Data Science

V. Доступ к ресурсам

Кратко:

  • Иерархия ресурсов в Yandex Cloud: ресурсы (виртуальные машины, диски, виртуальные сети), каталоги, облако.
  • Роли в Yandex Resource Manager: admin, editor, viewer, resource-manager.clouds.owner, resource-manager.clouds.member.
  • Типы аккаунтов: Яндекс ID, Федеративный аккаунт, Сервисный аккаунт.
  • Платёжный аккаунт используется для идентификации пользователя, оплачивающего ресурсы, хранит информацию о плательщике.
  • Лицевой счёт - уникальный идентификатор для оплаты ресурсов, способ оплаты зависит от типа платёжного аккаунта.
  • Рекомендуется останавливать работающие ВМ в перерывах между обучением и удалять ненужные ВМ для получения стартового гранта.

Доступ к ресурсам, платёжный аккаунт

Прежде чем вы начнёте изучать технологии и сервисы Yandex Cloud, разберёмся с принципами использования платформы.

Иерархия ресурсов

Ресурсы в Yandex Cloud — это все сущности, которые вы можете создать (виртуальные машины, диски, виртуальные сети). Ресурсы объединены в группы — каталоги. Каталоги объединены в облако. Облако — самая крупная логическая единица в Yandex Cloud. Она изолирована: ресурсы в облаке не могут взаимодействовать с ресурсами в другом облаке.
Иерархия поможет вам не запутаться, если ресурсов много.
image
Поскольку в одном облаке может быть много каталогов, в общем случае достаточно простой иерархии: один проект — один каталог внутри общего облака на компанию. Но если проектов и направлений много, иерархию можно построить иначе. Например, в вашей компании два больших направления: разработка игр и разработка систем интернета вещей. Для каждого направления создайте облако, для каждого проекта — каталог, а в каталог поместите ресурсы, которые касаются только этого проекта.

Роли

Сервис Yandex Resource Manager определяет ресурсную модель Yandex Cloud и позволяет структурировать ресурсы с помощью каталогов. С его помощью вы также можете назначить пользователю роли, определяющие, какие действия этот пользователь может выполнять с доступными ресурсами.
Роли бывают двух типов:
  • Примитивные роли — содержат разрешения, действующие для всех типов ресурсов Yandex Cloud. Это роли admin, editor и viewer.
  • Сервисные роли — содержат разрешения только для определенного типа ресурсов в указанном сервисе.
Примитивных ролей три. Они позволяют:
 
Роль Просматривать информацию о ресурсах Управлять ресурсами (создавать, изменять, удалять) Настраивать доступ к ресурсам для других пользователей
viewer +
editor + +
admin + + +
Сервисных ролей много, так как они сильно зависят от логики работы сервисов. Например, у Yandex Resource Manager есть две сервисные роли:
  • resource-manager.clouds.owner — назначается только на облако, даёт полный доступ к облаку и ресурсам в нём;
  • resource-manager.clouds.member — роль необходима для доступа к ресурсам в облаке другим пользователям без административных прав.
Вернёмся к иерархии Облако → Каталог → Ресурс. Роли в ней наследуются:
  • resource-manager.clouds.owner может выполнять любые действия с любым ресурсом в любом каталоге;
  • пользователь с ролями resource-manager.clouds.member на облако и editor на облако может управлять любыми ресурсами в любом каталоге;
  • editor каталога может управлять ресурсами только в своём каталоге.
У каждого облака обязательно должен быть хотя бы один владелец (owner). У пользователя может быть роль owner в нескольких облаках.

Пользователи

Пользователем называется человек или программа, которые взаимодействуют с ресурсами. Пользователи идентифицируются с помощью аккаунтов. В Yandex Cloud есть три типа аккаунтов, с помощью которых можно авторизоваться для доступа к ресурсам:
  • Яндекс ID — единый аккаунт человека во всех сервисах Яндекса;
  • Федеративный аккаунт — аккаунт человека во внешних по отношению к Яндексу системах, которые поддерживают технологии аутентификации. Например, аккаунт в Microsoft Active Directory — популярной системе хранения информации о корпоративных пользователях;
  • Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами.
Сервис Yandex Identity and Access Management (IAM) проверяет права пользователей на действия с ресурсами. Проверка прав называется авторизацией.
Чтобы пользователь подтвердил личность, он должен пройти аутентификацию. Её способы зависят от типа аккаунта. Например, с Яндекс ID аутентификация происходит автоматически. Сервисные аккаунты аутентифицируются с помощью IAM-токена, API-ключей или статических ключей доступа.
Для примера посмотрим на последовательность работы Yandex Cloud при создании ВМ.
image

Платёжный аккаунт

Платёжный аккаунт используется для идентификации пользователя, оплачивающего ресурсы. Он хранит информацию о плательщике и может быть не связан напрямую с конкретным человеком. С точки зрения Resource Manager платежный аккаунт — это ресурс. К нему можно давать доступ обычным аккаунтам, используя роль billing.accounts.member.
Платёжный аккаунт может оплачивать ресурсы нескольких облаков. Облако может быть привязано только к одному платёжному аккаунту.
Платёжный аккаунт хранит следующую информацию:
  • Лицевой счёт — уникальный идентификатор. Используется для оплаты ресурсов во время действия договора. Содержит средства, зачисленные с помощью банковской карты или банковского перевода;
  • Способ оплаты — способ, которым вы можете зачислять средства на лицевой счёт.
Лицевой счёт создается автоматически, а способ оплаты зависит от типа платёжного аккаунта:
 
  Для кого предназначен Способ оплаты Документы об оплате, которые вы получите на email
Личный аккаунт Физические лица — резиденты России или Казахстана* Банковская карта Чек
Бизнес-аккаунт Юридические лица: резиденты и нерезиденты России Перевод с расчётного счёта или корпоративной банковской карты Акт и счёт
* Yandex Cloud не работает с физическими лицами — нерезидентами России и Казахстана.
Если вы никогда не пользовались услугами Yandex Cloud и создали платёжный аккаунт впервые — вы можете получить стартовый грант 4 000 ₽ для знакомства с облачными сервисами.
Мы рекомендуем останавливать работающие ВМ в перерывах между обучением, а ненужные — удалять, чтобы гранта хватило для прохождения всех курсов профессии. Лучше делать это в конце каждой темы, поскольку внутри тем есть сквозные практические занятия, использующие одну и ту же созданную ранее ВМ.
Остановленные ВМ тарифицируются, поскольку загрузочный диск занимает пространство в хранилище. Однако остановленная ВМ будет обходиться гораздо дешевле работающей. Инструкцию по остановке и удалению ВМ вы найдёте в одном из ближайших практических занятий.
Теперь вы знаете достаточно, чтобы начать работать с Yandex Cloud.
Проверьте себя
Как называется сервис, отвечающий за иерархию ресурсов?
 
Yandex Resource Manager
 
Какой сервис отвечает за предоставление доступа к ресурсам?
 
Yandex Identity and Access Management
 
Как устроены ресурсы в Yandex.Cloud, от более крупных к более мелким?
 
Облако → Каталог → Ресурс
 
Какой тип аккаунта не используется для авторизации при доступе к ресурсам?
 
Платёжный аккаунт
 
В чём различия бизнес-аккаунта и личного аккаунта?
 
Бизнес-аккаунт — для юридических лиц, личный — для частных лиц
 
Как происходит переход на платную версию?
 
Нажатием специальной кнопки в консоли
 

👉 Поздравляем, вы завершили тему «Введение»

В ней вы познакомились с преимуществами облачных решений и узнали о физической инфраструктуре Yandex Cloud. В следующей теме вы узнаете, как создавать и настраивать ВМ, как подключаться к ним по SSH, что такое прерываемые ВМ и в каких случаях их стоит применять.
 

 

Категория: Cloud Services Engineer
Просмотров: 280