Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Identity and Access Management
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Назначить роль на каталог или облако
  • Назначить роль на организацию
  • Назначить роль на ресурс
  • Назначить несколько ролей
  1. Пошаговые инструкции
  2. Роли
  3. Назначение роли

Назначение роли

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 19 июня 2025 г.
  • Назначить роль на каталог или облако
  • Назначить роль на организацию
  • Назначить роль на ресурс
  • Назначить несколько ролей

Чтобы предоставить доступ к ресурсу, назначьте на него роль. Ее могут получить:

  • пользователи с аккаунтом на Яндексе;
  • локальные пользователи;
  • федеративные пользователи;
  • сервисные аккаунты;
  • группы пользователей.

Роль можно назначить не только на сам ресурс, но и на его родительский ресурс, так как от него наследуются права доступа. Например, если сервисному аккаунту назначить роль на облако, этот сервисный аккаунт получит разрешения на все ресурсы во всех каталогах этого облака. Подробнее см. в разделе Как устроено управление доступом в Yandex Cloud.

Узнайте, на какие ресурсы можно назначать роли.

Чтобы выбрать роли, обратитесь к их справочнику.

Назначить роль на каталог или облакоНазначить роль на каталог или облако

Консоль управления
CLI
API
  1. В консоли управления выберите нужное облако или каталог.
  2. Перейдите на вкладку Права доступа.
  3. Нажмите кнопку Настроить доступ.
  4. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к облаку или каталогу.
  5. Нажмите кнопку Добавить роль и выберите необходимые роли.
  6. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить роль на облако или каталог:

  1. Посмотрите описание команды CLI для назначения роли:

    yc resource-manager <cloud_или_folder> add-access-binding --help
    

    Укажите cloud для облака и folder для каталога.

  2. Получите список доступных облаков или каталогов вместе с их идентификаторами:

    yc resource-manager <cloud_или_folder> list
    
  3. Получите идентификатор пользователя, сервисного аккаунта, группы пользователей, организации или федерации удостоверений, которым или пользователем которых вы назначаете роль.

  4. С помощью одной из команд ниже назначьте роль:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --user-account-id <идентификатор_пользователя>
      
    • Федеративному пользователю:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --subject federatedUser:<идентификатор_пользователя>
      
    • Сервисному аккаунту:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --service-account-id <идентификатор_сервисного_аккаунта>
      
    • Группе пользователей:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --subject group:<идентификатор_группы>
      
    • Всем пользователям организации:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --organization-users <идентификатор_организации>
      
    • Всем пользователям федерации удостоверений:

      yc resource-manager <cloud_или_folder> add-access-binding \
         --id <идентификатор_облака_или_каталога> \
         --role <роль> \
         --federation-users <идентификатор_федерации>
      

Чтобы назначить роль на облако, воспользуйтесь методом REST API updateAccessBindings для ресурса Cloud или вызовом gRPC API CloudService/UpdateAccessBindings.

Чтобы назначить роль на каталог, воспользуйтесь методом REST API updateAccessBindings для ресурса Folder или вызовом gRPC API FolderService/UpdateAccessBindings.

Передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить роль на организациюНазначить роль на организацию

Чтобы выдать права доступа на организацию, вам нужна роль не ниже organization-manager.admin. Подробнее о последовательности ролей см. в документе Yandex Identity Hub.

Чтобы назначить роль на организацию:

Интерфейс Cloud Center
CLI
Terraform
API
  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Если у нужного пользователя, сервисного аккаунта или группы пользователей уже есть хотя бы одна роль, в строке с этим пользователем, сервисным аккаунтом или группой нажмите значок и выберите Назначить роли.

    Если нужного нужного пользователя, сервисного аккаунта или группы пользователей нет в списке, в правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите нужного пользователя, сервисный аккаунт или группу из списка. При необходимости воспользуйтесь строкой поиска.

  4. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить. Вы можете назначить несколько ролей.

    Описание доступных ролей можно найти в справочнике ролей Yandex Cloud.

  5. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить роль на организацию:

  1. Посмотрите описание команды CLI для назначения роли:

    yc organization-manager organization add-access-binding --help
    
  2. Получите список доступных организаций вместе с их идентификаторами:

    yc organization-manager organization list
    
  3. Получите идентификатор пользователя, сервисного аккаунта, группы пользователей, организации или федерации удостоверений, которым или пользователем которых вы назначаете роль.

  4. С помощью одной из команд ниже назначьте роль:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc organization-manager organization add-access-binding \
         --id <идентификатор_организации> \
         --role <роль> \
         --user-account-id <идентификатор_пользователя>
      
    • Федеративному пользователю:

      yc organization-manager organization add-access-binding \
         --id <идентификатор_организации> \
         --role <роль> \
         --subject federatedUser:<идентификатор_пользователя>
      
    • Сервисному аккаунту:

      yc organization-manager organization add-access-binding \
         --id <идентификатор_организации> \
         --role <роль> \
         --service-account-id <идентификатор_сервисного_аккаунта>
      
    • Всем пользователям организации:

      yc organization-manager organization add-access-binding \
         --id <идентификатор_организации> \
         --role <роль> \
         --organization-users <идентификатор_организации>
      
    • Всем пользователям федерации удостоверений:

      yc organization-manager organization add-access-binding \
         --id <идентификатор_организации> \
         --role <роль> \
         --federation-users <идентификатор_федерации>
      

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы назначить роль на организацию:

  1. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  2. Опишите в конфигурационном файле ресурс с ролью на организацию.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_organization_iam_binding" "<название_ресурса>" {
      organization_id = "<идентификатор_организации>"
      role            = "<роль>"
      members         = [<пользователи>]
    }
    

    Где:

    • organization_id — идентификатор организации. Обязательный параметр.

    • role — назначаемая роль. Для каждой роли можно использовать только один ресурс yandex_organizationmanager_organization_iam_binding. Обязательный параметр.

    • members — пользователи, которым назначается роль. Укажите:

      • members = ["userAccount:<идентификатор_пользователя>"] — для пользователя с аккаунтом на Яндексе или локального пользователя.
      • members = ["federatedUser:<идентификатор_пользователя>"] — для федеративного пользователя.
      • members = ["serviceAccount:<идентификатор_пользователя>"] — для сервисного аккаунта.
      • members = ["group:<идентификатор_пользователя>"] — для группы пользователей.
      • members = ["system:group:organization:<идентификатор_организации>:users"] — для всех пользователей организации.
      • members = ["system:group:federation:<идентификатор_федерации>:users"] — для всех пользователей федерации удостоверений.

    Более подробную информацию см. в документации провайдера.

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate
      

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Назначьте роль.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan
      

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply
        
      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

    После этого в организации будут созданы нужные ресурсы. Проверить их создание можно в консоли управления или с помощью команды CLI:

    yc organization-manager organization list-access-bindings <имя_или_идентификатор_организации>
    

Чтобы назначить роль на организацию, воспользуйтесь методом REST API updateAccessBindings для ресурса Organization или вызовом gRPC API OrganizationService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить роль на ресурсНазначить роль на ресурс

Вы можете назначить роль не только на организацию, облако или каталог, но и на их дочерние ресурсы. Они перечислены в разделе Список ресурсов, на которые можно назначать роли.

Консоль управления
CLI
API

Чтобы назначить роль на ресурс:

  1. В консоли управления выберите каталог, в котором находится ресурс.
  2. Откройте его страницу.
  3. Перейдите в раздел Права доступа и нажмите кнопку Назначить роли.
  4. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к ресурсу.
  5. Нажмите кнопку Добавить роль и выберите необходимые роли.
  6. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить роль на ресурс:

  1. Посмотрите описание команды CLI для назначения роли:

    yc <имя_сервиса> <ресурс> add-access-binding --help
    

    Пример для виртуальной машины Yandex Compute Cloud:

    yc compute instance add-access-binding --help
    
  2. Получите список ресурсов вместе с их идентификаторами:

    yc <имя_сервиса> <ресурс> list
    
  3. Получите идентификатор пользователя, сервисного аккаунта, группы пользователей, организации или федерации удостоверений, которым или пользователем которых вы назначаете роль.

  4. С помощью одной из команд ниже назначьте роль:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --user-account-id <идентификатор_пользователя>
      
    • Федеративному пользователю:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --subject federatedUser:<идентификатор_пользователя>
      
    • Сервисному аккаунту:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --service-account-id <идентификатор_сервисного_аккаунта>
      
    • Группе пользователей:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --subject group:<идентификатор_группы>
      
    • Всем пользователям организации:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --organization-users <идентификатор_организации>
      
    • Всем пользователям федерации удостоверений:

      yc <имя_сервиса> <ресурс> add-access-binding \
         --id <идентификатор_ресурса> \
         --role <роль> \
         --federation-users <идентификатор_федерации>
      

Чтобы назначить роль на ресурс, воспользуйтесь методом REST API или вызовом gRPC API updateAccessBindings для нужного ресурса и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить несколько ролейНазначить несколько ролей

Консоль управления
CLI
API
  1. В консоли управления выберите каталог, в котором находится ресурс.
  2. Откройте его страницу.
  3. Перейдите в раздел Права доступа и нажмите кнопку Назначить роли.
  4. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к ресурсу.
  5. Нажмите кнопку Добавить роль и выберите необходимые роли.
  6. Нажмите кнопку Сохранить.

Внимание

Команда set-access-bindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить несколько ролей на ресурс:

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc <имя_сервиса> <ресурс> list-access-bindings \
       --id <идентификатор_ресурса>
    

    Пример для виртуальной машины Yandex Compute Cloud:

    yc compute instance list-access-bindings \
       --id <идентификатор_ВМ>
    
  2. Посмотрите описание команды CLI для назначения ролей:

    yc <имя_сервиса> <ресурс> set-access-bindings --help
    
  3. Получите список ресурсов вместе с их идентификаторами:

    yc <имя_сервиса> <ресурс> list
    
  4. Получите идентификатор пользователя, сервисного аккаунта, группы пользователей, организации или федерации удостоверений, которым или пользователем которых вы назначаете роль.

  5. С помощью одной из команд ниже назначьте роли:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>
      
    • Федеративному пользователю:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>
      
    • Сервисному аккаунту:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>
      
    • Группе пользователей:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,subject=group:<идентификатор_группы>
      
    • Всем пользователям организации:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,subject=system:group:organization:<идентификатор_организации>:users
      
    • Всем пользователям федерации удостоверений:

      yc <имя_сервиса> <ресурс> set-access-bindings \
         --id <идентификатор_ресурса> \
         --access-binding role=<роль>,subject=system:group:federation:<идентификатор_федерации>:users
      

    Для каждой роли передайте отдельный параметр --access-binding. Пример:

    yc <имя_сервиса> <ресурс> set-access-bindings \
       --id <идентификатор_ресурса> \
       --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
       --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
       --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>
    

Внимание

Метод setAccessBindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Чтобы назначить несколько ролей на ресурс, воспользуйтесь методом REST API или вызовом gRPC API setAccessBindings для нужного ресурса. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:

  • Роль в параметре accessBindings[].roleId.
  • Идентификатор субъекта, на кого назначаются роли, в параметре accessBindings[].subject.id.
  • Тип субъекта, на кого назначаются роли, в параметре accessBindings[].subject.type.

Была ли статья полезна?

Предыдущая
Удаление сервисного аккаунта
Следующая
Просмотр назначенных ролей
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»