Связаться с намиПодключиться

Настройка прав доступа к группе пользователей

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Чтобы выдать права на доступ к группе как ресурсу, назначьте субъектам нужные роли. Вы также можете выдать группе права на любой ресурс из списка.

Назначить роль

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием нужной группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы выдать права доступа на группу пользователей:

  1. Посмотрите описание команды CLI для назначения роли:

    yc organization-manager group add-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  4. С помощью команды yc organization-manager group add-access-binding назначьте роль:

    yc organization-manager group add-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group: <идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, которому назначается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Отозвать роль

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Чтобы отозвать определенные роли:

    1. В строке с нужным пользователем, сервисным аккаунтом или группой нажмите и выберите Настроить доступ.

    2. Нажмите напротив ролей, которые вы хотите отозвать.

    3. Нажмите Сохранить.

  5. Чтобы отозвать все роли, в строке с нужным пользователем, сервисным аккаунтом или группой нажмите , выберите Отозвать права доступа и подтвердите действие.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли:

    yc organization-manager group remove-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, у которых отзываете роль.

  4. С помощью команды yc organization-manager group remove-access-binding отзовите роль у объекта:

    yc organization-manager group remove-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group:<идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, у которого отзывается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение REMOVE в параметре accessBindingDeltas[].action, чтобы отозвать роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, у кого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, у которого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.
Предыдущая
Создание группы
Следующая
Назначение прав группе