Перейти к основному содержимому

Управление доступом в продуктах Selectel

Последнее изменение:

Для разделения доступа к продуктам Selectel используются проекты и пользователи.

При регистрации аккаунта автоматически создается основной пользователь — Владелец аккаунта, который имеет доступ к управлению всеми ресурсами аккаунта. Владелец аккаунта может создать дополнительных пользователей. Пользователи могут быть разных типов, им можно выдавать разные разрешения — назначать роли в определенной области доступа.

Кроме Владельца аккаунта, управлять другими пользователями могут пользователи с ролью iam_admin. Подробнее о возможностях каждой роли в инструкции Справочник ролей.

Пользователей можно добавлять в группы, чтобы управлять несколькими пользователями как одним.

Управлять пользователями и ролями можно в панели управления, с помощью IAM API или Terraform.

Управление доступом в некоторых продуктах Selectel ограничено.

Разрешения

Разрешение (Permission) определяет, какие операции и над какой группой ресурсов может выполнять пользователь.

Разрешение состоит из области доступа и роли.

Разрешение можно назначить разным субъектам: пользователю, сервисному пользователю или группе. Можно назначить сразу несколько разрешений и менять их.

Области доступа

Область доступа разрешения — группа ресурсов, на которую выдается разрешение. Областью доступа разрешения может быть:

  • аккаунт (account) — все ресурсы аккаунта, в том числе ресурсы всех проектов;
  • проекты (project) — ресурсы выбранных проектов.

Роли⁠​

Роль — это набор разрешенных операций над конкретными типами ресурсов или настроек. Роль определяет доступ в рамках области доступа, которая указана в разрешении.

В зависимости от типа пользователя ему можно назначать роли в разных областях доступа. Подробнее о возможностях каждой роли в инструкции Справочник ролей.

Обновление ролевой модели

До обновления ролевой модели в сентябре 2025 года доступ пользователей определялся только их ролями. После обновления старому понятию роли соответствует разрешение — совокупность роли и области доступа. Роли были переименованы. Возможности ролей при этом не изменились.

Старое название ролиРольОбласть доступа
Администратор аккаунтаmemberАккаунт
Администратор проектаПроект
Администратор биллингаbillingАккаунт
Администратор пользователейiam_adminАккаунт
Наблюдатель аккаунтаreaderАккаунт
Наблюдатель проектаПроект
Администратор S3object_storage_adminПроект
Пользователь S3object_storage_userПроект
Администратор мобильной фермыmobile_farm_adminПроект
Пользователь мобильной фермыmobile_farm_userПроект
Наблюдатель мобильной фермыmobile_farm_viewerПроект

Ограничение управления доступом в некоторых продуктах

Некоторые продукты и сервисы не поддерживают разделение ресурсов на проекты или имеют собственную систему доступов:

  • продукты облака на базе VMware: Публичное облако на базе VMware, Аварийное восстановление в облако на базе VMware, Аренда удаленных рабочих столов;
  • Почтовый сервис Selectel;
  • Direct Connect;
  • Global Connect;
  • Учет IP-адресов;
  • Защита от DDoS;
  • Отказоустойчивый балансировщик нагрузки;
  • ML и обработка данных: AI-маркетплейс, ML-платформа, Платформа обработки данных;
  • продукты для резервного копирования и восстановления: Резервное копирование агентами, Облачный репозиторий Veeam Cloud Connect, Кибер Бэкап Облачный;
  • Мониторинг;
  • Логи.

В S3 доступ пользователя к бакету может быть изменен в соответствии с политикой доступа, подробнее в инструкции Управлять доступом в S3.