Управление ролями

Если с хранилищем работает несколько пользователей и каждому нужен определенный уровень доступа, вы можете разграничить доступ к ресурсам с помощью ролей. Роль пользователя — предустановленный набор разрешений, который определяет, какие операции с ресурсами может выполнить пользователь.

В Object Storage доступ к ресурсам разграничивается через проектные и сервисные роли.

Проектные роли

Проектные роли содержат набор разрешений для всех сервисов текущего проекта. Их можно использовать, если проект небольшой, а сложного разграничения доступа для пользователей не требуется.

В Object Storage используются несколько проектных ролей.

Пользователь проекта может просматривать информацию о ресурсах и скачивать объекты.
Пользователь сервисов может просматривать список бакетов в проекте.
Администратор проекта может управлять ресурсами и настраивать к ним доступ.

Если права нужно настроить более гибко, например, разрешить Пользователю проекта просматривать и редактировать настройки ACL, назначьте пользователю сервисную роль.

Сервисные роли

В отличие от проектных, сервисные роли действуют только в хранилище и не влияют на другие сервисы платформы. Это позволит вам более гибко настроить доступ ресурсам хранилища. Например, чтобы не назначать пользователю роль Администратор проекта, вы можете дать полные права только на ресурсы хранилища.

В таблице ниже перечислены все доступные сервисные роли Object Storage и операции, которые разрешает каждая роль.

Роли и доступные действия
Роль	Описание	Разрешенные операции
`s3e.viewer-acl`	Разрешает просматривать настройки ACL и Bucket Policy. Не дает доступа к бакету и его содержимому.	GetBucketAcl GetBucketPolicy GetBucketPolicyStatus GetBucketOwnershipControls
`s3e.editor-acl`	Разрешает создавать и редактировать ACL. Разрешает создавать, редактировать и удалять Bucket Policy. Не дает доступа к бакету и его содержимому.	DeleteBucketPolicy DeletePublicAccessBlock PutBucketAcl PutBucketPolicy PutObjectAcl PutPublicAccessBlock
`s3e.viewer`	Разрешает чтение списка бакетов, просмотр информации о бакете и регионе, в котором он хранится. Разрешает чтение списка объектов в бакете, просмотре информации об объекте и его скачивание.	GetBucketLocation GetObject HeadBucket HeadObject ListBuckets ListObjects ListObjectsV2
`s3e.editor`	Разрешает создавать и удалять бакеты, а также менять класс хранения. Разрешает загружать, копировать и удалять объекты.	CreateBucket CopyObject DeleteBucket DeleteObject PutObject
`s3e.admin`	Разрешает создание и редактирование проекта. Наследует все перечисленные выше права. Разрешает операции `CORS` и `BucketOwnershipControls`.	Методы роли `s3e.viewer-acl` Методы роли `s3e.editor-acl` Методы роли `s3e.viewer` Методы роли `s3e.editor` DeleteBucketCors DeleteBucketOwnershipControls GetBucketCors GetBucketOwnershipControls PutBucketCors PutBucketOwnershipControls

Назначить проектную роль

Проектную роль можно назначить пользователю проекта и сервисному аккаунту.

Примечание

При назначении прав действует принцип иерархии: вы можете назначить только те роли, которые находятся на одном уровне с вашей, либо ниже ее. Назначить себе или другому пользователю роль выше нельзя.

Назначить проектную роль пользователю

Проектная роль доступна как для пользователей с авторизацией по логину и паролю, так и с авторизацией по SSO.

Назначить роль можно при создании пользователя или при изменении прав созданного пользователя.

Подробнее о назначении ролей — в разделе Добавление пользователей.

Назначить проектную роль сервисному аккаунту

Чтобы назначить проектную роль для сервисного аккаунта:

В разделе Пользователи откройте вкладку Сервисные аккаунты.
Нажмите на в строке с названием аккаунта и выберите Редактировать.
Выберите роль:
- Пользователь проекта — чтение списка ресурсов, информации о них, а также скачиванию объектов;
- Администратор проекта — полный доступ к ресурсам хранилища.
Нажмите Сохранить.

После назначения роли, сервисный аккаунт получит набор прав для работы с ресурсами.

Назначить сервисную роль

Сервисные роли можно назначать только пользователям проекта. Это может сделать Администратор организации, Администратор проекта и Администратор пользователей.

Сервисная роль добавляется при создании пользователя или при изменении прав созданного пользователя. Вы можете выбрать:

общую роль — разрешения будут действовать на все бакеты и вложенные в них объекты;
роль на бакет — разрешения будут действовать на отдельный бакет.

В поле Роли выберите сервисную роль. Вы можете перечислить несколько ролей, например s3e.editor и s3e.viewer-acl.

Активируйте переключатель Установить отдельные роли на бакеты.
В блоке Роли на бакет выберите бакет из списка. Если список пустой, создайте новый бакет.
Укажите сервисную роль для бакета. Вы можете перечислить несколько ролей, например s3e.editor и s3e.viewer-acl.

Если сервисную роль нужно указать для нескольких бакетов, нажмите Добавить бакет и повторите операцию.

Назначенные на бакеты права будут действовать и на вложенные объекты.

См.также