Управление пользователями
С помощью инструкций в этом пункте чек-листа вы добавите пользователей к созданной организации, назначите администратора и определите роли пользователей.
Добавьте пользователя Яндекса
Если у сотрудников компании есть аккаунты на Яндексе (например, login@yandex.ru
), они могут использовать эти аккаунты для доступа к сервисам Yandex Cloud, подключенным к вашей организации.
Чтобы добавить аккаунты сотрудников в организацию:
-
Войдите в аккаунт
администратора организации. -
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Пользователи
. -
В правом верхнем углу нажмите кнопку Пригласить пользователей.
-
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение. Пользователи будут подключены к организации, как только примут отправленное им приглашение и выберут аккаунт для входа в организацию.
Чтобы получить доступ к сервисам, которые подключены к организации, приглашенным пользователям будет достаточно войти в свой аккаунт на Яндексе.
Добавьте федеративных пользователей
Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
Чтобы добавить пользователей федерации в организацию:
- Войдите в аккаунт
администратора организации. - Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел Пользователи
. - В правом верхнем углу нажмите
→ Добавить федеративных пользователей. - Выберите федерацию, из которой необходимо добавить пользователей.
- Перечислите Name ID пользователей, разделяя их переносами строк.
- Нажмите Добавить. Пользователи будут подключены к организации.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды добавления пользователей:
yc organization-manager federation saml add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
yc organization-manager federation saml add-user-accounts \ --name <имя_федерации> \ --name-ids <список_Name_ID_пользователей>
Воспользуйтесь методом REST API addUserAccounts для ресурса Federation или вызовом gRPC API FederationService/AddUserAccounts и передайте в запросе:
- Идентификатор федерации в параметре
federationId
. - Список Name ID пользователей в параметре
nameIds
.
Назначьте роли пользователям
- При необходимости добавьте нужного пользователя.
- В консоли управления
слева выберите облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Настроить доступ.
- В открывшемся окне выберите раздел Пользовательские аккаунты.
- Выберите пользователя из списка или воспользуйтесь поиском.
- Нажмите кнопку
Добавить роль и выберите роль в облаке. - Нажмите кнопку Сохранить.
- Выберите роль в справочнике ролей Yandex Cloud.
- Получите идентификатор пользователя.
- Назначьте роль с помощью команды:
yc <SERVICE-NAME> <RESOURCE> add-access-binding <RESOURCE-NAME>|<RESOURCE-ID> \
--role <ROLE-ID> \
--subject userAccount:<USER-ACCOUNT-ID>
где:
<SERVICE-NAME>
— имя сервиса, на чей ресурс назначается роль, напримерresource-manager
.<RESOURCE>
— категория ресурса, напримерcloud
.<RESOURCE-NAME>
— имя ресурса. Вы можете указать ресурс по имени или идентификатору.<RESOURCE-ID>
— идентификатор ресурса.<ROLE-ID>
— идентификатор роли, напримерresource-manager.clouds.owner
.<USER-ACCOUNT-ID>
— идентификатор аккаунта пользователя, которому назначается роль.
Например, назначьте роль viewer
на облако mycloud
:
$ yc resource-manager cloud add-access-binding mycloud \
--role viewer \
--subject userAccount:aje6o61dvog2h6g9a33s
Воспользуйтесь методом updateAccessBindings
для соответствующего ресурса.
- Выберите роль в справочнике ролей Yandex Cloud.
- Получите идентификатор пользователя.
- Сформируйте тело запроса, например в файле
body.json
. В свойствеaction
укажитеADD
, а в свойствеsubject
- типuserAccount
и идентификатор пользователя:
body.json:
{
"accessBindingDeltas": [{
"action": "ADD",
"accessBinding": {
"roleId": "editor",
"subject": {
"id": "gfei8n54hmfhuk5nogse",
"type": "userAccount"
}
}
}
]
}
-
Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором
b1gvmob95yys********
:export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaAT******** curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer ${IAM_TOKEN}" \ -d '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
Назначьте администратора
Чтобы дать пользователю права на управление организацией, назначьте ему одну из ролей:
-
organization-manager.admin
— роль администратора организации.Роль дает возможность редактировать настройки организации, создавать федерации удостоверений, добавлять и удалять пользователей, назначать других администраторов, управлять ресурсами облаков организации.
-
organization-manager.organizations.owner
— роль владельца организации.Роль дает возможность назначать владельцев организации, а также пользоваться всеми полномочиями администратора.
По умолчанию владелец организации — это пользователь, который ее создал.
-
organization-manager.viewer
— роль дает возможность просматривать настройки организации, но не редактировать их.