Связаться с намиПодключиться

Изменить права доступа к группе рабочих столов

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

В Cloud Desktop управление доступом реализовано с помощью разграничения ролей Yandex Identity and Access Management и списков управления доступом (ACL). См. пример использования механизмов доступа.

  1. В консоли управления выберите каталог, в котором расположена группа рабочих столов.
  2. В списке сервисов выберите Cloud Desktop.
  3. Справа от группы рабочих столов, к которой вы хотите изменить права доступа, нажмите и выберите Настроить ACL.
  4. В появившемся окне Редактирование ACL выдайте или отзовите необходимые разрешения.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к группе рабочих столов. Все текущие роли на группу будут удалены.

  1. Убедитесь, что на группу рабочих столов не назначены роли, которые вы не хотите потерять:

    yc desktops group list-access-bindings <имя_или_идентификатор_группы_рабочих_столов>

  2. Посмотрите описание команды CLI для назначения ролей на группу рабочих столов:

    yc desktops group set-access-bindings --help

  3. Назначьте роли:

    yc desktops group set-access-bindings <имя_или_идентификатор_группы_рабочих_столов> \
  --access-binding role=<роль>,<тип_субъекта>=<идентификатор_субъекта> \
  --access-binding role=<роль>,<тип_субъекта>=<идентификатор_субъекта>

    Где --access-binding — параметры для установки прав доступа:

    • role — назначаемая роль.
    • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc desktops group set-access-bindings my-desktop-group \
  --access-binding role=editor,userAccount=gfei8n54hmfh******** \
  --access-binding role=viewer,userAccount=helj89sfj80a******** \
  --access-binding role=editor,serviceAccount=ajel6l0jcb9s********

    Чтобы назначить роль субъекту без перезаписи остальных ролей, используйте команду yc desktops group add-access-bindings. Например, чтобы назначить роль сервисному аккаунту:

    yc desktops group add-access-bindings \
  --name <имя_группы_рабочих_столов> \
  --role <роль> \
  --service-account-name <имя_сервисного_аккаунта>

Воспользуйтесь методом REST API updateAccessBindings для ресурса DesktopGroup или вызовом gRPC API DesktopGroupService/UpdateAccessBindings.

Предыдущая
Изменить группу рабочих столов
Следующая
Удалить группу рабочих столов