Системные группы
Системная группа — группа пользователей (субъектов), на которую можно назначать роли. В Yandex Cloud существует два типа системных групп: All users in organization X и All users in federation N. Эти группы позволяют предоставить доступ к вашим ресурсам для заданной группы пользователей, но только на те операции, которые позволяет выполнять назначенная роль. В системные группы не входят сервисные аккаунты.
Системные группы являются динамическими: при добавлении в организацию или федерацию нового пользователя он автоматически получает все права, назначенные на соответствующую организацию или федерацию. При удалении пользователя из организации или федерации, пользователь автоматически такие права теряет.
Небезопасно назначать системным группам роли с широким набором разрешений, такие как editor или admin.
All users in organization X
Системная группа All users in organization X — это все пользователи организации X, к которой относится группа.
При назначении роли системной группе All users in organization X с помощью CLI, Terraform и API используйте идентификатор субъекта group:organization:<идентификатор_организации>:users, где <идентификатор_организации> — уникальный идентификатор, присвоенный организации X.
All users in federation N
Системная группа All users in federation N — это все пользователи федерации удостоверений N, к которой относится группа.
При назначении роли системной группе All users in federation N с помощью CLI, Terraform и API используйте идентификатор субъекта group:federation:<идентификатор_федерации>:users, где <идентификатор_федерации> — уникальный идентификатор, присвоенный федерации удостоверений N.