Сервисные роли.
Сервисные роли — роли, дающие доступ к ресурсам определенного сервиса.
resource-manager.clouds.member — При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.
Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака, сервисных аккаунтов и системной группы allAuthenticatedUsers.
Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например с admin, editor или viewer.
Чтобы пользователь смог работать в облаке через консоль управления, назначьте ему роли resource-manager.clouds.member и viewer на облако.
Если назначить на облако только роль участника облака, а остальные роли назначить на вложенные ресурсы, пользователь сможет выполнять операции с ресурсами только с помощью API или CLI.
resource-manager.clouds.owner — Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.
Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.
У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.
Примитивные роли.
Примитивные роли можно назначать на любой ресурс в любом сервисе.
Разграничение прав доступа в DataLens реализовано на уровне объектов. Вы можете выдать права на все объекты: папку, подключение, датасет, виджет, дашборд.
read — Пользователь с ролью read может просматривать созданные дашборды и виджеты.
write — Пользователь с ролью write может создавать дашборды, виджеты.
Помимо этого роль write включает в себя все разрешения роли read.
admin — Пользователь с ролью admin может создавать дашборды и виджеты, утверждать права доступа.
Помимо этого роль admin включает в себя все разрешения роли write.