Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Страница сервиса
Yandex Identity and Access Management
Документация
Yandex Identity and Access Management
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы
  1. Пошаговые инструкции
  2. Роли
  3. Просмотр назначенных ролей

Просмотр назначенных ролей

Статья создана
Yandex Cloud
Обновлена 21 апреля 2025 г.

Чтобы посмотреть права аккаунта на ресурс, необходимо получить список ролей, назначенных на этот ресурс и на родительские ресурсы. Назначенные роли наследуются от родительского ресурса дочернему. Например, если вы хотите узнать, какие права у аккаунта на каталог, посмотрите роли:

  1. На этот каталог.
  2. На облако, которому принадлежит каталог.
  3. На организацию, которой принадлежит облако.

Список наследованных ролей на каталог или облако можно посмотреть в консоли управления в разделе Права доступа соответствующего каталога или облака.

Узнайте, на какие ресурсы можно назначать роли.

Чтобы посмотреть назначенные роли:

Консоль управления
CLI
API

Чтобы посмотреть роли пользователя с аккаунтом на Яндексе, федеративного пользователя или сервисного аккаунта на облако:

  1. На панели слева выберите облако.
  2. Перейдите на вкладку Права доступа.
  3. Найдите в списке нужного пользователя. Назначенные ему роли указаны в столбце Роли.

Чтобы посмотреть роли сервисного аккаунта на каталог и его дочерние ресурсы:

  1. В консоли управления перейдите в каталог, которому принадлежит сервисный аккаунт.
  2. В списке сервисов выберите Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты.
  4. Роли сервисного аккаунта перечислены в поле Роли в каталоге.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Получите идентификатор аккаунта:

    1. Инструкция для сервисных аккаунтов.
    2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.
  2. Получите идентификатор или имя желаемого ресурса.

  3. Посмотрите, какие роли назначены на ресурс:

    yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>
    

    Где:

    • <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например resource-manager.
    • <категория_ресурса> — категория ресурса, например folder.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.

    Например, посмотрите кому и какие роли назначены на каталог default:

    yc resource-manager folder list-access-bindings default
    

    Результат:

    +---------------------+----------------+----------------------+
    |       ROLE ID       |  SUBJECT TYPE  |      SUBJECT ID      |
    +---------------------+----------------+----------------------+
    | editor              | serviceAccount | ajepg0mjas06******** |
    | viewer              | userAccount    | aje6o61dvog2******** |
    +---------------------+----------------+----------------------+
    

    В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы All users и All authenticated users.

  4. Повторите предыдущие два шага для всех родительских ресурсов.

  1. Получите идентификатор аккаунта:

    1. Инструкция для сервисных аккаунтов.
    2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.
  2. Получите идентификатор или имя желаемого ресурса.

  3. Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API listAccessBindings. Например, чтобы посмотреть роли на каталог b1gvmob95yys********:

    export FOLDER_ID=b1gvmob95yys********
    export IAM_TOKEN=CggaATEVAgA...
    curl \
      --header "Authorization: Bearer ${IAM_TOKEN}" \
      "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"
    

    Результат:

    {
      "accessBindings": [
      {
        "subject": {
          "id": "ajei8n54hmfh********",
          "type": "userAccount"
        },
        "roleId": "editor"
      }
      ]
    }
    

    В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны публичные группы All users и All authenticated users.

  4. Повторите предыдущие два шага для всех родительских ресурсов.

См. такжеСм. также

  • Отзыв роли на ресурс
  • Назначение роли

Была ли статья полезна?

Предыдущая
Назначение роли
Следующая
Отзыв роли
Проект Яндекса
© 2025 ООО «Яндекс.Облако»