Управление доступом в продуктах Selectel
Для разделения доступа к продуктам Selectel используются проекты и пользователи.
При регистрации аккаунта автоматически создае тся основной пользователь — Владелец аккаунта, который имеет доступ к управлению всеми ресурсами аккаунта. Владелец аккаунта может создать дополнительных пользователей. Пользователи могут быть разных типов, им можно выдавать разные разрешения — назначать роли в определенной области доступа.
Кроме Владельца аккаунта, управлять другими пользователями могут пользователи с ролью iam_admin
.
Подробнее о возможностях каждой роли в инструкции Справочник ролей.
Пользователей можно добавлять в группы, чтобы управлять несколькими пользователями как одним.
Управлять пользователями и ролями можно в панели управления, с помощью IAM API или Terraform.
Управление доступом в некоторых продуктах Selectel ограничено.
Разрешения
Разрешение (Permission) определяет, какие операции и над какой группой ресурсов может выполнять пользователь.
Разрешение состоит из области доступа и роли.
Разрешение можно назначить разным субъектам: пользователю, сервисному пользователю или группе. Можно назначить сразу несколько разрешений и менять их.
Области доступа
Область доступа разрешения — группа ресурсов, на которую выдается разрешение. Областью доступа разрешения может быть:
- аккаунт (
account
) — все ресурсы аккаунта, в том числе ресурсы всех проектов; - проекты (
project
) — ресурсы выбранных проектов.
Роли
Роль — это набор разрешенных операций над конкретными типами ресурсов или настроек. Роль определяет доступ в рамках области доступа, которая указана в разрешении.
В зависимости от типа пользователя ему можно назначать роли в разных областях доступа. Подробнее о возможностях каждой роли в инструкции Справочник ролей.
Обновление ролевой модели
До обновления ролевой модели в сентябре 2025 года доступ пользователей определялся только их ролями. После обновления старому понятию роли соответствует разрешение — совокупность роли и области доступа. Роли были переименованы. Возможности ролей при этом не изменились.
Ограничение управления доступом в некоторых продуктах
Некоторые продукты и сервисы не поддерживают разделение ресурсов на проекты или имеют собственную систему доступов:
- продукты облака на базе VMware: Публичное облако на базе VMware, Аварийное восстановление в облако на базе VMware, Аренда удаленных рабочих столов;
- Почтовый сервис Selectel;
- Direct Connect;
- Global Connect;
- Учет IP-адресов;
- Защита от DDoS;
- Отказоустойчивый балансировщик нагрузки;
- ML и обработка данных: AI-маркетплейс, ML-платформа, Платформа обработки данных;
- продукты для резервного копирования и восстановления: Резервное копирование агентами, Облачный репозиторий Veeam Cloud Connect, Кибер Бэкап Облачный;
- Мониторинг;
- Логи.
В S3 доступ пользователя к бакету может быть изменен в соответствии с политикой доступа, подробнее в инструкции Управлять доступом в S3.