Роли личного кабинета и их разрешения

Сразу после создания проекта в нем присутствует только один пользователь — его владелец. Владелец может пригласить в проект других участников, назначив им роли. Роль определяет список доступных разрешений при работе с функциональностью личного кабинета и с облачными сервисами.

Один и тот же пользователь может быть участником нескольких проектов и иметь в них разные роли. Одному участнику может быть назначено несколько ролей в одном проекте, в этом случае разрешения ролей суммируются.

Список участников проекта и назначенных им ролей можно посмотреть на странице Управление доступами личного кабинета.

Пользователь с максимально широким набором разрешений.

Владельцем становится пользователь, который создал проект, либо для которого проект был создан платформой при регистрации аккаунта.

В проекте может быть только один владелец. Эту роль нельзя назначить или пригласить на нее.

Пользователь, который имеет те же разрешения, что владелец, включая привязку карты и пополнение баланса.

Суперадминистратор — единственная роль, кроме владельца, которой доступна активация сервисов в проекте.

Пользователь, который имеет полные разрешения на создание и редактирование объектов во всех сервисах.

Администратор не может:

• активировать сервисы;
• пополнять баланс проекта (ему доступен только просмотр баланса);
• приглашать пользователей.

Роль, предназначенная для работы с участниками проекта на странице управления доступами.

Администратор пользователей (IAM) может приглашать участников в проект и удалять их из проекта, редактировать назначенные участникам роли.

Сервисы и информация о балансе проекта этой роли недоступны.

Роль, предназначенная для управления балансом проекта.

Администратор биллинга может:

• привязать к проекту карту оплаты, если она еще не привязана;
• пополнить баланс проекта или настроить автопополнение.

Сервисы и список участников проекта этой роли недоступны.

Пользователь, который имеет полные разрешения на просмотр информации в проекте, включая список участников, данные всех сервисов, баланс проекта и детализацию расходов.

Наблюдатель не может создавать какие-либо объекты и не может ничего редактировать, кроме настроек своего аккаунта.

Каждая из ролей ниже предназначены для работы с одним из сервисов платформы. Этим ролям доступны:

• разрешения в их целевом сервисе;
• ряд разрешений в сопутствующих сервисах, без которых невозможна полноценная работа с целевым сервисом.

У всех этих ролей отсутствует доступ к списку участников проекта и к информации о балансе.

Подробные сведения о разрешениях этих ролей в разделе Матрица разрешений для всех ролей.

Все операции, доступные специализированным ролям, доступны также владельцу проекта, суперадминистратору и администратору проекта.

Пользователь с этой ролью может выполнять основные операции в сервисе Cloud Servers.

При этом ему доступен только просмотр для:

• планов резервного копирования;
• файловых хранилищ.

В сервисе виртуальных сетей он может создавать и редактировать группы правил (firewall).

Пользователь с этой ролью может выполнять полный набор операций в сервисах виртуальных сетей и DNS.

Пользователь с этой ролью может просматривать все данные в сервисах виртуальных сетей и DNS.

Создавать и редактировать он может только группы правил (firewall).

Пользователь с этой ролью может:

• просматривать все данные в сервисах виртуальных сетей и DNS;
• создавать и редактировать виртуальные сети и подсети, маршрутизаторы;
• добавлять в проект плавающие IP.

Подробная информация об этих ролях в разделе Разрешения ролей сервиса Cloud Containers.

Разрешения — это набор прав пользователей на просмотр (в таблице ниже — R) или изменение (RW) объектов. Разрешение на изменение объектов включает право на их создание и удаление, а также разрешение на просмотр. Отсутствие у роли доступа к сервису или функциональности обозначено прочерком (—).

В личном кабинете доступны специализированные роли для работы с сервисом Cloud Containers:

• администратор Kubernetes,
• оператор Kubernetes,
• аудитор Kubernetes.

Операции, доступные администратору Kubernetes, доступны также владельцу проекта, суперадминистратору и администратору проекта.

Для остальных ролей эти операции недоступны.

Для кластеров Kubernetes версии 1.23 и выше роль администратора, оператора или аудитора Kubernetes также определяет доступную пользователю внутреннюю роль Kubernetes.