Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Применить политику MFA к пользователям

Статья создана
Улучшена
Обновлена 13 февраля 2026 г.

Чтобы политика MFA применялась в отношении учетных записей пользователей, в целевые группы этой политики требуется явно добавить нужных пользователей или группы, в которые эти пользователи входят.

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Настройки безопасности.

  3. Перейдите на вкладку Политики MFA и в списке политик выберите нужную. В открывшемся окне:

    1. Перейдите на вкладку Пользователи и группы.

    2. Чтобы добавить в целевые группы политики нового пользователя или группу:

      1. Нажмите кнопку Добавить пользователей.
      2. В открывшемся окне выберите нужного пользователя или группу пользователей.
      3. Нажмите кнопку Добавить.

    3. Чтобы удалить из политики пользователя или группу:

      1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
      2. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите список пользователей или групп, к которым применяется политика MFA:

    yc organization-manager mfa-enforcement list-audience \
  --id <идентификатор_политики>

  2. Посмотрите описание команды CLI для изменения списка пользователей или групп, к которым применяется политика MFA:

    yc organization-manager mfa-enforcement update-audience --help

  3. Чтобы добавить пользователей или группы в политику MFA или удалить их из политики, выполните команду:

    yc organization-manager mfa-enforcement update-audience \
  --id <идентификатор_политики> \
  --audience-delta subject-id=<идентификатор_субъекта>,action=<действие>

    Где:

    • --audience-delta — параметр для изменения списка пользователей/групп в политике:
      • subject-id — идентификатор пользователя или группы.
      • action — действие: action-add — добавить, action-remove — удалить.

    Можно указать несколько параметров --audience-delta для одновременного изменения нескольких объектов.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Чтобы добавить пользователя или группу в политику MFA, опишите в конфигурационном файле параметры ресурса yandex_organizationmanager_mfa_enforcement_audience:

    resource "yandex_organizationmanager_mfa_enforcement_audience" "example_mfa_audience" {
  mfa_enforcement_id = "<идентификатор_политики_MFA>"
  subject_id         = "<идентификатор_пользователя_или_группы>"
}

    Где:

    • mfa_enforcement_id — идентификатор политики MFA, к которой нужно добавить пользователя или группу. Обязательный параметр.
    • subject_id — идентификатор пользователя или группы, которые нужно добавить в политику MFA. Обязательный параметр.

    Чтобы добавить несколько пользователей или групп, создайте отдельный ресурс yandex_organizationmanager_mfa_enforcement_audience для каждого из них.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_mfa_enforcement_audience см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    Terraform создаст все требуемые ресурсы. Проверить добавление пользователей в политику MFA можно в интерфейсе Cloud Center или с помощью команды CLI:

    yc organization-manager mfa-enforcement list-audience --id <идентификатор_политики>

  3. Чтобы удалить пользователя или группу из политики MFA, удалите соответствующий ресурс yandex_organizationmanager_mfa_enforcement_audience из конфигурационного файла и примените изменения.

Воспользуйтесь методом REST API UpdateAudience для ресурса MfaEnforcement или вызовом gRPC API MfaEnforcementService/UpdateAudience.

Примечание

В целевые группы политики MFA вы можете добавлять пользовательские аккаунты любого типа, но применяться политика будет только к федеративным и локальным аккаунтам пользователей.

Если участниками группы, добавленной в политику MFA, являются пользователи с аккаунтами различных типов, эта политика будет применяться только к пользователям с федеративными и локальными аккаунтами.

См. также

Предыдущая
Создать политику MFA
Следующая
Изменить политику MFA