Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Container Registry
  • Начало работы
    • Все инструкции
    • Установить и настроить Docker
    • Аутентифицироваться в Container Registry
    • Сканирование Docker-образа на наличие уязвимостей
    • Создание триггера для реестра
      • Назначить роль
      • Просмотреть назначенные роли
      • Отозвать роль
  • Yandex Container Solution
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • Решение проблем
  • Вопросы и ответы
  • Обучающие курсы
  1. Пошаговые инструкции
  2. Работа с ролями
  3. Назначить роль

Назначить роль на ресурс

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 21 апреля 2025 г.

Чтобы предоставить доступ к ресурсу, назначьте субъекту роль на сам ресурс или на ресурс, от которого наследуются права доступа, например на каталог или облако. Актуальный список ресурсов, на которые можно назначать роли, доступен в разделе На какие ресурсы можно назначить роль.

Консоль управления
CLI
Terraform
API
  1. В консоли управления выберите каталог, в котором нужно назначить роль на ресурс.
  2. В списке сервисов выберите Container Registry.
  3. Выберите реестр или репозиторий в нем.
  4. Перейдите на вкладку Права доступа.
  5. Нажмите кнопку Назначить роли.
  6. В открывшемся окне выберите группу, пользователя или сервисный аккаунт.
  7. Нажмите кнопку Добавить роль и выберите роль из списка.
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Выполните команду, чтобы назначить роль на ресурс:

  • пользователю:

    yc container <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
      --role <роль> \
      --user-account-id <идентификатор_пользователя>
    
  • сервисному аккаунту:

    yc container <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
      --role <роль> \
      --service-account-id <идентификатор_сервисного_аккаунта>
    
  • всем авторизованным пользователям (публичная группа All authenticated users):

    yc container <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
      --role <роль> \
      --all-authenticated-users
    

    Где:

    • <ресурс> — тип ресурса registry (реестр) или repository (репозиторий);
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса, на который назначается роль;
    • <роль> — роль, которую необходимо назначить.

Пример

В примере ниже пользователю назначается роль container-registry.admin на реестр my-first-registry.

yc container registry add-access-binding my-first-registry \
  --role container-registry.admin \
  --user-account-id ajeugsk5ubk6********

Результат:

done (4s)

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле:

    • Параметры ресурса yandex_container_registry_iam_binding, чтобы назначить роль на реестр:

      resource "yandex_container_registry_iam_binding" "имя_реестра" {
        registry_id = "<идентификатор_реестра>"
        role        = "<роль>"
      
        members = [
          "userAccount:<идентификатор_пользователя>",
        ]
      }
      

      Где:

      • registry_id — идентификатор реестра, на который назначается роль. Чтобы узнать идентификатор реестра, получите список реестров в каталоге.
      • role — роль, которую необходимо назначить.
      • members — идентификатор пользователя, группы или сервисного аккаунта, которому назначается роль.
    • Параметры ресурса yandex_container_repository_iam_binding, чтобы назначить роль на репозиторий:

      resource "yandex_container_repository_iam_binding" "имя_репозитория" {
        repository_id = "<идентификатор_репозитория>"
        role          = "<роль>"
      
        members = [
          "serviceAccount:<идентификатор_сервисного_аккаунта>",
        ]
      }
      

      Где:

      • repository_id — идентификатор репозитория, на который назначается роль. Чтобы узнать идентификатор репозитория, получите список репозиториев в каталоге.
      • role — роль, которую необходимо назначить.
      • members — идентификатор пользователя, группы или сервисного аккаунта, которому назначается роль.

    Более подробную информацию о ресурсе yandex_container_repository_iam_binding, см. в документации провайдера.

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      
    3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply
      
    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

Проверить назначение роли можно в консоли управления или с помощью команды CLI:

  • Для реестра:

    yc container registry list-access-bindings <имя_или_идентификатор_реестра>
    
  • Для репозитория:

    yc container repository list-access-bindings <имя_или_идентификатор_репозитория>
    

Воспользуйтесь методом REST API updateAccessBindings для ресурса Registry или вызовом gRPC API RegistryService/UpdateAccessBindings.

Воспользуйтесь методом REST API updateAccessBindings для ресурса Repository или вызовом gRPC API RepositoryService/UpdateAccessBindings.

Была ли статья полезна?

Предыдущая
Создание триггера для реестра
Следующая
Просмотреть назначенные роли
Проект Яндекса
© 2025 ООО «Яндекс.Облако»