Назначение политики авторизации
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики дополняют систему ролей, делая управление доступом более гибким.
Вы можете назначить политику авторизации на каталог, облако или организацию.
Примечание
Управлять политиками авторизации может пользователь, которому назначена одна из следующих ролей:
resource-manager.adminилиadminна каталог или облако, чтобы управлять политиками авторизации соответственно на уровне каталога или облака;organization-manager.adminилиadminна организацию, чтобы управлять политиками авторизации на уровне организации.
Назначить политику авторизации на каталог
Чтобы назначить политику авторизации на каталог:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых политик авторизации с идентификаторами.
-
Выполните команду:
yc resource-manager folder bind-access-policy \ --name <имя_каталога> \ --access-policy-template-id=<идентификатор_политики_авторизации>Где:
--name— имя каталога, на который вы хотите назначить политику. Вместо имени каталога вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор политики авторизации, которую вы хотите назначить на указанный каталог.
-
Убедитесь, что политика была назначена.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Folder или вызовом gRPC API FolderService/BindAccessPolicy.
Назначенная политика авторизации будет применяться ко всем ресурсам в заданном каталоге.
Назначить политику авторизации на облако
Чтобы назначить политику авторизации на облако:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых политик авторизации с идентификаторами.
-
Выполните команду:
yc resource-manager cloud bind-access-policy \ --name <имя_облака> \ --access-policy-template-id=<идентификатор_политики_авторизации>Где:
--name— имя облака, на которое вы хотите назначить политику. Вместо имени облака вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор политики авторизации, которую вы хотите назначить на указанное облако.
-
Убедитесь, что политика была назначена.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Cloud или вызовом gRPC API CloudService/BindAccessPolicy.
Назначенная политика авторизации будет применяться к ресурсам внутри всех каталогов в пределах заданного облака.
Назначить политику авторизации на организацию
Чтобы назначить политику авторизации на организацию:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых политик авторизации с идентификаторами.
-
Выполните команду:
yc organization-manager organization bind-access-policy \ --name <имя_организации> \ --access-policy-template-id=<идентификатор_политики_авторизации>Где:
--name— имя организации, на которую вы хотите назначить политику. Вместо имени организации вы можете указать ее идентификатор в параметре--id.--access-policy-template-id— идентификатор политики авторизации, которую вы хотите назначить на указанную организацию.
-
Убедитесь, что политика была назначена.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/BindAccessPolicy.
Назначенная политика авторизации будет применяться к ресурсам внутри всех облаков в пределах заданной организации.