Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы
  1. Пошаговые инструкции
  2. Роли
  3. Отзыв роли

Отзыв роли на ресурс

Статья создана
Yandex Cloud
Обновлена 21 апреля 2025 г.

Если вы хотите запретить субъекту доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Отозвать рольОтозвать роль

Консоль управления
CLI
Terraform
API
  • Чтобы отозвать роль в каталоге и его дочерних ресурсах:

    1. На стартовой странице консоли управления выберите каталог.
    2. Перейдите на вкладку Права доступа.
    3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
    4. Нажмите кнопку Изменить роли.
    5. Нажмите значок напротив роли, которую хотите отозвать.
    6. Нажмите кнопку Сохранить.
  • Чтобы отозвать роль в облаке:

    1. На стартовой странице консоли управления выберите облако.
    2. Перейдите на вкладку Права доступа.
    3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
    4. Нажмите кнопку Изменить роли.
    5. Нажмите значок напротив роли, которую хотите отозвать.
    6. Нажмите кнопку Сохранить.
  • Чтобы отозвать сразу все роли в каталоге или облаке:

    1. На стартовой странице консоли управления выберите каталог или облако.
    2. Перейдите на вкладку Права доступа.
    3. Выберите пользователя в списке и нажмите значок напротив имени пользователя.
    4. Если вы хотите отозвать все роли пользователя в облаке — нажмите кнопку Отозвать роли и подтвердите отзыв.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

  1. Посмотрите, какие роли назначены на ресурс:

    yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>
    

    Где:

    • <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например resource-manager.
    • <категория_ресурса> — категория ресурса, например folder.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.

    Например, посмотрите кому и какие роли назначены на каталог default:

    yc resource-manager folder list-access-bindings default
    

    Результат:

    +---------------------+----------------+----------------------+
    |       ROLE ID       |  SUBJECT TYPE  |      SUBJECT ID      |
    +---------------------+----------------+----------------------+
    | editor              | serviceAccount | ajepg0mjas06******** |
    | viewer              | userAccount    | aje6o61dvog2******** |
    +---------------------+----------------+----------------------+
    
  2. Чтобы удалить права доступа, выполните команду:

    yc <имя_сервиса> <категория_ресурса> remove-access-binding <имя_или_идентификатор_ресурса> \
        --role <идентификатор_роли> \
        --subject <тип_субъекта>:<идентификатор_субъекта>
    

    Где:

    • --role — идентификатор роли, которую надо отозвать, например resource-manager.clouds.owner.
    • <тип_субъекта> — тип субъекта, у которого отзывается роль.
    • <идентификатор_субъекта> — идентификатор субъекта.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Чтобы отозвать роль у субъекта на ресурс, найдите в конфигурационном файле описание ресурса:

    resource "yandex_resourcemanager_cloud_iam_binding" "admin" {
        cloud_id    = "<идентификатор_облака>"
        role        = "<роль>"
        members     = [
        "serviceAccount:<идентификатор_сервисного_аккаунта>",
        "userAccount:<идентификатор_пользователя>",
        ]
    }
    
  2. Удалите запись с информацией о субъекте, у которого нужно отозвать права, из перечня пользователей members.

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_binding, см. в документации провайдера.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
    2. Выполните проверку с помощью команды:
    terraform plan
    

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager cloud list-access-bindings <имя_или_идентификатор_облака>
    

Чтобы отозвать роль у субъекта на ресурс, удалите соответствующие права доступа:

  1. Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API listAccessBindings. Например, чтобы посмотреть роли на каталог b1gvmob95yys********:

    export FOLDER_ID=b1gvmob95yys********
    export IAM_TOKEN=CggaATEVAgA...
    curl \
      --header "Authorization: Bearer ${IAM_TOKEN}" \
      "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"
    

    Результат:

    {
      "accessBindings": [
      {
        "subject": {
          "id": "ajei8n54hmfh********",
          "type": "userAccount"
        },
        "roleId": "editor"
      }
      ]
    }
    
  2. Сформируйте тело запроса, например в файле body.json. В теле запроса укажите, какие назначенные права доступа необходимо удалить. Например, отзовите у пользователя ajei8n54hmfh******** роль editor:

    body.json:

    {
        "accessBindingDeltas": [{
            "action": "REMOVE",
            "accessBinding": {
                "roleId": "editor",
                "subject": {
                    "id": "ajei8n54hmfh********",
                    "type": "userAccount"
                    }
                }
            }
        ]
    }
    
  3. Отзовите роль, удалив назначенные права доступа:

    export FOLDER_ID=b1gvmob95yys********
    export IAM_TOKEN=CggaAT********
    curl \
      --request POST \
      --header "Content-Type: application/json" \
      --header "Authorization: Bearer ${IAM_TOKEN}" \
      --data '@body.json' \
      "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
    

Была ли статья полезна?

Предыдущая
Просмотр назначенных ролей
Следующая
Получение IAM-токена для аккаунта на Яндексе
Проект Яндекса
© 2025 ООО «Яндекс.Облако»