Просмотр назначенных ролей
Чтобы посмотреть права аккаунта на ресурс, необходимо получить список ролей, назначенных на этот ресурс и на родительские ресурсы. Назначенные роли наследуются от родительского ресурса дочернему. Например, если вы хотите узнать, какие права у аккаунта на каталог, посмотрите роли:
- На этот каталог.
- На облако, которому принадлежит каталог.
- На организацию, которой принадлежит облако.
Список наследованных ролей на каталог или облако можно посмотреть в консоли управления в разделе Права доступа соответствующего каталога или облака.
Узнайте, на какие ресурсы можно назначать роли.
Чтобы посмотреть назначенные роли:
Чтобы посмотреть роли пользователя с аккаунтом на Яндексе, федеративного, локального пользователя или сервисного аккаунта на облако:
- В консоли управления на панели сверху нажмите и выберите облако.
- Перейдите на вкладку Права доступа.
- Найдите в списке нужного пользователя. Назначенные ему роли указаны в столбце Роли.
Чтобы посмотреть роли сервисного аккаунта на каталог и его дочерние ресурсы:
- В консоли управления на панели сверху нажмите и выберите каталог, которому принадлежит сервисный аккаунт.
- В списке сервисов выберите Identity and Access Management.
- На панели слева выберите Сервисные аккаунты.
- Роли сервисного аккаунта перечислены в поле Роли в каталоге.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите идентификатор аккаунта:
- Инструкция для сервисных аккаунтов.
- Инструкция для пользователей с аккаунтом на Яндексе, федеративных и локальных пользователей.
-
Получите идентификатор или имя желаемого ресурса.
-
Посмотрите, какие роли назначены на ресурс:
yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>Где:
<имя_сервиса>— имя сервиса, которому принадлежит ресурс, напримерresource-manager.<категория_ресурса>— категория ресурса, напримерfolder.<имя_или_идентификатор_ресурса>— имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.
Например, посмотрите кому и какие роли назначены на каталог
default:yc resource-manager folder list-access-bindings defaultРезультат:
+---------------------+----------------+----------------------+ | ROLE ID | SUBJECT TYPE | SUBJECT ID | +---------------------+----------------+----------------------+ | editor | serviceAccount | ajepg0mjas06******** | | viewer | userAccount | aje6o61dvog2******** | +---------------------+----------------+----------------------+В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы
All usersиAll authenticated users. -
Повторите предыдущие два шага для всех родительских ресурсов.
-
Получите идентификатор аккаунта:
- Инструкция для сервисных аккаунтов.
- Инструкция для пользователей с аккаунтом на Яндексе, федеративных и локальных пользователей.
-
Получите идентификатор или имя желаемого ресурса.
-
Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API
listAccessBindings. Например, чтобы посмотреть роли на каталогb1gvmob95yys********:export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaATEVAgA... curl \ --header "Authorization: Bearer ${IAM_TOKEN}" \ "https://resource-manager.api.yandexcloud.kz/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"Результат:
{ "accessBindings": [ { "subject": { "id": "ajei8n54hmfh********", "type": "userAccount" }, "roleId": "editor" } ] }В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы
All usersиAll authenticated users. -
Повторите предыдущие два шага для всех родительских ресурсов.