

Ниже описаны шаги по созданию группы, пользователя и добавлению пользователя в группу.

  1. В консоли управления IAM выберите User Groups.

  2. Нажмите Create User Group.

  3. Укажите название и (опционально) описание для пользовательской группы и нажмите ОК. Новая пользовательская группа появится в списке.

  4. Чтобы добавить права доступа пользовательской группе, в строке с группой нажмите More → Manage Permissions.

  5. На вкладке Permissions нажмите Assign Permissions.

  6. В блоке Scope выберите Region-specific projects → ru-moscow-1.

  7. В блоке Permissions выберите роль VPN Administrator.

    Пользовательская группа создана и для нее назначены права для конфигурации и изменения сервиса VPN.

  8. В меню слева выберите раздел Users и нажмите Create User.

  9. Укажите имя пользователя, адрес электронной почты, (опционально) номер мобильного телефона и описание.

  10. В блоке Access Type выберите тип доступа:

    • Programmatic access — ключ доступа позволяет использовать средства разработки (включая API, CLI и SDK), поддерживающие проверку подлинности ключей для доступа к облачным сервисам.

    • Management console access — пароль применяется для входа в консоль управления.

  11. При активации Management console access выберите один из типов создания пароля:

    • Set now — нужно указать и подтвердить новый пароль в полях ниже. При включении опции Require password reset at first login пользователь должен будет изменить пароль на новый при первом входе в систему.

    • Automatically generated — пароль будет автоматически сгенерирован системой и отправлен на электронную почту пользователя.

    • Set by user — на указанную ниже электронную почту пользователя будет отправлен одноразовый URL-адрес. Когда пользователь нажмет на данную ссылку, он сможет указать свой пароль для входа в консоль.

  12. Login Protection — при подключении этой функции пользователю дополнительно потребуется ввести проверочный код.

  13. Нажмите Next.

  14. Выберите из списка доступных пользовательских групп нужную группу и нажмите Create.

Пользователь создан и добавлен в пользовательскую группу.

Запустили Evolution free tier
для Dev & Test
Получить