Связаться с намиПопробовать бесплатно

Просмотреть список доступов субъекта

Статья создана
Улучшена
Обновлена 28 октября 2025 г.

Вы можете централизованно просматривать полный список прав доступа индивидуальных субъектов и групп к ресурсам организации. Для этого можно использовать модуль CIEM сервиса Yandex Security Deck или Yandex Cloud CLI.

Просматривать доступы в интерфейсе Security Deck могут члены организации, которым на эту организацию назначена роль organization-manager.viewer или выше.

Диагностика доступов с помощью Yandex Cloud CLI доступна в релизе 0.171 и выше.

Чтобы получить список доступов субъекта к ресурсам организации:

  1. Войдите в аккаунт пользователя организации с ролью organization-manager.viewer или выше на эту организацию.

  2. Перейдите в сервис Yandex Security Deck.

  3. На панели слева выберите Диагностика доступа.

  4. Нажмите кнопку Выбрать субъект и в открывшемся окне:

    1. Выберите нужного пользователя, сервисный аккаунт, группу пользователей, системную группу или публичную группу.

      При необходимости воспользуйтесь поиском.

    2. Нажмите Выбрать.

Откроется список доступов, назначенных выбранному субъекту. Для каждого доступа в списке указываются имя/идентификатор и тип ресурса, к которому выдан доступ, назначенная субъекту на этот ресурс роль, а также информация о том, была ли эта роль назначена субъекту напрямую или была унаследована из группы, членом которой является этот субъект.

Если у выбранного субъекта много доступов, отобразится только часть из них. Чтобы отобразить остальные доступы, нажмите кнопку Загрузить ещё внизу страницы.

При необходимости воспользуйтесь фильтром по идентификатору ресурса, идентификатору роли или по способу назначения доступа: Назначенные напрямую или Назначенные через группу.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для получения списка доступов субъекта:

    yc iam access-analyzer list-subject-access-bindings --help

  2. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей для просмотра списка доступов.

  3. С помощью команды yc iam access-analyzer list-subject-access-bindings получите список доступов субъекта:

    yc iam access-analyzer list-subject-access-bindings \
   --organization-id=<идентификатор_организации> \
   --subject-id=<идентификатор_субъекта>

    Где:

    Результат:

    +---------+-------------------------+----------------------+----------+
| ROLE ID |      RESOURCE TYPE      |     RESOURCE ID      | GROUP ID |
+---------+-------------------------+----------------------+----------+
| admin   | resource-manager.cloud  | b1g2c5615qja******** |          |
| admin   | resource-manager.folder | b1gq979gqitb******** |          |
+---------+-------------------------+----------------------+----------+

    Список доступов будет представлен в виде таблицы. Для каждого доступа в списке указывается роль, назначенная субъекту на этот ресурс, тип ресурса и его идентификатор. Если эта роль не была назначена субъекту напрямую, а была унаследована из группы, то отобразится идентификатор этой группы.

См. также

Предыдущая
Посмотреть роли, назначенные в организации
Следующая
Отозвать роль у пользователя