Настроить права доступа к группе выделенных хостов
Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к группе выделенных хостов, назначьте роль на нее.
Назначить роль
- В консоли управления
выберите каталог, в котором расположена группа выделенных хостов. - Выберите сервис Compute Cloud.
- На панели слева выберите
→ Группы выделенных хостов. - Выберите нужную группу выделенных хостов.
- Перейдите на вкладку
Права доступа. - Нажмите кнопку Назначить роли.
- В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе выделенных хостов.
- Нажмите кнопку
Добавить роль и выберите необходимую роль. - Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для назначения роли на группу выделенных хостов:
yc compute host-group add-access-binding --help
-
Получите список групп выделенных хостов в каталоге по умолчанию:
yc compute host-group list
-
Посмотрите список ролей, которые уже назначены на ресурс:
yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>
-
Назначьте роль с помощью команды:
-
Пользователю:
yc compute host-group add-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \ --user-account-id <идентификатор_пользователя> \ --role <роль>
Где:
--user-account-id
— идентификатор пользователя. Чтобы назначить роль для всех аутентифицированных пользователей, воспользуйтесь флагом--all-authenticated-users
.--role
— назначаемая роль.
-
Сервисному аккаунту:
yc compute host-group add-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \ --service-account-id <идентификатор_сервисного_аккаунта> \ --role <роль>
Где:
--service-account-id
— идентификатор сервисного аккаунта.--role
— назначаемая роль.
-
Чтобы назначить роль, воспользуйтесь методом REST API updateAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/UpdateAccessBindings. В теле запроса в свойстве action
укажите ADD
, а в свойстве subject
— тип и идентификатор пользователя.
Назначить несколько ролей
- В консоли управления
выберите каталог, в котором расположена группа выделенных хостов. - Выберите сервис Compute Cloud.
- На панели слева выберите
→ Группы выделенных хостов. - Выберите нужную группу выделенных хостов.
- Перейдите на вкладку
Права доступа. - Нажмите кнопку Назначить роли.
- В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе выделенных хостов.
- Нажмите кнопку
Добавить роль и выберите необходимую роль. - Добавьте еще роль через кнопку
Добавить роль. - Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Вы можете назначить несколько ролей с помощью команды set-access-bindings
.
Внимание
Команда set-access-bindings
полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.
-
Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:
yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>
-
Посмотрите описание команды CLI для назначения ролей на группу выделенных хостов:
yc compute host-group set-access-bindings --help
-
Назначьте роли:
yc compute host-group set-access-bindings <имя_или_идентификатор_группы_выделенных_хостов> \ --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта> \ --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>
Где:
-
--access-binding
— параметры для установки прав доступа:
Например, назначьте роли нескольким пользователям и сервисному аккаунту:
yc compute host-group set-access-bindings my-host-group \ --access-binding role=editor,subject=userAccount:gfei8n54hmfh******** --access-binding role=viewer,subject=userAccount:helj89sfj80a******** --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********
-
Чтобы назначить роли на ресурс, воспользуйтесь методом REST API setAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/SetAccessBindings.
Внимание
Метод setAccessBindings
и вызов HostGroupService/SetAccessBindings
полностью перезаписывают права доступа к ресурсу. Все текущие роли на ресурс будут удалены.
Отозвать роль
- В консоли управления
выберите каталог, в котором расположена группа выделенных хостов. - Выберите сервис Compute Cloud.
- На панели слева выберите
→ Группы выделенных хостов. - Выберите нужную группу выделенных хостов.
- Перейдите на вкладку
Права доступа. - В строке нужного пользователя нажмите значок
и выберите Изменить роли. - Рядом с ролью нажмите значок
. - Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для отзыва роли на группу выделенных хостов:
yc compute host-group remove-access-binding --help
-
Посмотрите, кому и какие роли назначены на ресурс:
yc compute host-group list-access-bindings <имя_или_идентификатор_группы_выделенных_хостов>
-
Чтобы отозвать права доступа, выполните команду:
yc compute host-group remove-access-binding <имя_или_идентификатор_группы_выделенных_хостов> \ --role=<роль> \ --subject=<тип_субъекта>:<идентификатор_субъекта> \
Где:
--role
— идентификатор роли, которую надо отозвать.--subject
— тип и идентификатор субъекта, которому назначается роль.
Например, чтобы отозвать роль
viewer
у пользователя с идентификаторомajel6l0jcb9s********
на группу выделенных хостов:yc compute host-group remove-access-binding my-host-group \ --role viewer \ --subject userAccount:ajel6l0jcb9s********
Чтобы отозвать роль, воспользуйтесь методом REST API updateAccessBindings для ресурса HostGroup или вызовом gRPC API HostGroupService/UpdateAccessBindings. В теле запроса в свойстве action
укажите REMOVE
, а в свойстве subject
— тип и идентификатор пользователя.