Отзыв роли на ресурс
Если вы хотите запретить субъекту доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Отозвать роль
-
Чтобы отозвать роль в каталоге и его дочерних ресурсах:
- На стартовой странице
консоли управления выберите каталог. - Перейдите на вкладку Права доступа.
- Выберите пользователя в списке и нажмите значок
напротив имени пользователя. - Нажмите кнопку Изменить роли.
- Нажмите значок
напротив роли, которую хотите отозвать. - Нажмите кнопку Сохранить.
- На стартовой странице
-
Чтобы отозвать роль в облаке:
- На стартовой странице
консоли управления выберите облако. - Перейдите на вкладку Права доступа.
- Выберите пользователя в списке и нажмите значок
напротив имени пользователя. - Нажмите кнопку Изменить роли.
- Нажмите значок
напротив роли, которую хотите отозвать. - Нажмите кнопку Сохранить.
- На стартовой странице
-
Чтобы отозвать сразу все роли в каталоге или облаке:
- На стартовой странице
консоли управления выберите каталог или облако. - Перейдите на вкладку Права доступа.
- Выберите пользователя в списке и нажмите значок
напротив имени пользователя. - Если вы хотите отозвать все роли пользователя в облаке — нажмите кнопку Отозвать роли и подтвердите отзыв.
- На стартовой странице
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:
-
Посмотрите, какие роли назначены на ресурс:
yc <имя_сервиса> <категория_ресурса> list-access-bindings <имя_или_идентификатор_ресурса>
Где:
<имя_сервиса>
— имя сервиса, которому принадлежит ресурс, напримерresource-manager
.<категория_ресурса>
— категория ресурса, напримерfolder
.<имя_или_идентификатор_ресурса>
— имя или идентификатор ресурса. Вы можете указать ресурс по имени или идентификатору.
Например, посмотрите кому и какие роли назначены на каталог
default
:yc resource-manager folder list-access-bindings default
Результат:
+---------------------+----------------+----------------------+ | ROLE ID | SUBJECT TYPE | SUBJECT ID | +---------------------+----------------+----------------------+ | editor | serviceAccount | ajepg0mjas06******** | | viewer | userAccount | aje6o61dvog2******** | +---------------------+----------------+----------------------+
-
Чтобы удалить права доступа, выполните команду:
yc <имя_сервиса> <категория_ресурса> remove-access-binding <имя_или_идентификатор_ресурса> \ --role <идентификатор_роли> \ --subject <тип_субъекта>:<идентификатор_субъекта>
Где:
--role
— идентификатор роли, которую надо отозвать, напримерresource-manager.clouds.owner
.<тип_субъекта>
— тип субъекта, у которого отзывается роль.<идентификатор_субъекта>
— идентификатор субъекта.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Чтобы отозвать роль у субъекта на ресурс, найдите в конфигурационном файле описание ресурса:
resource "yandex_resourcemanager_cloud_iam_binding" "admin" { cloud_id = "<идентификатор_облака>" role = "<роль>" members = [ "serviceAccount:<идентификатор_сервисного_аккаунта>", "userAccount:<идентификатор_пользователя>", ] }
-
Удалите запись с информацией о субъекте, у которого нужно отозвать права, из перечня пользователей
members
.Более подробную информацию о параметрах ресурса
yandex_resourcemanager_cloud_iam_binding
, см. в документации провайдера . -
Проверьте корректность конфигурационных файлов.
- В командной строке перейдите в папку, где вы создали конфигурационный файл.
- Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply
-
Подтвердите создание ресурсов: введите в терминал слово
yes
и нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления
или с помощью команды CLI:yc resource-manager cloud list-access-bindings <имя_или_идентификатор_облака>
-
Чтобы отозвать роль у субъекта на ресурс, удалите соответствующие права доступа:
-
Посмотрите, кому и какие роли назначены на ресурс с помощью метода REST API
listAccessBindings
. Например, чтобы посмотреть роли на каталогb1gvmob95yys********
:export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaATEVAgA... curl \ --header "Authorization: Bearer ${IAM_TOKEN}" \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"
Результат:
{ "accessBindings": [ { "subject": { "id": "ajei8n54hmfh********", "type": "userAccount" }, "roleId": "editor" } ] }
-
Сформируйте тело запроса, например в файле
body.json
. В теле запроса укажите, какие назначенные права доступа необходимо удалить. Например, отзовите у пользователяajei8n54hmfh********
рольeditor
:body.json:
{ "accessBindingDeltas": [{ "action": "REMOVE", "accessBinding": { "roleId": "editor", "subject": { "id": "ajei8n54hmfh********", "type": "userAccount" } } } ] }
-
Отзовите роль, удалив назначенные права доступа:
export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaAT******** curl \ --request POST \ --header "Content-Type: application/json" \ --header "Authorization: Bearer ${IAM_TOKEN}" \ --data '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"