Настройка прав доступа в Yandex Cloud

Содержание

• Настройка прав доступа в Yandex Cloud

  • Настройка сбора биллинга в бакет в Yandex Cloud

  • Создание сервисного аккаунта

  • Настройка доступа через сервисный аккаунт по статическому ключу

  • Добавление пользователя в облако и настройка для него доступа

  • Получение OAuth-токена

  • Дальнейшие действия

Рекомендуем выполнить настройку прав доступа в консоли Yandex Cloud в следующем порядке:

Настройка сбора биллинга в бакет в Yandex Cloud

Yandex Cloud реализует сбор данных биллинга через ежедневное формирование CSV-файла с общей и поресурсной детализацией расходов, который после предварительной настройки пользователя помещается в бакет и папку внутри него. Бакет закрепляется за каталогом облака Yandex Cloud.

Если у вас уже есть бакет и папка, куда собирается биллинг, скопируйте имя бакета и папки для заполнения формы создания подключенияв Cloudmaster.

Создайте бакет и папку, в которой будет храниться файл с биллингом, и настройте сбор биллинга в него.

1. На стороне Yandex Cloud выберите облако и каталог, затем перейдите в сервис Yandex Object Storage и создайте бакет, внутри бакета создайте папку.

   Необходимые права

   Для создания бакета вам понадобится роль storage.editor (подробнее здесь ).

   Ссылка на инструкцию Yandex Cloud по созданию бакета и папки .

2. Перейдите в сервис Yandex Cloud Billing и настройте сбор данных биллинга. При настройке выберите тип детализации Поресурсная.

   Необходимые права

   Для настройки сбора биллинга вам понадобится одна из ролей: billing.accounts.owner, billing.accounts.admin или billing.accounts.editor (подробнее здесь ).

   Ссылка на инструкцию Yandex Cloud по настройке получения детализации в бакет и папку .

   

Создание сервисного аккаунта

Cloudmaster использует данные биллинга в бакете с помощью сервисного аккаунта.

У сервисного аккаунта должна быть назначена роль на чтение бакета.

Сервисный аккаунт необходимо создать на уровне каталога, в бакет которого собирается биллинг. Для этого владельцам облака и платежного аккаунта необходимо создать для вас сервисный аккаунт на уровне каталога.

1. Для создания сервисного аккаунта проверьте, есть ли у вас сервисная роль resource-manager.clouds.owner или admin.

   Как проверить свою роль?

   Перейдите в каталог облака Yandex Cloud и нажмите на вкладку Права доступа. Откройте свою карточку пользователя и проверьте наличие роли.

   

   Если у вас недостаточно прав, попросите коллег с такой ролью создать для вас сервисный аккаунт.

2. Создайте сервисный аккаунт и назначьте ему роль storage.viewer .

   Ссылка на инструкцию Yandex Cloud по созданию сервисного аккаунта .

   

Настройка доступа через сервисный аккаунт по статическому ключу

Создайте статический ключ, чтобы сервисный аккаунт получал досуп к каталогу облака Yandex Cloud, в котором размещен бакет биллинга.

1. Когда владелец облака или администратор Yandex Cloud создаст сервисный аккаунт с ролью storage.viewer, перейдите в карточку аккаунта и нажмите на кнопку создать статический ключ доступа.

   Ссылка на Гайд по созданию статического ключа .

   

2. Cкопируйте оба значения статического ключа (требуются идентификатор и значение ключа).

Добавление пользователя в облако и настройка для него доступа

В Cloudmaster вы можете управлять ВМ подключения Yandex Cloud. Для этого вам необходимо получить OAuth-токен от пользовательского аккаунта, у которого есть доступ в облаку (облакам) Yandex Cloud.

1. Проверьте, есть ли у вас пользовательский аккаунт в облаке (облаках) Yandex Cloud. Перейдите в облако Yandex Cloud и нажмите на вкладку Права доступа. Откройте свою карточку пользователя и проверьте наличие роли.

2. Если доступ к необходимому облаку (облакам) Yandex Cloud недоступен, попросите коллег с ролью organization-manager.admin или organization-manager.organizations.owner пригласить вас в облако (облака) Yandex Cloud.

   Ссылка на инструкцию Yandex Cloud по добавлению пользователя в облако .

3. Попросите коллег с ролью resource-manager.clouds.owner или admin назначить вам примитивную роль editor или viewer .

Получение OAuth-токена

OAuth-токен необходим Cloudmaster для получения доступа к просмотру инфраструктуры облака (облаков) Yandex Cloud. Cloudmaster увидит ту инфраструктуру (облака и каталоги), которые доступны пользовательскому аккаунту Yandex Cloud, от которого вы создадите OAuth-токен.

Получите OAuth-токен, следуя инструкции ниже.

OAuth-токен ежегодно обновляется. Если ваш OAuth-токен устарел или вы хотите сбросить прежний токен, получите новый (отмечено на скриншоте).

Ссылка на инструкцию по получению OAuth-токена .

Дальнейшие действия

— Подключение облака Yandex Cloud

---

Последнее обновление: 13 ноября 2023 г.