Управление доступом в продуктах Selectel

Последнее изменение: 08 сентября 2025

Для разделения доступа к продуктам Selectel используются проекты и пользователи.

При регистрации аккаунта автоматически создается основной пользователь — Владелец аккаунта, который имеет доступ к управлению всеми ресурсами аккаунта. Владелец аккаунта может создать дополнительных пользователей. Пользователи могут быть разных типов, им можно выдавать разные разрешения — назначать роли в определенной области доступа.

Кроме Владельца аккаунта, управлять другими пользователями могут пользователи с ролью iam_admin. Подробнее о возможностях каждой роли в инструкции Справочник ролей.

Пользователей можно добавлять в группы, чтобы управлять несколькими пользователями как одним.

Управлять пользователями и ролями можно в панели управления, с помощью IAM API или Terraform.

Управление доступом в некоторых продуктах Selectel ограничено.

Разрешения

Разрешение (Permission) определяет, какие операции и над какой группой ресурсов может выполнять пользователь.

Разрешение состоит из области доступа и роли.

Разрешение можно назначить разным субъектам: пользователю, сервисному пользователю или группе. Можно назначить сразу несколько разрешений и менять их.

Области доступа

Область доступа разрешения — группа ресурсов, на которую выдается разрешение. Областью доступа разрешения может быть:

• аккаунт (account) — все ресурсы аккаунта, в том числе ресурсы всех проектов;
• проекты (project) — ресурсы выбранных проектов.

Роли⁠​

Роль — это набор разрешенных операций над конкретными типами ресурсов или настроек. Роль определяет доступ в рамках области доступа, которая указана в разрешении.

В зависимости от типа пользователя ему можно назначать роли в разных областях доступа. Подробнее о возможностях каждой роли в инструкции Справочник ролей.

Обновление ролевой модели

До обновления ролевой модели в сентябре 2025 года доступ пользователей определялся только их ролями. После обновления старому понятию роли соответствует разрешение — совокупность роли и области доступа. Роли были переименованы. Возможности ролей при этом не изменились.

Старое название роли	Роль	Область доступа
Администратор аккаунта	member	Аккаунт
Администратор проекта		Проект
Администратор биллинга	billing	Аккаунт
Администратор пользователей	iam_admin	Аккаунт
Наблюдатель аккаунта	reader	Аккаунт
Наблюдатель проекта		Проект
Администратор S3	object_storage_admin	Проект
Пользователь S3	object_storage_user	Проект
Администратор мобильной фермы	mobile_farm_admin	Проект
Пользователь мобильной фермы	mobile_farm_user	Проект
Наблюдатель мобильной фермы	mobile_farm_viewer	Проект

Ограничение управления доступом в некоторых продуктах

Некоторые продукты и сервисы не поддерживают разделение ресурсов на проекты и могут дополнительно иметь собственную систему доступов:

• продукты облака на базе VMware: Публичное облако на базе VMware, Аварийное восстановление в облако на базе VMware, Аренда удаленных рабочих столов;
• Почтовый сервис Selectel;
• Direct Connect;
• Global Connect;
• Учет IP-адресов;
• Защита от DDoS;
• Отказоустойчивый балансировщик нагрузки;
• ML и обработка данных: AI-маркетплейс, ML-платформа, Платформа обработки данных;
• продукты для резервного копирования и восстановления: Резервное копирование агентами (Veeam Agent), Облачный репозиторий Veeam Cloud Connect, Кибер Бэкап Облачный;
• Мониторинг;
• Логи.

В S3 доступ пользователя к бакету может быть изменен в соответствии с политикой доступа, подробнее в инструкции Управлять доступом в S3.