Типы и роли пользователей

Права доступа пользователей разграничиваются через:

типы пользователей, которые определяют, где будет использоваться учетная запись — в панели управления или для авторизованного доступа через API и инструменты автоматизации;
роли, которые определяют доступы в рамках каждого типа пользователей.

Добавлять и редактировать пользователей могут только пользователи с ролью Владелец аккаунта или Администратор пользователей.

Вы также можете добавлять пользователей в группы, чтобы управлять несколькими пользователями как одним.

Типы и роли пользователей временно не поддерживаются в следующих группах продуктов и сервисов:

облако на базе VMware: публичное облако на базе VMware, аварийное восстановление в облако на базе VMware и другие;
сетевые сервисы (кроме CDN и DNS);
дополнительные сервисы: мониторинг и другие, кроме мобильной фермы.

В S3 доступ пользователя к бакету может быть изменен в соответствии с политикой доступа, подробнее в инструкции Управлять доступом в S3.

Работать с пользователями и ролями можно в панели управления, с помощью IAM API или Terraform.

Типы пользователей

Тип пользователя указывается при добавлении пользователя и не может быть изменен:

пользователь панели управления — пользователь с учетной записью в панели управления, который регистрируется в панели управления и при авторизации проходит двухэтапную аутентификацию через почту и номер телефона. Может выписывать себе статический токен (X-Token) для полного доступа к API продуктов Selectel;
сервисный пользователь — пользователь с учетной записью для программного доступа через API продуктов Selectel и другие инструменты автоматизации. Имеет только логин и пароль. Не имеет доступа к панели управления;
федеративный пользователь — пользователь панели управления, который относится к одной из федераций и проходит аутентификацию через SSO. Не проходит двухэтапную аутентификацию. Пользователь добавляется уже зарегистрированным — ему нужно только ввести ФИО при первом входе. Обязательна почта. Не имеет доступа к API.

Подробнее об аутентификации пользователей разных типов в API в инструкции Аутентификация запросов к API документации API.

Роли

В зависимости от типа пользователя ему можно назначить одну или несколько ролей.

Роль можно назначить индивидуально пользователю или группе пользователей.

		Пользователь панели управления	Сервисный пользователь	Федеративный пользователь
Владелец аккаунта	Пользователь, который зарегистрировал аккаунт. Изменить роль Владельцу аккаунта или назначить эту роль другому пользователю нельзя. Сменить Владельца аккаунта можно только через регистрацию нового аккаунта	✓	✗	✗
Администратор аккаунта	Пользователь с доступом к управлению аккаунтом, услугами и биллингом	✓	✓	✓
Администратор биллинга	Пользователь с доступом к управлению биллингом и без доступа к управлению услугами	✓	✗	✓
Администратор пользователей	Пользователь с доступом к управлению пользователями и без доступа к услугам и биллингу. Первого Администратора пользователей создает Владелец аккаунта	✓	✓	✓
Администратор проекта	Пользователь с доступом к управлению инфраструктурой проекта и без доступа к биллингу, другим проектам и продуктам	✓	✓	✓
Наблюдатель аккаунта	Пользователь с доступом к просмотру всех услуг, биллинга и данных аккаунта и без доступа к управлению. Наблюдатель аккаунта может просматривать все, чем управляет Администратор аккаунта	✓	✓	✓
Наблюдатель проекта	Пользователь с доступом к просмотру инфраструктуры проекта и тикетов и без доступа к управлению	✓	✓	✓
Администратор S3	Пользователь с полным доступом к управлению S3 в рамках проекта. Не имеет доступа к другим продуктам. Подробнее в инструкции Управлять доступом в S3	✗	✓	✗
Пользователь S3	Пользователь с доступом в бакеты S3, если в них настроена политика доступа, которая разрешает доступ к бакету этому пользователю, подробнее в инструкции Управлять доступом в S3. Не имеет доступа к другим продуктам. Степень доступа и разрешенных действий с объектами зависит от настроек политики доступа	✗	✓	✗
Администратор мобильной фермы	Пользователь с полным доступом к управлению мобильной фермой в рамках проекта. Не имеет доступа к другим продуктам. Подробнее в инструкции Управлять доступом в мобильную ферму	✓	✓	✓
Пользователь мобильной фермы	Пользователь с доступом к использованию устройств мобильной фермы, подробнее в инструкции Управлять доступом в мобильную ферму. Не имеет доступа к другим продуктам	✓	✓	✓
Наблюдатель мобильной фермы	Пользователь с доступом к просмотру списка устройств мобильной фермы и информации о потреблении, подробнее в инструкции Управлять доступом в мобильную ферму. Не имеет доступа к другим продуктам	✓	✓	✓

Сравнение ролей

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Двухфакторная аутентификация	✓	✓	✓	✓	✓	✓	✓	✗	✗	✗	✗	✗
Просмотр журнала авторизаций	✓	✓ (только своих)	✓ (только своих)	✓ (только своих)	✓ (только своих)	✓ (только своих)	✓ (только своих)	✗	✗	✓ (только своих)	✓ (только своих)	✓ (только своих)
Сброс своих сессий	✓	✓	✓	✓	✓	✓	✓	✗	✗	✓	✓	✓
Управление пользователями, группами пользователей и федерациями	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗
Получение уведомлений	✓	✓	✓	✓	✓	✓	✓	✗	✗	✓	✓	✓
Управление уведомлениями	✓ (только других пользователей)	✗	✗	✓ (только других пользователей)	✗	✗	✗	✗	✗	✗	✗	✗
Подключение уведомлений в Telegram	✓	✓	✓	✓	✓	✓	✓	✗	✗	✗	✗	✗
Ограничение доступа	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Просмотр состояния баланса	✓	✓	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗
Пополнение баланса	✓	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗
Перевод между балансами	✓	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗
Оплата услуг	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗
Просмотр статусов услуг	✓	✓	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗
Управление автосчетом	✓	✓	✓	✗	✗	✗ (только просмотр)	✗	✗	✗	✗	✗	✗
Управление ежемесячными платежами	✓	✓	✓	✗	✗	✗ (только просмотр)	✗	✗	✗	✗	✗	✗
Просмотр истории операций	✓	✓	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗
Управление уведомлениями о балансе	✓	✓	✓	✗	✗	✗ (только просмотр)	✗	✗	✗	✗	✗	✗
Управление банковскими картами (добавление, сохранение, удаление)	✓	✓	✓	✗	✗	✗ (только просмотр сохраненных карт)	✗	✗	✗	✗	✗	✗
Просмотр отчетных документов	✓	✓	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗
Вывод денег и управление партнерской программой	✓	✓	✓	✗	✗	✗ (только просмотр)	✗	✗	✗	✗	✗	✗
Управление отсрочками оплаты	✓	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Подключение услуг	✓	✓	✗	✗	✓ (только в своем проекте)	✗	✗	✓ (только в своем проекте)	✓ (если разрешено политикой доступа)	✓ (только в своем проекте)	✗	✗
Просмотр подключенных услуг	✓	✓	✓	✗	✓ (только в своем проекте)	✓	✓ (только в своем проекте)	✓ (только в своем проекте)	✓ (только в рамках бакета, если разрешено политикой доступа)	✓ (только в своем проекте)	✓ (только в своем проекте)	✓ (только в своем проекте)
Оплата услуг	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗
Просмотр статусов услуг	✓	✓	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Создание ресурсов	✓	✓	✗	✗	✓ (только в своем проекте)	✗	✗	✓ (только в своем проекте)	✓ (если разрешено политикой доступа)	✓	✗	✗
Просмотр созданных ресурсов	✓	✓	✓	✗	✓ (только в своем проекте)	✓	✓ (только в своем проекте)	✓ (только в своем проекте)	✓ (только в рамках бакета, если разрешено политикой доступа)	✓	✓	✓
Создание, перенос и удаление проектов	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗
Управление настройками проекта	✓	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗
Управление лимитами и квотами проекта	✓	✓	✗	✗	✗	✗ (только просмотр)	✗	✗	✗	✗	✗	✗
Управление тикетами проекта	✓	✓	✓	✓	✓	✓	✓	✗	✗	✗	✗	✗
Управление пользователями проекта	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Управление своими ключами (SSH, API, S3, ADB)	✓	✓	✓	✓	✓	✓	✓	✗	✗	✓	✓	✓
Управление ключами других пользователей (SSH, S3, ADB)	✓	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗

	Владелец аккаунта	Администратор аккаунта	Администратор биллинга	Администратор пользователей	Администратор проекта	Наблюдатель аккаунта	Наблюдатель проекта	Администратор S3	Пользователь S3	Администратор мобильной фермы	Пользователь мобильной фермы	Наблюдатель мобильной фермы
Создание тикетов	✓	✓	✓	✓	✓ (только в своем проекте)	✓	✓ (только в своем проекте)	✗	✗	✓	✓	✓
Просмотр всех тикетов аккаунта	✓	✓	✓	✓	✗	✓	✗	✗	✗	✓	✓	✓
Просмотр тикетов проекта	✓	✓	✓	✓	✓ (только в своем проекте)	✓	✓ (только в своем проекте)	✗	✗	✓	✓	✓
Изменение доступности тикетов	✓	✓	✓	✓	✓ (при доступе пользователя к нескольким проектам)	✓	✓ (при доступе пользователя к нескольким проектам)	✗	✗	✓	✓	✓