[Документация Yandex Cloud](../../index.md) > [Yandex Security Deck](../index.md) > Управление доступом > Общие роли Security Deck

# Общие роли Yandex Security Deck

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему [ролями](../../iam/concepts/access-control/roles.md). Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Security Deck, назначьте аккаунту на Яндексе, [сервисному аккаунту](../../iam/concepts/users/service-accounts.md), [федеративным](../../iam/concepts/users/accounts.md#saml-federation) или [локальным](../../iam/concepts/users/accounts.md#local) пользователям, [группе пользователей](../../organization/operations/manage-groups.md) или [системной группе](../../iam/concepts/access-control/system-group.md) нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Подробнее о наследовании ролей читайте в разделе [Наследование прав доступа](../../resource-manager/concepts/resources-hierarchy.md#access-rights-inheritance) документации сервиса Resource Manager.

## Какие роли действуют в сервисе {#roles-list}

```mermaid
flowchart BT
    security-deck.worker ~~~ security-deck.auditor
    security-deck.auditor --> security-deck.viewer
    security-deck.viewer --> security-deck.editor
    security-deck.editor --> security-deck.admin
```

Для управления правами доступа в Security Deck можно использовать как сервисные, так и примитивные роли.

### Сервисные роли {#service-roles}

#### security-deck.worker {#security-deck-worker}

Роль `security-deck.worker` позволяет просматривать информацию об области сканирования модуля DSPM и контролируемых ресурсах модулей KSPM, CSPM и TD в Security Deck.

Пользователи с этой ролью могут:

* просматривать информацию об [организации](../../organization/concepts/organization.md), просматривать список [облаков](../../resource-manager/concepts/resources-hierarchy.md#cloud), [каталогов](../../resource-manager/concepts/resources-hierarchy.md#folder) и [бакетов](../../storage/concepts/bucket.md) в заданной пользователем модуля DSPM [области сканирования](../concepts/dspm.md#data-source) и информацию о них, а также просматривать данные в сканируемых бакетах;
* просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов [окружения](../concepts/workspace.md) Security Deck для [модуля KSPM](../concepts/kspm.md);
* просматривать список кластеров Kubernetes, информацию о них и их настройках в составе контролируемых ресурсов окружения Security Deck для модуля KSPM;
* просматривать информацию об организации, просматривать список облаков и каталогов и информацию о них в составе контролируемых ресурсов окружения Security Deck для [модуля CSPM](../concepts/cspm.md);
* просматривать логи, регистрируемые в инфраструктуре клиента, с помощью сервиса [Yandex Audit Trails](../../audit-trails/index.md) для [модуля TD](../concepts/threat-detector.md).

Роль выдается [сервисному аккаунту](../../iam/concepts/users/service-accounts.md), от имени которого будет выполняться [сканирование](../concepts/dspm.md#scanning) DSPM, проверка KSPM, CSPM или TD. Роль назначается на организацию, облако, каталог или (при использовании [модуля DSPM](../concepts/dspm.md)) бакет.

Роль не позволяет просматривать данные в [зашифрованных бакетах](../../storage/concepts/encryption.md). Для сканирования зашифрованного бакета дополнительно назначьте сервисному аккаунту [роль](../../kms/security/index.md#kms-keys-encrypter) `kms.keys.decrypter` на соответствующий [ключ шифрования](../../kms/concepts/key.md), либо на каталог, облако или организацию, в которой находится этот ключ.

Включает разрешения, предоставляемые ролями `dspm.worker`, `kspm.worker`, `cspm.worker` и `td.worker`.

{% note info %}

Роль не может гарантировать доступа к бакету, если к бакету применена [политика доступа](../../storage/security/policy.md) Yandex Object Storage.

{% endnote %}

#### security-deck.auditor {#security-deck-auditor}

Роль `security-deck.auditor` позволяет просматривать информацию о ресурсах модулей DSPM, CSPM, KSPM, VM и TD, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

Пользователи с этой ролью могут:
* просматривать информацию о профилях DSPM;
* просматривать информацию об [источниках данных](../concepts/dspm.md#data-source) DSPM и их областях сканирований;
* просматривать информацию о заданиях [сканирования](../concepts/dspm.md#scanning) на наличие чувствительной информации в модуле DSPM;
* просматривать информацию о типах и [категориях](../concepts/dspm.md#data-categories) данных;
* просматривать информацию о сканированиях на наличие чувствительной информации в модуле DSPM;
* просматривать списки результатов и ошибок сканирований;
* просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
* просматривать информацию о результатах [анализа данных](../concepts/dspm.md#discovery-mode) модуля DSPM;
* просматривать информацию об [окружениях](../concepts/workspace.md) Security Deck и контролируемых в них ресурсах, а также о назначенных [правах доступа](../../iam/concepts/access-control/index.md) к ним;
* просматривать информацию о [коннекторах](../concepts/workspace.md#connectors);
* просматривать информацию о проверках инфраструктуры на соответствие [стандартам безопасности](../concepts/cspm.md#standards), а также о заданиях таких проверок, указанных в настройках [модуля CSPM](../concepts/cspm.md);
* просматривать информацию о настройках [модуля KSPM](../concepts/kspm.md) и операциях в модуле, а также список исключений из правил;
* просматривать информацию о [приемниках алертов](../concepts/workspace.md#alert-sinks) и назначенных правах доступа к ним;
* просматривать результаты сканирования [модуля VM](../concepts/vulnerability-management.md);
* просматривать информацию о правилах контроля безопасности [модуля TD](../concepts/threat-detector.md) и назначенных правах доступа к нему.

Включает разрешения, предоставляемые ролями `dspm.auditor`, `cspm.auditor`, `kspm.auditor`, `security-deck.alertSinks.auditor`, `vulnerability-manager.auditor` и `threat-detector.auditor`.

#### security-deck.viewer {#security-deck-viewer}

Роль `security-deck.viewer` позволяет просматривать информацию о событиях доступа к ресурсам организации со стороны сотрудников Yandex Cloud, информацию о ресурсах модулей DSPM, CSPM, KSPM, VM и TD, а также об алертах и приемниках алертов, о заданиях сканирования и количестве найденных угроз безопасности. Роль не позволяет просматривать замаскированные и необработанные данные.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* просматривать информацию о профилях DSPM;
* просматривать информацию об [источниках данных](../concepts/dspm.md#data-source) DSPM и их областях сканирований;
* просматривать информацию о заданиях [сканирования](../concepts/dspm.md#scanning) на наличие чувствительной информации в модуле DSPM;
* просматривать информацию о типах и [категориях](../concepts/dspm.md#data-categories) данных;
* просматривать информацию о сканированиях на наличие чувствительной информации в модуле DSPM;
* просматривать списки результатов и ошибок сканирований;
* просматривать результаты сканирования DSPM и информацию об обнаруженных угрозах безопасности;
* просматривать информацию о результатах [анализа данных](../concepts/dspm.md#discovery-mode) модуля DSPM;
* просматривать информацию об [окружениях](../concepts/workspace.md) Security Deck и контролируемых в них ресурсах, а также о назначенных [правах доступа](../../iam/concepts/access-control/index.md) к ним;
* просматривать информацию о [коннекторах](../concepts/workspace.md#connectors);
* просматривать информацию о проверках инфраструктуры на соответствие [стандартам безопасности](../concepts/cspm.md#standards) и их результатах, а также о заданиях таких проверок и [исключениях](../concepts/cspm.md#exceptions) из правил проверок, указанных в настройках [модуля CSPM](../concepts/cspm.md);
* просматривать информацию о настройках [модуля KSPM](../concepts/kspm.md), [кластерах](../../managed-kubernetes/concepts/index.md#kubernetes-cluster) Managed Service for Kubernetes, подключенных к KSPM, исключениях из правил, исключениях из области контроля, пользователях KSPM и операциях в модуле;
* просматривать информацию о [приемниках алертов](../concepts/workspace.md#alert-sinks) и назначенных правах доступа к ним;
* просматривать информацию об [алертах](../concepts/alerts.md) и назначенных правах доступа к ним;
* просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
* просматривать информацию о заданиях сканирования [модуля VM](../concepts/vulnerability-management.md) и результаты сканирования в рамках этих заданий;
* просматривать информацию о правилах контроля безопасности [модуля TD](../concepts/threat-detector.md) и назначенных правах доступа к нему.

{% endcut %}

Включает разрешения, предоставляемые ролями `access-transparency.viewer`, `dspm.viewer`, `cspm.viewer`, `kspm.viewer`, `security-deck.alertSinks.viewer`, `vulnerability-manager.viewer` и `threat-detector.viewer`.

#### security-deck.editor {#security-deck-editor}

Роль `security-deck.editor` позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM, KSPM, VM и TD. Роль не позволяет просматривать замаскированные и необработанные данные.

{% cut "Пользователи с этой ролью могут:" %}

* выбирать [платежный аккаунт](../../billing/concepts/billing-account.md) в модуле Access Transparency;
* просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
* просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* просматривать информацию о профилях DSPM и использовать их;
* просматривать информацию об [источниках данных](../concepts/dspm.md#data-source) DSPM и их областях сканирований, а также создавать, изменять, использовать и удалять такие источники;
* просматривать информацию о заданиях [сканирования](../concepts/dspm.md#scanning) DSPM на наличие чувствительной информации, а также создавать, запускать, приостанавливать, возобновлять, изменять и удалять такие задания;
* просматривать информацию о сканированиях на наличие чувствительной информации, а также создавать, приостанавливать, возобновлять, изменять и удалять их;
* просматривать списки результатов и ошибок сканирований на наличие чувствительной информации;
* просматривать результаты сканирования DSPM на наличие чувствительной информации и информацию об обнаруженных угрозах;
* просматривать информацию о типах и [категориях](../concepts/dspm.md#data-categories) данных DSPM;
* просматривать информацию о результатах [анализа данных](../concepts/dspm.md#discovery-mode) модуля DSPM;
* просматривать метаданные [бакетов](../../storage/concepts/bucket.md);
* просматривать информацию об [окружениях](../concepts/workspace.md) Security Deck и контролируемых в них ресурсах, а также о назначенных [правах доступа](../../iam/concepts/access-control/index.md) к ним;
* создавать, изменять и удалять окружения Security Deck;
* просматривать информацию о [коннекторах](../concepts/workspace.md#connectors), а также создавать, использовать, изменять и удалять их;
* просматривать информацию о проверках инфраструктуры на соответствие [стандартам безопасности](../concepts/cspm.md#standards), заданным в настройках [модуля CSPM](../concepts/cspm.md), а также удалять проверки;
* просматривать информацию о заданиях проверок модуля CSPM;
* запускать проверку на соответствие правилам контроля безопасности модуля CSPM вручную;
* просматривать результаты проверок безопасности модуля CSPM;
* создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
* просматривать заданные [исключения](../concepts/cspm.md#exceptions) из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
* задействовать, настраивать и отключать [модуль KSPM](../concepts/kspm.md), создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
* просматривать информацию о [кластерах](../../managed-kubernetes/concepts/index.md#kubernetes-cluster) Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
* просматривать информацию о [приемниках алертов](../concepts/workspace.md#alert-sinks) и назначенных правах доступа к ним;
* создавать, использовать, изменять и удалять приемники алертов;
* просматривать информацию об [алертах](../concepts/alerts.md) и назначенных правах доступа к ним;
* просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
* создавать, изменять и удалять алерты;
* просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии;
* просматривать информацию о заданиях [сканирования](../concepts/vulnerability-management.md#scanning) модуля Управление уязвимостями, а также редактировать такие задания;
* запускать задания сканирования [модуля Управление уязвимостями](../concepts/vulnerability-management.md) и просматривать их результаты;
* просматривать информацию о правилах контроля безопасности [модуля TD](../concepts/threat-detector.md), а также создавать исключения из правил контроля безопасности;
* просматривать информацию о назначенных правах доступа к модулю TD.

{% endcut %}

Включает разрешения, предоставляемые ролями `access-transparency.editor`, `dspm.editor`, `cspm.editor`, `kspm.editor`, `security-deck.alertSinks.editor`, `vulnerability-manager.editor` и `threat-detector.editor`.

#### security-deck.admin {#security-deck-admin}

Роль `security-deck.admin` позволяет управлять подписками на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, управлять окружениями, алертами и приемниками алертов, а также ресурсами модулей DSPM, CSPM, KSPM, VM и TD. Роль позволяет просматривать замаскированные и необработанные данные в результатах сканирования.

{% cut "Пользователи с этой ролью могут:" %}

* выбирать [платежный аккаунт](../../billing/concepts/billing-account.md) в модуле Access Transparency;
* просматривать информацию о подписках на события доступа к ресурсам организации со стороны сотрудников Yandex Cloud, а также создавать, удалять и отменять удаление таких подписок;
* просматривать список событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* выражать согласие или несогласие с результатами подготовленного нейросетью анализа событий доступа к ресурсам организации со стороны сотрудников Yandex Cloud;
* просматривать информацию о профилях DSPM и использовать их;
* просматривать информацию об [источниках данных](../concepts/dspm.md#data-source) DSPM и их областях сканирований, а также создавать, изменять, использовать и удалять такие источники;
* использовать ресурсы Yandex Cloud в источниках данных DSPM;
* просматривать информацию о типах и [категориях](../concepts/dspm.md#data-categories) данных DSPM;
* просматривать информацию о результатах [анализа данных](../concepts/dspm.md#discovery-mode) модуля DSPM;
* просматривать информацию о заданиях [сканирования](../concepts/dspm.md#scanning) DSPM на наличие чувствительной информации, а также создавать, запускать, приостанавливать, возобновлять, изменять и удалять такие задания;
* просматривать информацию о сканированиях на наличие чувствительной информации, а также создавать, приостанавливать, возобновлять, изменять и удалять их;
* просматривать списки результатов и ошибок сканирований на наличие чувствительной информации;
* просматривать результаты заданий сканирования DSPM и информацию об обнаруженных угрозах, в том числе просматривать замаскированные и необработанные данные в результатах сканирования;
* просматривать метаданные [бакетов](../../storage/concepts/bucket.md);
* просматривать информацию об [окружениях](../concepts/workspace.md) Security Deck и контролируемых в них ресурсах, а также создавать, изменять и удалять окружения Security Deck;
* просматривать информацию о назначенных [правах доступа](../../iam/concepts/access-control/index.md) к окружениям Security Deck и изменять такие права доступа;
* просматривать информацию о [коннекторах](../concepts/workspace.md#connectors), а также создавать, использовать, изменять и удалять их;
* просматривать информацию о проверках инфраструктуры на соответствие [стандартам безопасности](../concepts/cspm.md#standards), заданным в настройках [модуля CSPM](../concepts/cspm.md), а также удалять проверки;
* просматривать информацию о заданиях проверок модуля CSPM;
* запускать проверку на соответствие правилам контроля безопасности модуля CSPM вручную;
* просматривать результаты проверок безопасности модуля CSPM;
* создавать, приостанавливать, возобновлять, изменять и удалять задания проверок модуля CSPM;
* просматривать заданные [исключения](../concepts/cspm.md#exceptions) из правил проверок модуля CSPM, а также создавать и удалять такие исключения;
* задействовать, настраивать и отключать [модуль KSPM](../concepts/kspm.md), создавать, изменять и удалять исключения из правил, а также исключения из области контроля;
* просматривать информацию о [кластерах](../../managed-kubernetes/concepts/index.md#kubernetes-cluster) Managed Service for Kubernetes, подключенных к KSPM, пользователях KSPM и операциях в модуле;
* просматривать информацию о [приемниках алертов](../concepts/workspace.md#alert-sinks), а также создавать, использовать, изменять и удалять их;
* просматривать информацию о назначенных правах доступа к приемникам алертов и изменять такие права доступа;
* просматривать информацию об [алертах](../concepts/alerts.md), а также создавать, изменять и удалять их;
* просматривать информацию о назначенных правах доступа к алертам и изменять такие права доступа;
* просматривать дополнительную информацию об алертах и их источниках, а также перечень затронутых ресурсов и рекомендации по устранению проблем;
* просматривать список комментариев к алертам, а также создавать, изменять и удалять комментарии;
* просматривать информацию о заданиях [сканирования](../concepts/vulnerability-management.md#scanning) модуля Управление уязвимостями, а также редактировать такие задания;
* запускать задания сканирования [модуля Управление уязвимостями](../concepts/vulnerability-management.md) и просматривать их результаты;
* просматривать информацию о правилах контроля безопасности [модуля TD](../concepts/threat-detector.md), а также создавать исключения из правил контроля безопасности;
* просматривать информацию о назначенных правах доступа к модулю TD, а также изменять их.

{% endcut %}

Включает разрешения, предоставляемые ролями `access-transparency.admin`, `dspm.admin`, `cspm.admin`, `kspm.admin`, `security-deck.alertSinks.admin`, `vulnerability-manager.admin` и `threat-detector.admin`.

Кроме того, Yandex Cloud поддерживает свой список ролей для каждого модуля, включенного в состав Security Deck. Подробнее читайте в соответствующих разделах:

* [Роли для контроля данных (Data Security Posture Management)](dspm-roles.md).
* [Роли для контроля безопасности с использованием модуля KSPM](kspm-roles.md).
* [Роли для диагностики доступов (Cloud Infrastructure Entitlement Management)](ciem-roles.md).
* [Роли для контроля безопасности с использованием модуля CSPM](cspm-roles.md).
* [Роли для анализа данных Access Transparency](access-transparency-roles.md).
* [Роли для управления алертами и приемниками алертов](alerts-roles.md).

### Примитивные роли {#primitive-roles}

Примитивные роли позволяют пользователям совершать действия во [всех сервисах](../../overview/concepts/services.md) Yandex Cloud.

#### auditor {#auditor}

Роль `auditor` предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:
* просматривать информацию о [ресурсе](../../resource-manager/concepts/resources-hierarchy.md);
* просматривать метаданные ресурса;
* просматривать список операций с ресурсом.

Роль `auditor` — наиболее безопасная роль, исключающая доступ к данным [сервисов](../../overview/concepts/services.md). Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

#### viewer {#viewer}

Роль `viewer` предоставляет разрешения на чтение информации о любых [ресурсах](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud.

Включает разрешения, предоставляемые ролью `auditor`.

В отличие от роли `auditor`, роль `viewer` предоставляет доступ к данным [сервисов](../../overview/concepts/services.md) в режиме чтения.

#### editor {#editor}

Роль `editor` предоставляет разрешения на управление любыми [ресурсами](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения [организацией](../../organization/concepts/organization.md) и ее удаления, а также удаления [ключей шифрования](../../kms/concepts/index.md) Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью `viewer`.

#### admin {#admin}

Роль `admin` позволяет назначать любые роли, кроме `resource-manager.clouds.owner` и `organization-manager.organizations.owner`, а также предоставляет разрешения на управление любыми [ресурсами](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud, кроме передачи прав владения [организацией](../../organization/concepts/organization.md) и ее удаления.

Прежде чем назначить роль `admin` на организацию, [облако](../../resource-manager/concepts/resources-hierarchy.md#cloud) или [платежный аккаунт](../../billing/concepts/billing-account.md), ознакомьтесь с информацией о защите [привилегированных аккаунтов](../../security/standard/all.md#privileged-users).

Включает разрешения, предоставляемые ролью `editor`.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение [принципа минимальных привилегий](../../security/standard/all.md#min-privileges).

Подробнее о примитивных ролях в [справочнике ролей Yandex Cloud](../../iam/roles-reference.md#primitive-roles).

## Полезные ссылки {#see-also}

[Структура ресурсов Yandex Cloud](../../resource-manager/concepts/resources-hierarchy.md)