Связаться с намиПодключиться

Настроить права доступа к группе виртуальных машин

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к группе виртуальных машин, назначьте роль на нее.

Назначить роль

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на группу ВМ:

    yc compute instance-group add-access-binding --help

  2. Получите список групп виртуальных машин в каталоге по умолчанию:

    yc compute instance-group list

    Результат:

    +----------------------+-----------------------+------+
|          ID          |         NAME          | SIZE |
+----------------------+-----------------------+------+
| amc65sbgfqeq******** | first-instance-group  |    2 |
+----------------------+-----------------------+------+

  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
  --user-account-id <идентификатор_пользователя> \
  --role <роль>

      Где:

    • Сервисному аккаунту:

      yc compute instance-group add-access-binding <имя_или_идентификатор_группы_ВМ> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --role <роль>

      Где:

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролей

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. Нажмите кнопку Назначить роли.
  7. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе ВМ.
  8. Нажмите кнопку Добавить роль и выберите необходимые роли.
  9. Добавьте еще роль через кнопку Добавить роль.
  10. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  2. Посмотрите описание команды CLI для назначения ролей на группу ВМ:

    yc compute instance-group set-access-bindings --help

  3. Назначьте роли:

    yc compute instance-group set-access-bindings <имя_или_идентификатор_группы_ВМ> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --access-binding — назначаемая роль:

      • role — идентификатор назначаемой роли.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc compute instance-group set-access-bindings test-group \
  --access-binding role=editor,subject=userAccount:gfei8n54hmfh******** \
  --access-binding role=viewer,subject=userAccount:helj89sfj80a******** \
  --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********

Воспользуйтесь методом REST API setAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/SetAccessBindings.

Отозвать роль

  1. В консоли управления выберите каталог, в котором находится группа ВМ.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Группы виртуальных машин.
  4. Выберите нужную группу.
  5. Перейдите на вкладку Права доступа.
  6. В строке нужного пользователя нажмите значок и выберите Изменить роли.
  7. Нажмите значок рядом с ролью, чтобы удалить ее.
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на группу ВМ:

    yc compute instance-group remove-access-binding --help

  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc compute instance-group list-access-bindings <имя_или_идентификатор_группы_ВМ>

  3. Чтобы отозвать права доступа, выполните команду:

    yc compute instance-group remove-access-binding <имя_или_идентификатор_группы_ВМ> \
  --role <идентификатор_роли> \
  --subject <тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subjectсубъект, у которого отзывается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s******** на группу ВМ:

    yc compute instance-group remove-access-binding test-group \
  --role viewer \
  --subject userAccount:ajel6l0jcb9s********

Воспользуйтесь методом REST API updateAccessBindings для ресурса InstanceGroup или вызовом gRPC API InstanceGroupService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Предыдущая
Запустить группу ВМ
Следующая
Исключить группу виртуальных машин из группы размещения