Связаться с намиПодключиться

Настроить права доступа к группе виртуальных машин

Статья создана
Улучшена
Обновлена 13 ноября 2025 г.

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к группе виртуальных машин, назначьте роль на нее.

Назначить роль

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Перейдите в сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на группу ВМ:

    yc compute instance-group add-access-binding --help

  2. Получите список групп виртуальных машин в каталоге по умолчанию:

    yc compute instance-group list

    Результат:

    +----------------------+-----------------------+------+
|          ID          |         NAME          | SIZE |
+----------------------+-----------------------+------+
| amc65sbgfqeq******** | first-instance-group  |    2 |
+----------------------+-----------------------+------+

  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
  --user-account-id <идентификатор_пользователя> \
  --role <роль>

      Где:

    • Сервисному аккаунту:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --role <роль>

      Где:

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролей

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Перейдите в сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Добавьте еще роль через кнопку Добавить роль.
  10. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  2. Посмотрите описание команды CLI для назначения ролей на группу ВМ:

    yc compute instance-group set-access-bindings --help

  3. Назначьте роли:

    yc compute instance-group set-access-bindings <имя_или_идентификатор_группы_ВМ> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --access-binding — назначаемая роль:

      • role — идентификатор назначаемой роли.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc compute instance-group set-access-bindings test-group \
  --access-binding role=editor,subject=userAccount:gfei8n54hmfh******** \
  --access-binding role=viewer,subject=userAccount:helj89sfj80a******** \
  --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********

Воспользуйтесь методом REST API setAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/SetAccessBindings.

Отозвать роль

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Перейдите в сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. В строке нужного пользователя нажмите значок и выберите Изменить роли.
  7. Нажмите значок рядом с ролью, чтобы удалить ее.
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на группу ВМ:

    yc compute instance-group remove-access-binding --help

  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  3. Чтобы отозвать права доступа, выполните команду:

    yc compute instance-group remove-access-binding <имя_или_идентификатор_группы_ВМ> \
  --role <идентификатор_роли> \
  --subject <тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subjectсубъект, у которого отзывается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s******** на группу ВМ:

    yc compute instance-group remove-access-binding test-group \
  --role viewer \
  --subject userAccount:ajel6l0jcb9s********

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Предыдущая
Запустить группу ВМ
Следующая
Исключить группу виртуальных машин из группы размещения