[Документация Yandex Cloud](../../index.md) > [Yandex Virtual Private Cloud](../index.md) > Управление доступом

# Управление доступом в Virtual Private Cloud

Для управления правами доступа в Virtual Private Cloud используются [роли](../../iam/concepts/access-control/roles.md).

В этом разделе вы узнаете:
* [на какие ресурсы можно назначить роль](#resources);
* [какие роли действуют в сервисе](#roles-list);
* [какие роли необходимы](#choosing-roles) для того или иного действия.

## Об управлении доступом {#about-access-control}

Все операции в Yandex Cloud проверяются в сервисе [Yandex Identity and Access Management](../../iam/index.md). Если у субъекта нет необходимых разрешений, сервис вернет ошибку.


Чтобы выдать разрешения к ресурсу, [назначьте роли](../../iam/operations/roles/grant.md) на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить [аккаунту на Яндексе](../../iam/concepts/users/accounts.md#passport), [сервисному аккаунту](../../iam/concepts/users/service-accounts.md), [локальному пользователю](../../iam/concepts/users/accounts.md#local), [федеративному пользователю](../../iam/concepts/federations.md), [группе пользователей](../../organization/operations/manage-groups.md), [системной группе](../../iam/concepts/access-control/system-group.md) или [публичной группе](../../iam/concepts/access-control/public-group.md). Подробнее читайте в разделе [Как устроено управление доступом в Yandex Cloud](../../iam/concepts/access-control/index.md).

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть хотя бы одна из ролей:

* `admin`;
* `resource-manager.admin`;
* `organization-manager.admin`;
* `resource-manager.clouds.owner`;
* `organization-manager.organizations.owner`.

## На какие ресурсы можно назначить роль {#resources}

Роль можно назначить на [организацию](../../organization/concepts/organization.md), [облако](../../resource-manager/concepts/resources-hierarchy.md#cloud) и [каталог](../../resource-manager/concepts/resources-hierarchy.md#folder). Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

## Какие роли действуют в сервисе {#roles-list}

На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в `editor` входят все разрешения `viewer`. После диаграммы дано описание каждой роли.

![image](../../_assets/vpc/security/service-roles-hierarchy.svg)

### Сервисные роли {#service-roles}

#### vpc.auditor {#vpc-auditor}

Роль `vpc.auditor` позволяет просматривать метаданные сервиса, в том числе информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

#### vpc.viewer {#vpc-viewer}

Роль `vpc.viewer` позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.auditor`.

#### vpc.user {#vpc-user}

Роль `vpc.user` позволяет использовать облачные сети, подсети, таблицы маршрутизации, шлюзы, группы безопасности и IP-адреса, получать информацию об этих ресурсах, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них, а также использовать облачные сети;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них, а также использовать подсети;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них, а также использовать такие адреса;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них, а также использовать таблицы маршрутизации;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них, а также использовать группы безопасности;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md) и подключать их к таблицам маршрутизации;
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

#### vpc.externalAddresses.user {#vpc-externalAddresses-user}

Роль `vpc.externalAddresses.user` позволяет просматривать список [внутренних](../concepts/address.md#internal-addresses) и [публичных](../concepts/address.md#public-addresses) адресов облачных ресурсов и информацию об этих адресах, использовать их, а также управлять внешней сетевой связностью.

#### vpc.admin {#vpc-admin}

Роль `vpc.admin` позволяет управлять облачными сетями, подсетями, таблицами маршрутизации, NAT-шлюзами, группами безопасности, внутренними и публичными IP-адресами, а также внешней сетевой связностью.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них, а также создавать, изменять и удалять облачные сети;
* настраивать внешний доступ к облачным сетям;
* управлять связностью нескольких облачных сетей;
* управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них, а также создавать, изменять и удалять подсети;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
* привязывать таблицы маршрутизации к подсетям;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md), а также создавать, изменять и удалять их;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них, а также создавать, изменять и удалять группы безопасности;
* создавать и удалять в [облачных сетях](../concepts/network.md#network) группы безопасности по умолчанию;
* создавать и удалять [правила](../concepts/security-groups.md#security-groups-rules) групп безопасности, изменять их метаданные;
* настраивать [DHCP](../concepts/dhcp-options.md) в подсетях;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них, а также создавать, изменять и удалять внутренние и публичные IP-адреса;
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролями `vpc.privateAdmin`, `vpc.publicAdmin` и `vpc.securityGroups.admin`.

#### vpc.bridgeAdmin {#vpc-bridge-admin}

Роль `vpc.bridgeAdmin` позволяет использовать подсети и управлять связностью нескольких облачных сетей. Роль также позволяет просматривать информацию об облачных сетях, подсетях, таблицах маршрутизации, шлюзах, группах безопасности и IP-адресах, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* управлять связностью нескольких облачных сетей;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них, а также использовать подсети;
* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

#### vpc.privateAdmin {#vpc-private-admin}

Роль `vpc.privateAdmin` позволяет управлять облачными сетями, подсетями и таблицами маршрутизации, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль позволяет управлять сетевой связностью внутри Yandex Cloud, но не из интернета.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них, а также создавать, изменять и удалять облачные сети;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них, а также создавать, изменять и удалять подсети;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них, а также создавать, изменять и удалять таблицы маршрутизации;
* привязывать таблицы маршрутизации к подсетям;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них, а также создавать в облачных сетях группы безопасности по умолчанию;
* настраивать [DHCP](../concepts/dhcp-options.md) в подсетях;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них, а также создавать внутренние IP-адреса;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

#### vpc.publicAdmin {#vpc-public-admin}

Роль `vpc.publicAdmin` позволяет управлять NAT-шлюзами, публичными IP-адресами и внешней сетевой связностью, а также просматривать информацию о квотах, ресурсах и операциях с ресурсами сервиса. Роль предоставляет права администратора мультиинтерфейсных ВМ, обеспечивающих связность между несколькими сетями.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать список [облачных сетей](../concepts/network.md#network) и информацию о них, а также настраивать внешний доступ к облачным сетям;
* управлять связностью нескольких облачных сетей;
* управлять мультиинтерфейсными ВМ, обеспечивающими связность между несколькими сетями;
* просматривать список [подсетей](../concepts/network.md#subnet) и информацию о них, а также изменять подсети;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md), а также создавать, изменять и удалять их;
* просматривать список [адресов облачных ресурсов](../concepts/address.md) и информацию о них, а также создавать, изменять и удалять публичные IP-адреса;
* просматривать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и информацию о них, а также привязывать таблицы маршрутизации к подсетям;
* просматривать список [групп безопасности](../concepts/security-groups.md) и информацию о них;
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

Роль можно назначить на облако или каталог.

{% note warning %}

Если сеть и подсеть находятся в разных каталогах, то наличие роли `vpc.publicAdmin` проверяется на том каталоге, в котором находится сеть.

{% endnote %}

#### vpc.gateways.viewer {#vpc-gw-viewer}

Роль `vpc.gateways.viewer` позволяет просматривать информацию о [NAT-шлюзах](../concepts/gateways.md).

#### vpc.gateways.user {#vpc-gw-user}

Роль `vpc.gateways.user` позволяет просматривать информацию о [NAT-шлюзах](../concepts/gateways.md) и подключать их к [таблицам маршрутизации](../concepts/routing.md#rt-vpc).

#### vpc.gateways.editor {#vpc-gw-editor}

Роль `vpc.gateways.editor` позволяет просматривать информацию о [NAT-шлюзах](../concepts/gateways.md), а также создавать, изменять и удалять их.

#### vpc.securityGroups.user {#vpc-sg-user}

Роль `vpc.securityGroups.user` позволяет назначать группы безопасности сетевым интерфейсам и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* назначать группы безопасности сетевым интерфейсам виртуальных машин;
* получать список [облачных сетей](../concepts/network.md#network) и просматривать информацию о них;
* получать список [подсетей](../concepts/network.md#subnet) и просматривать информацию о них;
* получать список [адресов облачных ресурсов](../concepts/address.md) и просматривать информацию о них;
* получать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и просматривать информацию о них;
* получать список [групп безопасности](../concepts/security-groups.md) и просматривать информацию о них;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

#### vpc.securityGroups.admin {#vpc-sg-admin}

Роль `vpc.securityGroups.admin` позволяет управлять группами безопасности и просматривать информацию о ресурсах сервиса, а также о квотах и операциях с ресурсами сервиса.

{% cut "Пользователи с этой ролью могут:" %}

* просматривать информацию о [группах безопасности](../concepts/security-groups.md), а также создавать, изменять и удалять их;
* создавать и удалять в [облачных сетях](../concepts/network.md#network) группы безопасности по умолчанию;
* создавать и удалять [правила](../concepts/security-groups.md#security-groups-rules) групп безопасности, изменять их метаданные;
* получать список облачных сетей и просматривать информацию о них;
* получать список [подсетей](../concepts/network.md#subnet) и просматривать информацию о них;
* получать список [адресов облачных ресурсов](../concepts/address.md) и просматривать информацию о них;
* получать список [таблиц маршрутизации](../concepts/routing.md#rt-vpc) и просматривать информацию о них;
* просматривать информацию о [NAT-шлюзах](../concepts/gateways.md);
* просматривать информацию об использованных IP-адресах в подсетях;
* просматривать информацию о [квотах](../concepts/limits.md#vpc-quotas) сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Virtual Private Cloud;
* просматривать информацию об операциях с ресурсами сервиса Compute Cloud;
* просматривать информацию об [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud);
* просматривать информацию о [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder).

{% endcut %}

Включает разрешения, предоставляемые ролью `vpc.viewer`.

#### vpc.privateEndpoints.viewer {#vpc-privateEndpoints-viewer}

Роль `vpc.privateEndpoints.viewer` позволяет просматривать информацию о [сервисных подключениях](../concepts/private-endpoint.md).

#### vpc.privateEndpoints.editor {#vpc-privateEndpoints-editor}

Роль `vpc.privateEndpoints.editor` позволяет просматривать информацию о [сервисных подключениях](../concepts/private-endpoint.md), а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью `vpc.privateEndpoints.viewer`.

#### vpc.privateEndpoints.admin {#vpc-privateEndpoints-admin}

Роль `vpc.privateEndpoints.admin` позволяет просматривать информацию о [сервисных подключениях](../concepts/private-endpoint.md), а также создавать, изменять и удалять сервисные подключения.

Включает разрешения, предоставляемые ролью `vpc.privateEndpoints.editor`.

### Примитивные роли {#primitive-roles}

Примитивные роли позволяют пользователям совершать действия во [всех сервисах](../../overview/concepts/services.md) Yandex Cloud.

#### auditor {#auditor}

Роль `auditor` предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:
* просматривать информацию о [ресурсе](../../resource-manager/concepts/resources-hierarchy.md);
* просматривать метаданные ресурса;
* просматривать список операций с ресурсом.

Роль `auditor` — наиболее безопасная роль, исключающая доступ к данным [сервисов](../../overview/concepts/services.md). Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

#### viewer {#viewer}

Роль `viewer` предоставляет разрешения на чтение информации о любых [ресурсах](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud.

Включает разрешения, предоставляемые ролью `auditor`.

В отличие от роли `auditor`, роль `viewer` предоставляет доступ к данным [сервисов](../../overview/concepts/services.md) в режиме чтения.

#### editor {#editor}

Роль `editor` предоставляет разрешения на управление любыми [ресурсами](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения [организацией](../../organization/concepts/organization.md) и ее удаления, а также удаления [ключей шифрования](../../kms/concepts/index.md) Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью `viewer`.

#### admin {#admin}

Роль `admin` позволяет назначать любые роли, кроме `resource-manager.clouds.owner` и `organization-manager.organizations.owner`, а также предоставляет разрешения на управление любыми [ресурсами](../../resource-manager/concepts/resources-hierarchy.md) Yandex Cloud, кроме передачи прав владения [организацией](../../organization/concepts/organization.md) и ее удаления.

Прежде чем назначить роль `admin` на организацию, [облако](../../resource-manager/concepts/resources-hierarchy.md#cloud) или [платежный аккаунт](../../billing/concepts/billing-account.md), ознакомьтесь с информацией о защите [привилегированных аккаунтов](../../security/standard/all.md#privileged-users).

Включает разрешения, предоставляемые ролью `editor`.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение [принципа минимальных привилегий](../../security/standard/all.md#min-privileges).

Подробнее о примитивных ролях в [справочнике ролей Yandex Cloud](../../iam/roles-reference.md#primitive-roles).

## Какие роли мне необходимы {#choosing-roles}

В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить `editor` вместо `viewer` или `vpc.admin` вместо `vpc.publicAdmin`.

Действие | Методы | Необходимые роли
----- | ----- | -----
**Просмотр информации** | |
Просмотр информации о любом ресурсе | `get`, `list`, `listOperations` | `vpc.viewer` или `viewer` на этот ресурс
Получение списка подсетей в сети | `listSubnets` | `vpc.viewer` или `viewer` на сеть
**Использование ресурсов** | |
Назначение ресурсов VPC другим ресурсам Yandex Cloud (например, назначение адреса на интерфейс или подключение сетевого интерфейса к подсети) | Различные | `vpc.user` на ресурс, а также право на изменение принимающего его объекта, если операция назначения ресурса мутирующая
Назначение/удаление публичного адреса на интерфейсе | различные | `vpc.publicAdmin` на сеть
Создание [ВМ](../../glossary/vm.md), подключенной к нескольким сетям | `create` | `vpc.publicAdmin` на каждую сеть, к которой подключается ВМ
**Управление ресурсами** | |
[Создание сетей в каталоге](../operations/network-create.md) | `create` | `vpc.privateAdmin` или `editor` на каталог
[Изменение](../operations/network-update.md), [удаление сетей](../operations/network-delete.md) | `update`, `delete` | `vpc.privateAdmin` или `editor` на сеть
[Создание подсетей в каталоге](../operations/subnet-create.md) | `create` | `vpc.privateAdmin` или `editor` на каталог и на сеть
[Изменение](../operations/subnet-update.md), [удаление подсетей](../operations/subnet-delete.md) | `update`, `delete` | `vpc.privateAdmin` или `editor` на каталог
[Создание таблицы маршрутизации](../operations/static-route-create.md) | `create` | `vpc.privateAdmin` или `editor` на каталог
Изменение, удаление таблицы маршрутизации | `update`, `delete` | `vpc.privateAdmin` или `editor` на таблицу маршрутизации
[Создание публичных адресов](../operations/get-static-ip.md) | `create` | `vpc.publicAdmin` или `editor` на каталог
[Удаление публичных адресов](../operations/address-delete.md) | `delete` | `vpc.publicAdmin` или `editor` на адрес
[Создание шлюзов](../operations/create-nat-gateway.md) | `create` | `vpc.gateways.editor`
Подключение шлюза в таблице маршрутизации | `create`, `update` |  `vpc.gateways.user`
Создание групп безопасности | `create` | `vpc.securityGroups.admin` или `editor` на каталог и на сеть
Изменение, удаление групп безопасности | `update`, `delete` | `vpc.securityGroups.admin` или `editor` на сеть и на группу безопасности
**Управление доступом к ресурсам** | |
[Назначение роли](../../iam/operations/roles/grant.md), [отзыв роли](../../iam/operations/roles/revoke.md) и просмотр назначенных ролей на ресурс | `setAccessBindings`, `updateAccessBindings`, `listAccessBindings` | `admin` на этот ресурс

Чтобы создать [NAT-шлюз](../concepts/gateways.md) и подключить его к таблице маршрутизации, вам потребуются роли `vpc.gateways.editor` и `vpc.gateways.user`. Использовать зарезервированные публичные IP-адреса для шлюзов сейчас нельзя, поэтому роли `vpc.admin` будет недостаточно.

#### Что дальше {#what-is-next}

* [Как назначить роль](../../iam/operations/roles/grant.md).
* [Как отозвать роль](../../iam/operations/roles/revoke.md).
* [Подробнее об управлении доступом в Yandex Cloud](../../iam/concepts/access-control/index.md).
* [Подробнее о наследовании ролей](../../resource-manager/concepts/resources-hierarchy.md#access-rights-inheritance).