Отзыв роли на ресурс

Статья создана

Обновлена 7 октября 2024 г.

Если вы хотите запретить субъекту доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Отозвать роль

Консоль управления

CLI

Terraform

API

Чтобы отозвать роль в каталоге и его дочерних ресурсах:
1. На стартовой странице консоли управления выберите каталог.
2. Перейдите на вкладку Права доступа.
3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
4. Нажмите кнопку Изменить роли.
5. Нажмите значок напротив роли, которую хотите отозвать.
6. Нажмите кнопку Сохранить.
Чтобы отозвать роль в облаке:
1. На стартовой странице консоли управления выберите облако.
2. Перейдите на вкладку Права доступа.
3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
4. Нажмите кнопку Изменить роли.
5. Нажмите значок напротив роли, которую хотите отозвать.
6. Нажмите кнопку Сохранить.
Чтобы отозвать сразу все роли в каталоге или облаке:
1. На стартовой странице консоли управления выберите каталог или облако.
2. Перейдите на вкладку Права доступа.
3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
4. Если вы хотите отозвать все роли пользователя в облаке — нажмите кнопку Отозвать роли и подтвердите отзыв.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

Посмотрите, какие роли назначены на ресурс:
```
yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>
```
Где:
- <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например resource-manager.
- <категория_ресурса> — категория ресурса, например folder.
- <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.
Например, посмотрите кому и какие роли назначены на каталог default:
```
yc resource-manager folder list-access-bindings default
```
Результат:
```
+---------------------+----------------+----------------------+
|       ROLE ID       |  SUBJECT TYPE  |      SUBJECT ID      |
+---------------------+----------------+----------------------+
| editor              | serviceAccount | ajepg0mjas06******** |
| viewer              | userAccount    | aje6o61dvog2******** |
+---------------------+----------------+----------------------+
```
Чтобы удалить права доступа, выполните команду:
```
yc <имя_сервиса> <категория_ресурса> remove-access-binding <имя_или_идентификатор_ресурса> \
    --role <идентификатор_роли> \
    --subject <тип_субъекта>:<идентификатор_субъекта>
```
Где:
- --role — идентификатор роли, которую надо отозвать, например resource-manager.clouds.owner.
- <тип_субъекта> — тип субъекта, у которого отзывается роль.
- <идентификатор_субъекта> — идентификатор субъекта.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы отозвать роль у субъекта на ресурс, найдите в конфигурационном файле описание ресурса:

resource "yandex_resourcemanager_cloud_iam_binding" "admin" {
    cloud_id    = "<идентификатор_облака>"
    role        = "<роль>"
    members     = [
    "serviceAccount:<идентификатор_сервисного_аккаунта>",
    "userAccount:<идентификатор_пользователя>",
    ]
}

Удалите запись с информацией о субъекте, у которого нужно отозвать права, из перечня пользователей members.

Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_binding, см. в документации провайдера.
Проверьте корректность конфигурационных файлов.
1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
2. Выполните проверку с помощью команды:
```
terraform plan
```
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
Разверните облачные ресурсы.
1. Если в конфигурации нет ошибок, выполните команду:
```
terraform apply
```
2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:
```
yc resource-manager cloud list-access-bindings <имя_или_идентификатор_облака>
```

Чтобы отозвать роль у субъекта на ресурс, удалите соответствующие права доступа:

Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API listAccessBindings. Например, чтобы посмотреть роли на каталог b1gvmob95yys********:

export FOLDER_ID=b1gvmob95yys********
export IAM_TOKEN=CggaATEVAgA...
curl \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"

Результат:

{
  "accessBindings": [
  {
    "subject": {
      "id": "ajei8n54hmfh********",
      "type": "userAccount"
    },
    "roleId": "editor"
  }
  ]
}

Сформируйте тело запроса, например в файле body.json. В теле запроса укажите, какие назначенные права доступа необходимо удалить. Например, отзовите у пользователя ajei8n54hmfh******** роль editor:

body.json:

{
    "accessBindingDeltas": [{
        "action": "REMOVE",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "ajei8n54hmfh********",
                "type": "userAccount"
                }
            }
        }
    ]
}

Отзовите роль, удалив назначенные права доступа:

export FOLDER_ID=b1gvmob95yys********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Отзыв роли на ресурс

Отозвать рольОтозвать роль

Была ли статья полезна?

Отозвать роль