Роли личного кабинета и их разрешения
Сразу после создания проекта в нем присутствует только один пользователь — его владелец. Владелец может пригласить в проект других участников, назначив им роли. Роль определяет список доступных разрешений при работе с функциональностью личного кабинета и с облачными сервисами.
Один и тот же пользователь может быть участником нескольких проектов и иметь в них разные роли. Одному участнику может быть назначено несколько ролей в одном проекте, в этом случае разрешения ролей суммируются.
Список участников проекта и назначенных им ролей можно посмотреть на странице Управление доступами личного кабинета.
Пользователь с максимально широким набором разрешений.
Владельцем становится пользователь, который создал проект, либо для которого проект был создан платформой при регистрации аккаунта.
В проекте может быть только один владелец. Эту роль нельзя назначить или пригласить на нее.
Пользователь, который имеет те же разрешения, что владелец, включая привязку карты и пополнение баланса.
Суперадминистратор — единственная роль, кроме владельца, которой доступна активация сервисов в проекте.
Пользователь, который имеет полные разрешения на создание и редактирование объектов во всех сервисах.
Администратор не может:
- активировать сервисы;
- пополнять баланс проекта (ему доступен только просмотр баланса);
- приглашать пользователей.
Роль, предназначенная для работы с участниками проекта на странице управления доступами.
Администратор пользователей (IAM) может приглашать участников в проект и удалять их из проекта, редактировать назначенные участникам роли.
Сервисы и информация о балансе проекта этой роли недоступны.
Роль, предназначенная для управления балансом проекта.
Администратор биллинга может:
- привязать к проекту карту оплаты, если она еще не привязана;
- пополнить баланс проекта или настроить автопополнение.
Сервисы и список участников проекта этой роли недоступны.
Пользователь, который имеет полные разрешения на просмотр информации в проекте, включая список участников, данные всех сервисов, баланс проекта и детализацию расходов.
Наблюдатель не может создавать какие-либо объекты и не может ничего редактировать, кроме настроек своего аккаунта.
Каждая из ролей ниже предназначены для работы с одним из сервисов платформы. Этим ролям доступны:
- разрешения в их целевом сервисе;
- ряд разрешений в сопутствующих сервисах, без которых невозможна полноценная работа с целевым сервисом.
У всех этих ролей отсутствует доступ к списку участников проекта и к информации о балансе.
Подробные сведения о разрешениях этих ролей в разделе Матрица разрешений для всех ролей.
Все операции, доступные специализированным ролям, доступны также владельцу проекта, суперадминистратору и администратору проекта.
Пользователь с этой ролью может выполнять основные операции в сервисе облачных вычислений.
При этом ему доступен только просмотр для:
- планов резервного копирования;
- файловых хранилищ.
В сервисе виртуальных сетей он может создавать и редактировать группы правил (firewall).
Пользователь с этой ролью может выполнять полный набор операций в сервисах виртуальных сетей и DNS.
Пользователь с этой ролью может просматривать все данные в сервисах виртуальных сетей и DNS.
Создавать и редактировать он может только группы правил (firewall).
Пользователь с этой ролью может:
- просматривать все данные в сервисах виртуальных сетей и DNS;
- создавать и редактировать виртуальные сети и подсети, маршрутизаторы;
- добавлять в проект плавающие IP.
Подробная информация об этих ролях в разделе Разрешения ролей сервиса контейнеров.
Разрешения — это набор прав пользователей на просмотр (в таблице ниже — R ) или изменение ( RW ) объектов. Разрешение на изменение объектов включает право на их создание и удаление, а также разрешение на просмотр. Отсутствие у роли доступа к сервису или функциональности обозначено прочерком ( — ).
В личном кабинете доступны специализированные роли для работы с сервисом контейнеров:
- администратор Kubernetes,
- оператор Kubernetes,
- аудитор Kubernetes.
Операции, доступные администратору Kubernetes, доступны также владельцу проекта, суперадминистратору и администратору проекта.
Для остальных ролей эти операции недоступны.
Для кластеров Kubernetes версии 1.23 и выше роль администратора, оператора или аудитора Kubernetes также определяет доступную пользователю внутреннюю роль Kubernetes.
Некоторые действия доступны только в определенном состоянии кластера. Например, установка и удаление аддонов возможны, только если кластер запущен.
| Операция/Роль | Администратор Kubernetes | Оператор Kubernetes | Аудитор Kubernetes |
|---|---|---|---|
Создать кластер | ✓ | — | — |
Удалить кластер | ✓ | — | — |
Запустить кластер | ✓ | ✓ | — |
Остановить кластер | ✓ | ✓ | — |
Отобразить информацию о кластере, нод-группах | ✓ | ✓ | ✓ |
Получить kubeconfig | ✓ | ✓ | ✓ |
Получить секрет для доступа в Kubernetes Dashboard | ✓ | ✓ | ✓ |
Обновить версию | ✓ | ✓ | — |
Изменить тип виртуальной машины | ✓ | ✓ | — |
Изменить размер диска Prometheus | ✓ | ✓ | — |
Добавить группу узлов | ✓ | ✓ | — |
Удалить группу узлов | ✓ | ✓ | — |
Изменить настройки масштабирования | ✓ | ✓ | — |
Изменить Labels и Taints | ✓ | ✓ | — |
Установить / удалить аддон | ✓ | ✓ | — |