Управление пользователями

1. Войдите в консоль управления с учетной записью администратора облака.

2. В списке слева выберите нужное облако. Пример:

   

3. В правом верхнем углу нажмите на значок и выберите Пригласить пользователей.

4. Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например, login@yandex.ru).

   Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.

5. Нажмите Отправить приглашение.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

1. Посмотрите описание команды добавления пользователей:

   yc organization-manager federation saml add-user-accounts --help
   

2. Добавьте пользователей, перечислив их Name ID через запятую:

   yc organization-manager federation saml add-user-accounts \
      --name <имя_федерации> \
      --name-ids <список_Name_ID_пользователей>
   

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

   resource "yandex_organizationmanager_saml_federation_user_account" "some_account" {
     federation_id = "<идентификатор_федерации>"
     name_id       = "<Name_ID_пользователя>"
   }
   

   Где:

   • federation_id — идентификатор федерации для добавления пользователя.
   • name_id — Name ID пользователя.

   Более подробную информацию о параметрах ресурса yandex_organizationmanager_saml_federation_user_account см. в документации провайдера.

2. Создайте ресурсы:

   1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

   2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      

   3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

   4. Примените изменения конфигурации:

      terraform apply
      

   5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

   Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления или с помощью команды CLI:

   yc organization-manager federations saml \
     --organization-id <идентификатор_организации> list-user-accounts \
     --id <идентификатор_федерации>
   

Воспользуйтесь методом REST API addUserAccounts для ресурса Federation или вызовом gRPC API FederationService/AddUserAccounts и передайте в запросе:

• Идентификатор федерации в параметре federationId.
• Список Name ID пользователей в параметре nameIds.

1. Выберите роль в справочнике ролей Yandex Cloud.
2. Получите идентификатор пользователя.
3. Назначьте роль с помощью команды:

yc <SERVICE-NAME> <RESOURCE> add-access-binding <RESOURCE-NAME>|<RESOURCE-ID> \
  --role <ROLE-ID> \
  --subject userAccount:<USER-ACCOUNT-ID>

где:

• <SERVICE-NAME> — имя сервиса, на чей ресурс назначается роль, например resource-manager.
• <RESOURCE> — категория ресурса, например cloud.
• <RESOURCE-NAME> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
• <RESOURCE-ID> — идентификатор ресурса.
• <ROLE-ID> — идентификатор роли, например resource-manager.clouds.owner.
• <USER-ACCOUNT-ID> — идентификатор аккаунта пользователя, которому назначается роль.

Например, назначьте роль viewer на облако mycloud:

$ yc resource-manager cloud add-access-binding mycloud \
  --role viewer \
  --subject userAccount:aje6o61dvog2h6g9a33s

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

1. Выберите роль в справочнике ролей Yandex Cloud.
2. Получите идентификатор пользователя.
3. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип userAccount и идентификатор пользователя:

body.json:

{
  "accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
      "roleId": "editor",
      "subject": {
        "id": "gfei8n54hmfhuk5nogse",
        "type": "userAccount"
        }
      }
    }
  ]
}

1. Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором b1gvmob95yys********:

   export FOLDER_ID=b1gvmob95yys********
   export IAM_TOKEN=CggaAT********
   curl \
     --request POST \
     --header "Content-Type: application/json" \
     --header "Authorization: Bearer ${IAM_TOKEN}" \
     --data '@body.json' \
     "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"