Управлять политиками авторизации организации
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики авторизации создаются на основе шаблонов и дополняют систему ролей, делая управление доступом более гибким.
Управлять политиками авторизации организации может пользователь, которому назначена роль organization-manager.admin или admin на эту организацию.
Создать политику авторизации для организации
Чтобы создать для организации политику авторизации на основе шаблона без дополнительных параметров:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.
-
Выполните команду:
yc organization-manager organization bind-access-policy \ --name <имя_организации> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя организации, для которой вы хотите создать политику. Вместо имени организации вы можете указать ее идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанной организации.
-
Убедитесь, что политика была создана.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/BindAccessPolicy.
Созданная политика авторизации будет применяться к ресурсам внутри всех облаков в пределах заданной организации.
Посмотреть список политик авторизации организации
Чтобы посмотреть список политик авторизации, созданных для организации:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
Выполните команду, указав имя или идентификатор организации, для которой вы хотите посмотреть созданные политики:
yc organization-manager organization list-access-policy-bindings <имя_или_идентификатор_организации>
Результат:
+------------------------------+
| ACCESS POLICY TEMPLATE ID |
+------------------------------+
| organization.denyUserListing |
+------------------------------+
Воспользуйтесь методом REST API listAccessPolicyBindings для ресурса Organization или вызовом gRPC API OrganizationService/ListAccessPolicyBindings.
Удалить политику авторизации, созданную для организации
Чтобы удалить политику авторизации, созданную для организации:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список идентификаторов шаблонов политик авторизации, назначенных на организацию.
-
Выполните команду:
yc organization-manager organization unbind-access-policy \ --name <имя_организации> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя организации, для которой вы хотите удалить политику. Вместо имени организации вы можете указать ее идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона политики авторизации, которую вы хотите удалить у указанной организации.
-
Убедитесь, что политика была удалена.
Воспользуйтесь методом REST API unbindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/UnbindAccessPolicy.
Указанная политика авторизации перестанет применяться к ресурсам внутри всех облаков в пределах заданной организации.