Связаться с намиПодключиться

Настроить права доступа к сертификату

Статья создана
Улучшена
Обновлена 27 октября 2025 г.

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к сертификату, назначьте на него роль.

Назначить роль

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на сертификат:

    yc certificate-manager certificate add-access-binding --help

  2. Получите список сертификатов в каталоге по умолчанию:

    yc certificate-manager certificate list

    Результат:

    +----------------------+--------+-------------+---------------------+----------+---------+
|          ID          |  NAME  |   DOMAINS   |      NOT AFTER      |   TYPE   | STATUS  |
+----------------------+--------+-------------+---------------------+----------+---------+
| fpqgbg3fajpg******** | cert-1 | example.com | 2026-01-04 13:58:14 | IMPORTED | ISSUED  |
| fpqlhev2j4ad******** | cert-2 | example.com | 2026-01-04 14:07:02 | IMPORTED | ISSUED  |
+----------------------+--------+-------------+---------------------+----------+---------+

  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc certificate-manager certificate list-access-bindings <идентификатор_сертификата>

  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc certificate-manager certificate add-access-binding <идентификатор_сертификата> \
  --user-account-id <идентификатор_пользователя> \
  --role <роль>

      Где:

    • Сервисному аккаунту:

      yc certificate-manager certificate add-access-binding <идентификатор_сертификата> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --role <роль>

      Где:

Воспользуйтесь методом REST API updateAccessBindings для ресурса Certificate или вызовом gRPC API CertificateService/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролей

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Посмотрите список ролей, назначенных на сертификат:

    yc certificate-manager certificate list-access-bindings <идентификатор_сертификата>

    Если роли надо сохранить, укажите их в команде назначения ролей.

  2. Посмотрите описание команды CLI для назначения ролей на сертификат:

    yc certificate-manager certificate set-access-bindings --help

  3. Назначьте роли:

    yc certificate-manager certificate set-access-bindings <идентификатор_сертификата> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --access-binding — назначаемая роль:

      • role — идентификатор назначаемой роли.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc certificate-manager certificate set-access-bindings my-certificate \
  --access-binding role=editor,subject=userAccount:gfei8n54hmfh********
  --access-binding role=viewer,subject=userAccount:helj89sfj80a********
  --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********

Воспользуйтесь методом REST API setAccessBindings для ресурса Certificate или вызовом gRPC API CertificateService/SetAccessBindings.

Отозвать роль

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на сертификат:

    yc certificate-manager certificate remove-access-binding --help

  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc certificate-manager certificate list-access-bindings <идентификатор_сертификата>

  3. Чтобы отозвать права доступа, выполните команду:

    yc certificate-manager certificate remove-access-binding <идентификатор_сертификата> \
  --role <идентификатор_роли> \
  --subject <тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subjectсубъект, у которого отзывается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s********:

    yc certificate-manager certificate remove-access-binding my-certificate \
  --role viewer \
  --subject userAccount:ajel6l0jcb9s********

Чтобы отозвать роли на сертификат, воспользуйтесь методом REST API updateAccessBindings для ресурса Certificate или вызовом gRPC API CertificateService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Предыдущая
Добавление алерта для сертификата
Следующая
Посмотреть операции с сертификатом