Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Создание политики авторизации для ресурса

Статья создана
Обновлена 16 июня 2026 г.

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики авторизации создаются на основе шаблонов и дополняют систему ролей, делая управление доступом более гибким.

Вы можете создать политику авторизации для каталога, облака или организации.

Примечание

Управлять политиками авторизации может пользователь, которому назначена одна из следующих ролей:

Создать политику авторизации для каталога

Чтобы создать для каталога политику авторизации на основе шаблона без параметров:

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.

  2. Выполните команду:

    yc resource-manager folder bind-access-policy \
  --name <имя_каталога> \
  --access-policy-template-id=<идентификатор_шаблона_политики>

    Где:

    • --name — имя каталога, для которого вы хотите создать политику. Вместо имени каталога вы можете указать его идентификатор в параметре --id.
    • --access-policy-template-id — идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанного каталога.

  3. Убедитесь, что политика была создана.

Воспользуйтесь методом REST API bindAccessPolicy для ресурса Folder или вызовом gRPC API FolderService/BindAccessPolicy.

Созданная политика авторизации будет применяться ко всем ресурсам в заданном каталоге.

Создать политику авторизации для облака

Чтобы создать для облака политику авторизации на основе шаблона без параметров:

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.

  2. Выполните команду:

    yc resource-manager cloud bind-access-policy \
  --name <имя_облака> \
  --access-policy-template-id=<идентификатор_шаблона_политики>

    Где:

    • --name — имя облака, для которого вы хотите создать политику. Вместо имени облака вы можете указать его идентификатор в параметре --id.
    • --access-policy-template-id — идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанного облака.

  3. Убедитесь, что политика была создана.

Воспользуйтесь методом REST API bindAccessPolicy для ресурса Cloud или вызовом gRPC API CloudService/BindAccessPolicy.

Созданная политика авторизации будет применяться к ресурсам внутри всех каталогов в пределах заданного облака.

Создать политику авторизации для организации

Чтобы создать для организации политику авторизации на основе шаблона без параметров:

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.

  2. Выполните команду:

    yc organization-manager organization bind-access-policy \
  --name <имя_организации> \
  --access-policy-template-id=<идентификатор_шаблона_политики>

    Где:

    • --name — имя организации, для которой вы хотите создать политику. Вместо имени организации вы можете указать ее идентификатор в параметре --id.
    • --access-policy-template-id — идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанной организации.

  3. Убедитесь, что политика была создана.

Воспользуйтесь методом REST API bindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/BindAccessPolicy.

Созданная политика авторизации будет применяться к ресурсам внутри всех облаков в пределах заданной организации.

Все шаблоны политик авторизации без параметров назначаются на ресурсы одинаково. О том, как назначить на ресурс шаблон политики с параметрами, читайте в разделе Примеры.

Примеры

Создать политику авторизации для каталога на основе шаблона serverless.containers.restrictNetworkAccess

Политика serverless.containers.restrictNetworkAccess запрещает вызов контейнеров Yandex Serverless Containers и управление ими с любых адресов, за исключением заданных явно IP-адресов или облачных сетей Yandex Virtual Private Cloud.

Чтобы назначить шаблон политики serverless.containers.restrictNetworkAccess на каталог:

yc resource-manager folder bind-access-policy \
  --name my-folder \
  --access-policy-template-id=serverless.containers.restrictNetworkAccess \
  --parameters '"allowed_src_ips=[<диапазон_адресов_1>,<диапазон_адресов_2>,<диапазон_адресов_3>]","allowed_vpc_network_ids=[<идентификатор_сети_1>,<идентификатор_сети_2>,<идентификатор_сети_3>]"'

Где:

  • --parameters — параметры политики авторизации:

    Внимание

    Ограничения, задаваемые в параметрах, применяются с логикой ИЛИ.

    • allowed_src_ips — список IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых будет разрешен вызов контейнеров и управление ими.

      Если вы не хотите задавать список IP-адресов или диапазонов IP-адресов, передайте в параметре пустой список: "allowed_src_ips=[]".

    • allowed_vpc_network_ids — список идентификаторов облачных сетей, в которых разрешен вызов контейнеров и управление ими через настроенное сервисное подключение.

      Если вы не хотите задавать список идентификаторов облачных сетей, передайте в параметре пустой список: "allowed_vpc_network_ids=[]".

Полезные ссылки

Предыдущая
Получение списка шаблонов политик
Следующая
Просмотр политик, созданных для ресурса