Справочник ролей

Роли доступа — это предустановленные наборы разрешений, которые позволяют выполнять определенные операции в VK Cloud.

Роли бывают трех типов:

• Базовые роли — позволяют совершать действия во всех сервисах VK Cloud и управлять проектом.
• Роли для общего управления — содержат наборы разрешений для управления какой-либо частью настроек проекта (например, биллингом, организацией или пользовательским интерфейсом).
• Специализированные роли — позволяют совершать действия только с определенным типом ресурсов.

Базовые роли, кроме роли mcs_owner, используются для настройки прав доступа в сочетании с разрешениями.

Название в личном кабинете: Владелец проекта.

Роль с максимальным набором разрешений на проекте. Роль автоматически назначается пользователю, который сам создал проект, либо для которого проект был автоматически создан при регистрации аккаунта.

В проекте может быть только один владелец. Эту роль нельзя назначить вручную или пригласить на нее.

Название в личном кабинете: Суперадминистратор.

Роль, которая предоставляет разрешения на управление всеми ресурсами проекта. Эта роль может быть назначена пользователю только владельцем проекта.

Название в личном кабинете: Администратор проекта.

Роль, которая предоставляет разрешения на управление всеми ресурсами проекта, кроме групп пользователей и баланса.

Название в личном кабинете: Администратор пользователей (IAM).

Роль, предназначенная для управления участниками проекта на странице управления доступами. Администратор пользователей может приглашать участников в проект и удалять их из него, редактировать назначенные участникам роли. Сервисы и информация о балансе проекта для этой роли недоступны.

Название в личном кабинете: Наблюдатель.

Роль, которая предоставляет разрешения на просмотр большей части информации о проекте и ресурсах, но не имеет разрешений для их создания и изменения.

Название в личном кабинете: Администратор биллинга.

Роль, которая предоставляет все разрешения на управление балансом и функциями биллинга: позволяет создавать, изменять, удалять и просматривать компоненты, обеспечивающие работу биллинга.

Название в личном кабинете: Управление биллингом проекта.

Роль обеспечивает управление финансами проекта: позволяет управлять балансом, настраивать методы оплаты, контролировать расходы по различным сервисам и изменять параметры тарифных планов.

Пользователь с этой ролью может создавать и изменять компоненты, которые отвечают за работу биллинга и управление балансом:

• Управление финансами проекта — компоненты billing, projects_billing, projects_billing_global.

  Это базовые компоненты для работы с балансом. Они позволяют видеть текущие расходы, пополнять счет и просматривать финансовую историю как по конкретному проекту, так и по всем проектам аккаунта сразу.

• Управление платежными инструментами и документами — компоненты projects_billing_card, billing_bank_integration, billing_contracts.

  Эти компоненты отвечают за техническую и юридическую часть оплаты: привязку банковских карт, интеграцию с банковскими шлюзами для проведения транзакций и управление юридическими договорами.

• Управление тарификацией конкретных сервисов — компоненты projects_billing_infra, projects_billing_hotbox.

  Эти компоненты позволяют разделять расходы по типам ресурсов. Например, отдельно отслеживать затраты на вычислительные мощности и сети (Infra) и отдельно на объектное хранилище (Hotbox).

• Управление техническими компонентами расчета:

  • cloudkitty — стандартный компонент OpenStack для оценки потребления. Он превращает количество использованных гигабайтов или часов в рубли или другую валюту.
  • scrooge и его модули machinery, plans — компонент, который обеспечивает внутреннюю логику биллинга, управляющую тарифными планами. Она определяет, сколько стоит ресурс для конкретного пользователя (стандартный тариф или персональный).

• Системное управление биллингом — компонент system_billing.

  Этот компонент — административный модуль для настройки всей системы платежей на уровне платформы VK Cloud.

Название в личном кабинете: Удаление компонентов биллинга проекта.

Роль обеспечивает удаление компонентов, ответственных за отображение цен и тарифов проекта: позволяет удалять методы оплаты и параметры тарифных планов.

Пользователь с этой ролью может удалять компоненты, которые отвечают за работу биллинга и управление балансом.

Описание компонентов приведено для роли billing_modify.

Название в личном кабинете: Просмотр биллинга.

Разрешение позволяет просматривать методы оплаты и параметры тарифных планов.

Пользователь с этой ролью может просматривать данные компонентов, которые отвечают за работу биллинга и управление балансом.

Описание компонентов приведено для роли billing_modify.

Название в личном кабинете: Создание и управление компонентами аудита.

Роль обеспечивает доступ к детальным журналам аудита и истории операций, позволяет настраивать отслеживание изменений в ресурсах, правах доступа и финансовых параметрах проекта. Это дает возможность проводить расследования инцидентов, контролировать действия сотрудников и гарантировать прозрачность управления облаком.

Пользователь с этой ролью может создавать и изменять компоненты, которые отвечают за работу аудита.

• Аудит проекта: audit_project.

  Компонент, который фиксирует все действия с ресурсами внутри конкретного проекта: кто создал или удалил виртуальную машину, когда был изменен размер диска или кто переименовал сеть. Это основа для инвентаризации действий.

• Аудит управления доступом: audit_iam.

  Компонент, который отвечает за протоколирование изменений в правах пользователей: кто добавил нового сотрудника в проект, кто назначил роль администратора, когда была создана или удалена группа пользователей. Эта информация критически важна для информационной безопасности.

• Аудит финансовых операций: audit_billing.

  Компонент, который записывает историю всех изменений, связанных с деньгами и лимитами: когда и кем была изменена квота, кто инициировал процедуру оплаты или когда поменялся тарифный план.

• Другие компоненты с префиксом audit_*, если они присутствуют в облаке.

Название в личном кабинете: Удаление компонентов аудита.

Роль обеспечивает удаление настроек сбора истории операций.

Пользователь с этой ролью может удалять компоненты сервиса аудита.

Описание компонентов приведено для роли audit_modify.

Название в личном кабинете: Просмотр данных аудита.

Роль обеспечивает просмотр журналов аудита и истории операций: позволяет отслеживать любые изменения в ресурсах, правах доступа и финансовых параметрах проекта.

Пользователь с этой ролью может просматривать данные компонентов аудита.

Описание компонентов приведено для роли audit_modify.

Название в личном кабинете: Создание и управление UI.

Роль обеспечивает доступ к графическому интерфейсу для управления конкретными ресурсами облака. Позволяет пользователю использовать визуальные инструменты (кнопки, формы, списки и графики) в личном кабинете для выполнения операций и мониторинга ресурсов через браузер.

Пользователь с этой ролью может создавать и изменять компоненты, которые отвечают за состав и работу графического интерфейса личного кабинета.

• horizon_nova — визуальное управление виртуальными машинами.

• horizon_cinder — визуальное управление дисками и снимками.

• horizon_neutron — отображение сетевых карт, маршрутизаторов и настроек сетей.

• horizon_glance — доступ к разделу с образами операционных систем в интерфейсе.

• Другие компоненты с префиксом horizon_*, если они есть в проекте.

Название в личном кабинете: Удаление компонентов UI.

Роль обеспечивает удаление визуальных инструментов (кнопок, форм, списков и графиков) в личном кабинете.

Пользователь с этой ролью может удалять компоненты, которые отвечают за состав и работу графического интерфейса личного кабинета: все компоненты с префиксом horizon_*.

Описание компонентов приведено для роли horizon_modify.

Название в личном кабинете: Просмотр UI.

Роль обеспечивает просмотр визуальных инструментов (кнопок, форм, списков и графиков) в личном кабинете.

Пользователь с этой ролью может просматривать компоненты, которые отвечают за состав и работу веб-интерфейса личного кабинета: все компоненты с префиксом horizon_*.

Описание компонентов приведено для роли horizon_modify.

Название в личном кабинете: Создание и управление компонентами логирования.

Роль обеспечивает управление журналом и аудитом событий и позволяет:

• просматривать логи работы сервисов;
• настраивать параметры их сбора и хранения;
• автоматически формировать инструменты для подключения новых источников журналов событий.

Пользователь с этой ролью может создавать и изменять компоненты логирования.

• Просмотр журналов: logging.

  Основной интерфейс доступа к самим логам. Он позволяет искать нужные записи, фильтровать их по времени или критичности (ошибки, предупреждения) и анализировать поведение системы в прошлом.

• Настройка сбора данных:logging_config.

  Модуль настройки правил. Отвечает за то, какие именно логи нужно собирать, как долго их хранить, какие данные следует отсеивать (фильтровать), а какие — помечать как критические.

• Автоматизация сбора данных с серверов: logging_agentgenerator.

  Инструмент, который упрощает работу системного администратора. Он автоматически генерирует конфигурации или скрипты установки для агентов (программ-сборщиков), которые ставятся на виртуальные машины, чтобы те начали отправлять свои логи в центральное хранилище.

Название в личном кабинете: Удаление компонентов логирования.

Роль позволяет удалять настройки журнала и аудита событий.

Пользователь с этой ролью может удалять компоненты сервиса логирования.

Описание компонентов приведено для роли logging_modify.

Название в личном кабинете: Просмотр данных логирования.

Роль обеспечивает просмотр журнала и аудита событий.

Пользователь с этой ролью может просматривать данные компонентов сервиса логирования.

Описание компонентов приведено для роли logging_modify.

Название в личном кабинете: Создание и управление компонентами мониторинга.

Роль обеспечивает контроль за состоянием и производительностью ресурсов и позволяет:

• собирать показатели работы систем;
• визуализировать нагрузку на графиках;
• настраивать автоматические уведомления об инцидентах;
• проводить глубокую диагностику работы сервисов.

Пользователь с этой ролью может создавать и изменять компоненты сервиса мониторинга.

• Сбор и хранение данных производительности:

  • ceilometer — компонент, который опрашивает все сервисы облака и собирает информацию о потреблении ресурсов (сколько ядер занято, сколько трафика прошло и т.п.).

  • gnocchi — база данных для хранения метрик. Хранит историю данных о нагрузках на сервер.

  • metrics_server — компонент, собирающий текущие показатели сервера (используется для автомасштабирования ресурсов).

• Визуализация и диагностика:

  • monitoring_metric, monitoring_dashboard — графики и панели управления (например, Grafana или встроенные дашборды). Превращают цифры в понятные визуальные отчеты.

  • tracing_trace — отслеживание пути сложного запроса через все сервисы облака, чтобы найти, на каком этапе возникла задержка или ошибка.

Название в личном кабинете: Удаление компонентов мониторинга.

Роль обеспечивает очистку дашбордов и показателей работы систем, визуализации и уведомлений.

Пользователь с этой ролью может удалять данные компонентов мониторинга.

Описание компонентов приведено для роли monitoring_modify.

Название в личном кабинете: Просмотр данных мониторинга.

Роль обеспечивает просмотр дашбордов и показателей работы систем, визуализации и уведомлений.

Пользователь с этой ролью может просматривать данные компонентов мониторинга.

Описание компонентов приведено для роли monitoring_modify.

Название в личном кабинете: Создание и управление API-оркестраторами.

Роль обеспечивает автоматизацию развертывания и управление жизненным циклом сложных программных комплексов и позволяет:

• создавать целые инфраструктуры по готовым шаблонам;
• использовать каталог предустановленных приложений;
• настраивать комплексные стратегии защиты и восстановления данных для всех сервисов проекта.

Пользователь с этой ролью может создавать и изменять компоненты, которые отвечают за работу API-оркестраторов.

• Оркестрация и автоматизация: heat.

  Инструмент описания всех компонентов в одном текстовом шаблоне. Компонент создает ресурсы в нужном порядке и связывает их между собой.

• Каталог приложений: murano.

  Магазин приложений для облака. Он позволяет пользователям, которые не являются системными администраторами, развертывать сложные программные стеки (например, кластер баз данных или готовую среду разработки) с минимальными трудозатратами.

• Защита и восстановление приложений: karbor.

  Компонент отвечает за защиту и восстановление всего приложения, а не отдельных дисков, как при резервном копировании. Он учитывает, что приложение состоит из нескольких серверов, настроек сети и данных, и может создавать комплексные планы резервного копирования и аварийного восстановления для всего стека сразу.

Название в личном кабинете: Удаление API-оркестраторов.

Роль обеспечивает удаление готовых шаблонов, компонентов защиты и восстановления данных для всех сервисов проекта.

Пользователь с этой ролью может удалять компоненты, которые отвечают за работу API-оркестраторов.

Описание компонентов приведено для роли orchestration_modify.

Название в личном кабинете: Просмотр API-оркестраторов.

Роль обеспечивает просмотр готовых шаблонов, компонентов защиты и восстановления данных для всех сервисов проекта.

Пользователь с этой ролью может просматривать данные компонентов, которые отвечают за работу API-оркестраторов.

Описание компонентов приведено для роли orchestration_modify.

Название в личном кабинете: Создание и управление организацией.

Роль обеспечивает управление структурой и безопасностью организации: позволяет создавать проекты и домены, управлять учетными записями пользователей, настраивать их права доступа и устанавливать лимиты на использование ресурсов облака.

Пользователь с этой ролью может создавать и изменять компоненты, которые отвечают за управление доступом, правами, ресурсами и структурой организации.

• Субъекты доступа:

  • keystone — основная служба аутентификации.
  • accounts, users — учетные записи конкретных пользователей.
  • groups — группы пользователей для массового назначения прав.
  • federations — механизм, обеспечивающий единый вход, чтобы сотрудники могли входить в облако под своими корпоративными учетными записями, заведенными во внешней системе.
  • public_session, admin_session — компоненты, управляющие активными сеансами работы обычных пользователей и администраторов.

• Структура организации:

  • domain — компонент, управляющий доменом — верхним уровнем иерархии, который представляет собой контейнер для проектов и пользователей.
  • project, projects, base_project — компоненты для управления изолированными контейнерами внутри домена, где создаются серверы, сети и диски.
  • projects_base — компонент, управляющий реестром и базовыми настройками всех существующих проектов.
  • domain_users, domain_groups — компоненты для управления пользователями и группами, созданными на уровне всего домена (могут иметь доступ сразу к нескольким проектам).
  • partners — компонент управления партнерскими организациями или субаккаунтами.

• Права и полномочия:

  • projects_access — матрица прав (кто и что может делать внутри конкретных проектов).
  • web_roles — компонент настройки прав для графического интерфейса (какие кнопки и разделы видны пользователю в браузере).

• Ресурсы и лимиты — quota, projects_quota. Компоненты управления квотами — ограничениями на количество ядер процессора, объем оперативной памяти или дисков, чтобы один проект не израсходовал все ресурсы облака.

Название в личном кабинете: Удаление организации.

Разрешение позволяет удалять проекты, домены, права доступа и возвращать к базовым квотам ресурсы проекта облака.

Пользователь с этой ролью может удалять компоненты, которые отвечают за управление организацией.

Описание компонентов приведено для роли organization_access_modify.

Название в личном кабинете: Просмотр организации.

Разрешение позволяет просматривать проекты, домены, учетные записи пользователей, права доступа и лимиты на использование ресурсов облака.

Пользователь с этой ролью может просматривать данные компонентов, которые отвечают за управление организацией.

Описание компонентов приведено для роли organization_access_modify.

Название в личном кабинете: Удаление Data Platform.

Позволяет полностью удалять все ресурсы и сервисы Data Platform.

Название в личном кабинете: Управление Data Platform.

Позволяет управлять всеми сервисами и инфраструктурой Data Platform.

Название в личном кабинете: Просмотр Data Platform.

Позволяет просматривать список и статусы всех компонентов Data Platform.

Название в личном кабинете: Администратор сети.

Роль предоставляет разрешения на создание, изменение и удаление сетевых настроек.

Название в личном кабинете: Администратор сетевой безопасности.

Роль предоставляет разрешения на создание, изменение и удаление списков контроля доступа (ACL). Обеспечивает доступ ко всем объектам сетевой подсистемы.

Название в личном кабинете: Администратор внутренних сетей.

Роль позволяет:

• просматривать все данные в сервисах виртуальных сетей и DNS;
• создавать и редактировать виртуальные сети и подсети, маршрутизаторы;
• добавлять в проект Floating IP.

Название в личном кабинете: Администратор Kubernetes.

Роль с максимально широким набором разрешений для работы с сервисом Cloud Containers.

Название в личном кабинете: Оператор Kubernetes.

Роль с разрешениями для работы в сервисе Cloud Containers.

Пользователь с этой ролью может:

• Запустить кластер.
• Остановить кластер.
• Отобразить информацию о кластере и группах узлов.
• Получить файл kubeconfig.
• Получить секрет для доступа в Kubernetes Dashboard.
• Обновить версию.
• Изменить тип виртуальной машины.
• Изменить размер диска Prometheus.
• Добавить группу узлов.
• Удалить группу узлов.
• Изменить настройки масштабирования.
• Изменить метки (labels) и ограничения (taints).
• Установить и удалить аддон.

Название в личном кабинете: Аудитор Kubernetes.

Роль с разрешениями на просмотр сервиса Cloud Containers.

Пользователь с этой ролью может:

• Отобразить информацию о кластере, группах узлов.
• Получить kubeconfig.
• Получить секрет для доступа в Kubernetes Dashboard.

Название в личном кабинете: Администратор виртуальных машин.

Роль с разрешениями на выполнение основных операций в сервисе Cloud Servers.

Название в личном кабинете: Младший администратор ВМ.

Роль с теми же разрешениями, что и у роли mcs_admin_vm, за исключением разрешений на управление группами безопасности.

Название в личном кабинете: Оператор ВМ.

Роль с разрешениями для работы на виртуальной машине, но без разрешений на управление ее настройками.

Пользователь с этой ролью может:

• Запустить или остановить ВМ.
• Работать в ВМ через VNC-консоль.
• Подключаться к ВМ через SSH или RDP.
• Просматривать конфигурацию и сетевые настройки ВМ.

Оператор ВМ не может создавать резервные копии.