Связаться с намиПодключиться

Настроить права доступа к расписанию снимков диска

Статья создана
Улучшена
Обновлена 30 октября 2024 г.

Чтобы предоставить пользователю, группе или сервисному аккаунту доступ к расписанию снимков диска, назначьте на него роль.

Назначить роль

  1. В консоли управления выберите каталог, которому принадлежит расписание.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Снимки дисков.
  4. Перейдите на вкладку Расписания снимков.
  5. Выберите расписание из списка.
  6. Перейдите на вкладку Права доступа.
  7. Нажмите кнопку Назначить роли.
  8. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к расписанию.
  9. Нажмите кнопку Добавить роль и выберите необходимые роли.
  10. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения роли на расписание снимков диска:

    yc compute snapshot-schedule add-access-binding --help

  2. Получите список расписаний в каталоге по умолчанию:

    yc compute snapshot-schedule list

    Результат:

    +----------------------+-----------------+--------+-------------+
|          ID          |      NAME       | STATUS | DESCRIPTION |
+----------------------+-----------------+--------+-------------+
| fd85vvoeea6u******** | first-schedule  | ACTIVE |             |
| fd14ogykea8j******** | second-schedule | ACTIVE |             |
+----------------------+-----------------+--------+-------------+

  3. Посмотрите список ролей, которые уже назначены на ресурс:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

  4. Назначьте роль с помощью команды:

    • Пользователю:

      yc compute snapshot-schedule add-access-binding <идентификатор_расписания> \
  --user-account-id <идентификатор_пользователя> \
  --role <роль>

      Где:

    • Сервисному аккаунту:

      yc compute snapshot-schedule add-access-binding <идентификатор_расписания> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --role <роль>

      Где:

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы назначить роль на расписание с помощью Terraform:

  1. Опишите в конфигурационном файле Terraform параметры ресурсов, которые необходимо создать:

    resource "yandex_compute_snapshot_schedule_iam_binding" "sa-access" {
  snapshot_schedule_id = "<идентификатор_расписания>"
  role                 = "<роль>"
  members              = ["<тип_субъекта>:<идентификатор_субъекта>","<тип_субъекта>:<идентификатор_субъекта>"]
}

    Где:

    • snapshot_schedule_id — идентификатор расписания.
    • role — назначаемая роль.
    • members — список типов и идентификаторов субъектов, которым назначается роль. Указывается в виде userAccount:<идентификатор_пользователя> или serviceAccount:<идентификатор_сервисного_аккаунта>.

    Более подробную информацию о параметрах ресурса yandex_compute_snapshot_schedule_iam_binding см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления и с помощью команды CLI:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

Воспользуйтесь методом REST API updateAccessBindings для ресурса SnapshotSchedule или вызовом gRPC API SnapshotSchedule/UpdateAccessBindings. В теле запроса в свойстве action укажите ADD, а в свойстве subject — тип и идентификатор пользователя.

Назначить несколько ролей

  1. В консоли управления выберите каталог, которому принадлежит расписание.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Снимки дисков.
  4. Перейдите на вкладку Расписания снимков.
  5. Выберите расписание из списка.
  6. Перейдите на вкладку Права доступа.
  7. Нажмите кнопку Назначить роли.
  8. В открывшемся окне выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к расписанию.
  9. Нажмите кнопку Добавить роль и выберите необходимые роли.
  10. Добавьте еще роль через кнопку Добавить роль.
  11. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Вы можете назначить несколько ролей с помощью команды set-access-bindings.

Внимание

Команда set-access-bindings полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

  2. Посмотрите описание команды CLI для назначения ролей на расписание снимков диска:

    yc compute snapshot-schedule set-access-bindings --help

  3. Назначьте роли:

    yc compute snapshot-schedule set-access-bindings <идентификатор_расписания> \
  --access-binding role=<роль>,subject=<тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --access-binding — назначаемая роль:

      • role — идентификатор назначаемой роли.
      • subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роли нескольким пользователям и сервисному аккаунту:

    yc compute snapshot-schedule set-access-bindings my-schedule \
  --access-binding role=editor,subject=userAccount:gfei8n54hmfh********
  --access-binding role=viewer,subject=userAccount:helj89sfj80a********
  --access-binding role=editor,subject=serviceAccount:ajel6l0jcb9s********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы назначить несколько ролей на расписание с помощью Terraform:

  1. Опишите в конфигурационном файле Terraform параметры ресурсов, которые необходимо создать:

    resource "yandex_compute_snapshot_schedule_iam_binding" "role-1" {
  snapshot_schedule_id = "<идентификатор_расписания>"
  role                 = "<роль_1>"
  members              = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

resource "yandex_compute_snapshot_schedule_iam_binding" "role-2" {
  snapshot_schedule_id = "<идентификатор_расписания>"
  role                 = "<роль_2>"
  members              = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

    Где:

    • snapshot_schedule_id — идентификатор расписания.
    • role — назначаемая роль.
    • members — список типов и идентификаторов субъектов, которым назначается роль. Указывается в виде userAccount:<идентификатор_пользователя> или serviceAccount:<идентификатор_сервисного_аккаунта>.

    Более подробную информацию о параметрах ресурса yandex_compute_snapshot_schedule_iam_binding см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    Проверить изменения можно в консоли управления и с помощью команды CLI:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

Воспользуйтесь методом REST API setAccessBindings для ресурса SnapshotSchedule или вызовом gRPC API SnapshotSchedule/SetAccessBindings.

Отозвать роль

  1. В консоли управления выберите каталог, которому принадлежит расписание.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Снимки дисков.
  4. Перейдите на вкладку Расписания снимков.
  5. Выберите расписание из списка.
  6. Перейдите на вкладку Права доступа.
  7. В строке нужного пользователя нажмите значок и выберите Изменить роли.
  8. Нажмите значок рядом с ролью, чтобы удалить ее.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли на расписание снимков диска:

    yc compute snapshot-schedule remove-access-binding --help

  2. Посмотрите, кому и какие роли назначены на ресурс:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

  3. Чтобы отозвать права доступа, выполните команду:

    yc compute snapshot-schedule remove-access-binding <идентификатор_расписания> \
  --role <идентификатор_роли> \
  --subject <тип_субъекта>:<идентификатор_субъекта>

    Где:

    • --role — идентификатор роли, которую надо отозвать.
    • --subjectсубъект, у которого отзывается роль.

    Например, чтобы отозвать роль viewer у пользователя с идентификатором ajel6l0jcb9s******** на расписание:

    yc compute snapshot-schedule remove-access-binding my-schedule \
  --role viewer \
  --subject userAccount:ajel6l0jcb9s********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы отозвать роль, назначенную на расписание снимков диска с помощью Terraform:

  1. Откройте файл конфигурации Terraform и удалите фрагмент с описанием роли:

    ...
resource "yandex_compute_snapshot_schedule_iam_binding" "sa-access" {
  snapshot_schedule_id = "<идентификатор_расписания>"
  role                 = "<роль>"
  members              = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

  2. Примените изменения:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    Проверить изменения можно в консоли управления и с помощью команды CLI:

    yc compute snapshot-schedule list-access-bindings <идентификатор_расписания>

Чтобы отозвать роли на расписание снимков диска, воспользуйтесь методом REST API [updateAccessBindings](../../api-ref/SnapshotSchedule /updateAccessBindings.md) для ресурса SnapshotSchedule или вызовом gRPC API SnapshotScheduleService/UpdateAccessBindings. В теле запроса в свойстве action укажите REMOVE, а в свойстве subject — тип и идентификатор пользователя.

Предыдущая
Настроить права доступа к снимку диска
Следующая
Удалить расписание снимков