Связаться с намиПодключиться

Настроить права доступа к группе выделенных хостов

Статья создана
Обновлена 17 октября 2024 г.

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к группе выделенных хостов, назначьте роль на нее.

Назначить роль

  1. В консоли управления выберите каталог, в котором расположена группа выделенных хостов.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы выделенных хостов.
  4. Выберите нужную группу выделенных хостов.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе выделенных хостов.
  8. Нажмите кнопку Добавить роль и выберите необходимую роль.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на группу выделенных хостов:

    yc compute host-group add-access-binding --help

  2. Получите список групп выделенных хостов в каталоге по умолчанию:

    yc compute host-group list

  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>

  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc compute host-group add-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \
  --user-account-id <идентификатор_пользователя> \
  --role <роль>

      Где:

      • --user-account-idидентификатор пользователя. Чтобы назначить роль для всех аутентифицированных пользователей, воспользуйтесь флагом --all-authenticated-users.
      • --role — назначаемая роль.

    • Сервисному аккаунту:

      yc compute host-group add-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --role <роль>

      Где:

Чтобы назначить роль, воспользуйтесь методом REST API updateAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролей

  1. В консоли управления выберите каталог, в котором расположена группа выделенных хостов.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы выделенных хостов.
  4. Выберите нужную группу выделенных хостов.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе выделенных хостов.
  8. Нажмите кнопку Добавить роль и выберите необходимую роль.
  9. Добавьте еще роль через кнопку Добавить роль.
  10. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>

  2. Посмотрите описание команды CLI для назначения ролей на группу выделенных хостов:

    yc compute host-group set-access-bindings --help

  3. Назначьте роли:

    yc compute host-group set-access-bindings <имя_или_идентификатор_группы_выделенных_хостов> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --access-binding — параметры для установки прав доступа:

      • role — назначаемая роль.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc compute host-group set-access-bindings my-host-group \
  --access-binding role=editor,subject=userAccount:gfei8n54hmfh********
  --access-binding role=viewer,subject=userAccount:helj89sfj80a********
  --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********

Чтобы назначить роли на ресурс, воспользуйтесь методом REST API setAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/SetAccessBindings.

Внимание

Метод setAccessBindings и вызов HostGroupService/SetAccessBindings полностью перезаписывают права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Отозвать роль

  1. В консоли управления выберите каталог, в котором расположена группа выделенных хостов.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы выделенных хостов.
  4. Выберите нужную группу выделенных хостов.
  5. Перейдите на вкладку Права доступа.
  6. В строке нужного пользователя нажмите значок и выберите Изменить роли.
  7. Рядом с ролью нажмите значок .
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на группу выделенных хостов:

    yc compute host-group remove-access-binding --help

  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>

  3. Чтобы отозвать права доступа, выполните команду:

    yc compute host-group remove-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \
  --role=<роль> \
  --subject=<тип_субъекта>:<идентификатор_субъекта> \

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subject — тип и идентификатор субъекта, которому назначается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s******** на группу выделенных хостов:

    yc compute host-group remove-access-binding my-host-group \
  --role viewer \
  --subject userAccount:ajel6l0jcb9s********

Чтобы отозвать роль, воспользуйтесь методом REST API updateAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Предыдущая
Создать ВМ на выделенном хосте
Следующая
Создать кластер GPU