Перейти к основному содержимому
Типы и роли пользователей
Последнее изменение:

Типы и роли пользователей

Права доступа пользователей разграничиваются через:

  • типы пользователей, которые определяют, где будет использоваться учетная запись — в панели управления или для авторизованного доступа через API и инструменты автоматизации;
  • роли, которые определяют доступы в рамках каждого типа пользователей.

Добавлять и редактировать пользователей могут только пользователи с ролью Владелец аккаунта или Администратор пользователей.

Вы также можете добавлять пользователей в группы, чтобы управлять несколькими пользователями как одним.

Типы и роли пользователей временно не поддерживаются в следующих группах продуктов и сервисов:

  • облако на базе VMware: публичное облако на базе VMware, аварийное восстановление в облако на базе VMware и другие;
  • сетевые сервисы (кроме CDN и DNS);
  • дополнительные сервисы: мониторинг и другие.

В объектном хранилище доступ пользователя к контейнеру может быть изменен в соответствии с политикой доступа, подробнее в инструкции Управлять доступом в объектное хранилище.

Работать с пользователями и ролями можно в панели управления, с помощью IAM API или Terraform.

Типы пользователей

Тип пользователя указывается при добавлении пользователя и не может быть изменен:

  • пользователь панели управления — пользователь с учетной записью в панели управления, который регистрируется в панели управления и при авторизации проходит двухэтапную аутентификацию через почту и номер телефона. Может выписывать себе токен Selectel (ключ API) для полного доступа к API продуктов Selectel;
  • сервисный пользователь — пользователь с учетной записью для программного доступа через API продуктов Selectel и другие инструменты автоматизации. Имеет только логин и пароль. Не имеет доступа к панели управления;
  • федеративный пользователь — пользователь панели управления, который относится к одной из федераций и проходит аутентификацию через SSO. Не проходит двухэтапную аутентификацию. Пользователь добавляется уже зарегистрированным — ему нужно только ввести ФИО при первом входе. Обязательна почта. Не имеет доступа к API.

Подробнее об авторизации пользователей разных типов в API в инструкции Авторизация документации API.

Роли

В зависимости от типа пользователя ему можно назначить одну или несколько ролей.

Роль можно назначить индивидуально пользователю или группе пользователей.

Пользователь панели управленияСервисный пользовательФедеративный пользователь
Владелец аккаунтаПользователь, который зарегистрировал аккаунт. Изменить роль Владельцу аккаунта или назначить эту роль другому пользователю нельзя. Сменить Владельца аккаунта можно только через регистрацию нового аккаунта
Администратор аккаунтаПользователь с доступом к управлению аккаунтом, услугами и биллингом
Администратор биллингаПользователь с доступом к управлению биллингом и без доступа к управлению услугами
Администратор пользователейПользователь с доступом к управлению пользователями и без доступа к услугам и биллингу. Первого Администратора пользователей создает Владелец аккаунта
Администратор проектаПользователь с доступом к управлению инфраструктурой проекта и без доступа к биллингу, другим проектам и продуктам
Наблюдатель аккаунтаПользователь с доступом к просмотру всех услуг, биллинга и данных аккаунта и без доступа к управлению. Наблюдатель аккаунта может просматривать все, чем управляет Администратор аккаунта
Наблюдатель проектаПользователь с доступом к просмотру инфраструктуры проекта и тикетов и без доступа к управлению
Администратор объектного хранилищаПользователь с полным доступом к управлению объектным хранилищем в рамках проекта. Не имеет доступа к другим продуктам. Подробнее в инструкции Управлять доступом в объектное хранилище
Пользователь объектного хранилищаПользователь с доступом в контейнеры объектного хранилища, если в них настроена политика доступа, которая разрешает доступ к контейнеру этому пользователю, подробнее в инструкции Управлять доступом в объектное хранилище. Не имеет доступа к другим продуктам. Степень доступа и разрешенных действий с объектами зависит от настроек политики доступа
ПодписчикПользователь без доступа в панель управления, не имеет логина и пароля. При добавлении Подписчика указывается только почта. Подписчик может только получать уведомления из категорий Бухгалтерские документы и Баланс и платежи. Уведомления настраивает Владелец аккаунта или Администратор пользователей
(без доступа в панель)

Сравнение ролей

Владелец аккаунтаАдминистратор аккаунтаАдминистратор биллингаАдминистратор пользователейАдминистратор проектаНаблюдатель аккаунтаНаблюдатель проектаАдминистратор объектного хранилищаПользователь объектного хранилищаПодписчик
Двухфакторная аутентификация
Просмотр журнала авторизаций(только своих)(только своих)(только своих)(только своих)(только своих)(только своих)
Сброс своих сессий
Управление пользователями, группами пользователей и федерациями
Получение уведомлений(только категорий «Бухгалтерские документы» и «Баланс и платежи»)
Управление уведомлениями(только других пользователей)(только других пользователей)
Подключение уведомлений в Telegram
Ограничение доступа