Управление пользователями
С помощью инструкций в этом пункте чек-листа вы добавите пользователей к созданной организации, назначите администратора и определите роли пользователей.
Добавьте пользователя Яндекса
Если у сотрудников компании есть аккаунты на Яндексе (например, login@yandex.ru
), они могут использовать эти аккаунты для доступа к сервисам Yandex Cloud, подключенным к вашей организации.
Чтобы добавить аккаунты сотрудников в организацию:
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите кнопку Пригласить пользователей.
-
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение.
-
Войдите в консоль управления
с учетной записью администратора облака. -
В списке слева выберите нужное облако. Пример:
-
В правом верхнем углу нажмите на значок
и выберите Пригласить пользователей. -
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите Отправить приглашение.
Пользователи будут подключены к организации, как только примут отправленное им приглашение и выберут аккаунт для входа в организацию.
Чтобы получить доступ к сервисам, которые подключены к организации, приглашенным пользователям будет достаточно войти в свой аккаунт на Яндексе.
Добавьте федеративных пользователей
Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
Чтобы добавить пользователей федерации в организацию:
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите Ещё
и выберите Добавить федеративных пользователей. -
Выберите федерацию, из которой необходимо добавить пользователей.
-
Перечислите Name ID пользователей, разделяя их пробелами или переносами строк.
-
Нажмите Добавить. Пользователи будут подключены к организации.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды добавления пользователей:
yc organization-manager federation saml add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
yc organization-manager federation saml add-user-accounts \ --name <имя_федерации> \ --name-ids <список_Name_ID_пользователей>
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
resource "yandex_organizationmanager_saml_federation_user_account" "some_account" { federation_id = "<идентификатор_федерации>" name_id = "<Name_ID_пользователя>" }
Где:
federation_id
— идентификатор федерации для добавления пользователя.name_id
— Name ID пользователя.
Более подробную информацию о параметрах ресурса
yandex_organizationmanager_saml_federation_user_account
см. в документации провайдера . -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления
или с помощью команды CLI:yc organization-manager federations saml \ --organization-id <идентификатор_организации> list-user-accounts \ --id <идентификатор_федерации>
-
Воспользуйтесь методом REST API addUserAccounts для ресурса Federation или вызовом gRPC API FederationService/AddUserAccounts и передайте в запросе:
- Идентификатор федерации в параметре
federationId
. - Список Name ID пользователей в параметре
nameIds
.
Назначьте роли пользователям
- При необходимости добавьте нужного пользователя.
- В консоли управления
слева выберите облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Настроить доступ.
- В открывшемся окне выберите раздел Пользовательские аккаунты.
- Выберите пользователя из списка или воспользуйтесь поиском.
- Нажмите кнопку
Добавить роль и выберите роль в облаке. - Нажмите кнопку Сохранить.
- Выберите роль в справочнике ролей Yandex Cloud.
- Получите идентификатор пользователя.
- Назначьте роль с помощью команды:
yc <SERVICE-NAME> <RESOURCE> add-access-binding <RESOURCE-NAME>|<RESOURCE-ID> \
--role <ROLE-ID> \
--subject userAccount:<USER-ACCOUNT-ID>
где:
<SERVICE-NAME>
— имя сервиса, на чей ресурс назначается роль, напримерresource-manager
.<RESOURCE>
— категория ресурса, напримерcloud
.<RESOURCE-NAME>
— имя ресурса. Вы можете указать ресурс по имени или идентификатору.<RESOURCE-ID>
— идентификатор ресурса.<ROLE-ID>
— идентификатор роли, напримерresource-manager.clouds.owner
.<USER-ACCOUNT-ID>
— идентификатор аккаунта пользователя, которому назначается роль.
Например, назначьте роль viewer
на облако mycloud
:
$ yc resource-manager cloud add-access-binding mycloud \
--role viewer \
--subject userAccount:aje6o61dvog2h6g9a33s
Воспользуйтесь методом updateAccessBindings
для соответствующего ресурса.
- Выберите роль в справочнике ролей Yandex Cloud.
- Получите идентификатор пользователя.
- Сформируйте тело запроса, например в файле
body.json
. В свойствеaction
укажитеADD
, а в свойствеsubject
- типuserAccount
и идентификатор пользователя:
body.json:
{
"accessBindingDeltas": [{
"action": "ADD",
"accessBinding": {
"roleId": "editor",
"subject": {
"id": "gfei8n54hmfhuk5nogse",
"type": "userAccount"
}
}
}
]
}
-
Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором
b1gvmob95yys********
:export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaAT******** curl \ --request POST \ --header "Content-Type: application/json" \ --header "Authorization: Bearer ${IAM_TOKEN}" \ --data '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
Назначьте администратора
Чтобы дать пользователю права на управление организацией, назначьте ему одну из ролей:
-
organization-manager.admin
— роль администратора организации.Роль дает возможность редактировать настройки организации, создавать федерации удостоверений, добавлять и удалять пользователей, назначать других администраторов, управлять ресурсами облаков организации.
-
organization-manager.organizations.owner
— роль владельца организации.Роль дает возможность назначать владельцев организации, а также пользоваться всеми полномочиями администратора.
По умолчанию владелец организации — это пользователь, который ее создал.
-
organization-manager.viewer
— роль дает возможность просматривать настройки организации, но не редактировать их.