Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Compute Cloud
    • Все инструкции
      • Изменить группу ВМ
      • Изменить группу ВМ по YAML-спецификации
      • Перенести группу ВМ в другую зону доступности
      • Перенести группу ВМ с сетевым балансировщиком в другую зону доступности
      • Перенести группу ВМ с L7-балансировщиком в другую зону доступности
      • Настроить проверку состояния приложения на ВМ
      • Приостановить процессы в группе ВМ
      • Возобновить процессы в группе ВМ
      • Поочередно перезагрузить ВМ в группе
      • Поочередно пересоздать ВМ в группе
      • Остановить группу ВМ
      • Запустить группу ВМ
      • Настроить права доступа к группе ВМ
      • Исключить группу виртуальных машин из группы размещения
      • Удалить группу ВМ
    • Посмотреть операции с ресурсами сервиса
  • Yandex Container Solution
  • Управление доступом
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Назначить роль
  • Назначить несколько ролей
  • Отозвать роль
  1. Пошаговые инструкции
  2. Управление группой виртуальных машин
  3. Настроить права доступа к группе ВМ

Настроить права доступа к группе виртуальных машин

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 21 апреля 2025 г.
  • Назначить роль
  • Назначить несколько ролей
  • Отозвать роль

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к группе виртуальных машин, назначьте роль на нее.

Назначить рольНазначить роль

Консоль управления
CLI
API
  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на группу ВМ:

    yc compute instance-group add-access-binding --help
    
  2. Получите список групп виртуальных машин в каталоге по умолчанию:

    yc compute instance-group list
    

    Результат:

    +----------------------+-----------------------+------+
    |          ID          |         NAME          | SIZE |
    +----------------------+-----------------------+------+
    | amc65sbgfqeq******** | first-instance-group  |    2 |
    +----------------------+-----------------------+------+
    
  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>
    
  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
        --user-account-id <идентификатор_пользователя> \
        --role <роль>
      

      Где:

      • --user-account-id — идентификатор пользователя.
      • --role — назначаемая роль.
    • Сервисному аккаунту:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
        --service-account-id <идентификатор_сервисного_аккаунта> \
        --role <роль>
      

      Где:

      • --service-account-id — идентификатор сервисного аккаунта.
      • --role — назначаемая роль.

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролейНазначить несколько ролей

Консоль управления
CLI
API
  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Добавьте еще роль через кнопку Добавить роль.
  10. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>
    
  2. Посмотрите описание команды CLI для назначения ролей на группу ВМ:

    yc compute instance-group set-access-bindings --help
    
  3. Назначьте роли:

    yc compute instance-group set-access-bindings <имя_или_идентификатор_группы_ВМ> \
      --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>
    

    Где:

    • --access-binding — назначаемая роль:

      • role — идентификатор назначаемой роли.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc compute instance-group set-access-bindings test-group \
      --access-binding role=editor,subject=userAccount:gfei8n54hmfh******** \
      --access-binding role=viewer,subject=userAccount:helj89sfj80a******** \
      --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********
    

Воспользуйтесь методом REST API setAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/SetAccessBindings.

Отозвать рольОтозвать роль

Консоль управления
CLI
API
  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. В строке нужного пользователя нажмите значок и выберите Изменить роли.
  7. Нажмите значок рядом с ролью, чтобы удалить ее.
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на группу ВМ:

    yc compute instance-group remove-access-binding --help
    
  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>
    
  3. Чтобы отозвать права доступа, выполните команду:

    yc compute instance-group remove-access-binding <имя_или_идентификатор_группы_ВМ> \
      --role <идентификатор_роли> \
      --subject <тип_субъекта>:<идентификатор_субъекта>
    

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subject — субъект, у которого отзывается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s******** на группу ВМ:

    yc compute instance-group remove-access-binding test-group \
      --role viewer \
      --subject userAccount:ajel6l0jcb9s********
    

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Была ли статья полезна?

Предыдущая
Запустить группу ВМ
Следующая
Исключить группу виртуальных машин из группы размещения
Проект Яндекса
© 2025 ООО «Яндекс.Облако»