Связаться с намиПодключиться

Просмотр назначенных ролей

Статья создана
Обновлена 21 апреля 2025 г.

Чтобы посмотреть права аккаунта на ресурс, необходимо получить список ролей, назначенных на этот ресурс и на родительские ресурсы. Назначенные роли наследуются от родительского ресурса дочернему. Например, если вы хотите узнать, какие права у аккаунта на каталог, посмотрите роли:

  1. На этот каталог.
  2. На облако, которому принадлежит каталог.
  3. На организацию, которой принадлежит облако.

Список наследованных ролей на каталог или облако можно посмотреть в консоли управления в разделе Права доступа соответствующего каталога или облака.

Узнайте, на какие ресурсы можно назначать роли.

Чтобы посмотреть назначенные роли:

Чтобы посмотреть роли пользователя с аккаунтом на Яндексе, федеративного пользователя или сервисного аккаунта на облако:

  1. На панели слева выберите облако.
  2. Перейдите на вкладку Права доступа.
  3. Найдите в списке нужного пользователя. Назначенные ему роли указаны в столбце Роли.

Чтобы посмотреть роли сервисного аккаунта на каталог и его дочерние ресурсы:

  1. В консоли управления перейдите в каталог, которому принадлежит сервисный аккаунт.
  2. В списке сервисов выберите Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты.
  4. Роли сервисного аккаунта перечислены в поле Роли в каталоге.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Получите идентификатор аккаунта:

    1. Инструкция для сервисных аккаунтов.
    2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.

  2. Получите идентификатор или имя желаемого ресурса.

  3. Посмотрите, какие роли назначены на ресурс:

    yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>

    Где:

    • <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например resource-manager.
    • <категория_ресурса> — категория ресурса, например folder.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.

    Например, посмотрите кому и какие роли назначены на каталог default:

    yc resource-manager folder list-access-bindings default

    Результат:

    +---------------------+----------------+----------------------+
|       ROLE ID       |  SUBJECT TYPE  |      SUBJECT ID      |
+---------------------+----------------+----------------------+
| editor              | serviceAccount | ajepg0mjas06******** |
| viewer              | userAccount    | aje6o61dvog2******** |
+---------------------+----------------+----------------------+

    В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы All users и All authenticated users.

  4. Повторите предыдущие два шага для всех родительских ресурсов.

  1. Получите идентификатор аккаунта:

    1. Инструкция для сервисных аккаунтов.
    2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.

  2. Получите идентификатор или имя желаемого ресурса.

  3. Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API listAccessBindings. Например, чтобы посмотреть роли на каталог b1gvmob95yys********:

    export FOLDER_ID=b1gvmob95yys********
export IAM_TOKEN=CggaATEVAgA...
curl \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"

    Результат:

    {
  "accessBindings": [
  {
    "subject": {
      "id": "ajei8n54hmfh********",
      "type": "userAccount"
    },
    "roleId": "editor"
  }
  ]
}

    В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы All users и All authenticated users.

  4. Повторите предыдущие два шага для всех родительских ресурсов.

См. также

Предыдущая
Назначение роли
Следующая
Отзыв роли