Связаться с намиПодключиться

Настройка прав доступа к симметричному ключу шифрования

Статья создана
Обновлена 17 октября 2024 г.

Вы можете предоставить пользователю, сервисному аккаунту или группе пользователей доступ к симметричному ключу. Для этого назначьте роли на ключ. Чтобы выбрать нужные, узнайте, какие роли действуют в сервисе.

Назначить роль

  1. В консоли управления выберите каталог, в котором находится секрет.
  2. В списке сервисов выберите Key Management Service.
  3. На панели слева выберите Симметричные ключи.
  4. Нажмите на имя нужного ключа.
  5. Перейдите в раздел Права доступа и нажмите кнопку Назначить роли.
  6. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к ключу.
  7. Нажмите кнопку Добавить роль и выберите необходимые роли.
  8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы назначить роль на симметричный ключ:

  1. Посмотрите описание команды CLI для назначения роли:

    yc kms symmetric-key add-access-binding --help

  2. Получите список симметричных ключей вместе с их идентификаторами:

    yc kms symmetric-key list

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  4. С помощью одной из команд ниже назначьте роль:

    • Пользователю:

      yc kms symmetric-key add-access-binding \
   --id <идентификатор_ключа> \
   --role <роль> \
   --user-account-id <идентификатор_пользователя>

    • Федеративному пользователю:

      yc kms symmetric-key add-access-binding \
   --id <идентификатор_ключа> \
   --role <роль> \
   --subject federatedUser:<идентификатор_пользователя>

    • Сервисному аккаунту:

      yc kms symmetric-key add-access-binding \
   --id <идентификатор_ключа> \
   --role <роль> \
   --service-account-id <идентификатор_сервисного_аккаунта>

    • Группе пользователей:

      yc kms symmetric-key add-access-binding \
   --id <идентификатор_ключа> \
   --role <роль> \
   --subject group:<идентификатор_группы>

Воспользуйтесь методом updateAccessBindings для ресурса SymmetricKey или вызовом gRPC API SymmetricKeyService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить несколько ролей

  1. В консоли управления выберите каталог, в котором находится секрет.
  2. В списке сервисов выберите Key Management Service.
  3. На панели слева выберите Симметричные ключи.
  4. Нажмите на имя нужного ключа.
  5. Перейдите в раздел Права доступа и нажмите кнопку Назначить роли.
  6. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к ключу.
  7. Нажмите кнопку Добавить роль и выберите необходимые роли.
  8. Нажмите кнопку Сохранить.

Внимание

Команда set-access-bindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы назначить несколько ролей на симметричный ключ шифрования:

  1. Убедитесь, что на симметричный ключ не назначены роли, которые вы не хотите потерять:

    yc kms symmetric-key list-access-bindings \
   --id <идентификатор_ключа>

  2. Посмотрите описание команды CLI для назначения ролей:

    yc kms symmetric-key set-access-bindings --help

  3. Получите список симметричных ключей шифрования вместе с их идентификаторами:

    yc kms symmetric-key list

  4. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.

  5. С помощью одной из команд ниже назначьте роли:

    • Пользователю с аккаунтом на Яндексе:

      yc kms symmetric-key set-access-bindings \
   --id <идентификатор_ключа> \
   --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>

    • Федеративному пользователю:

      yc kms symmetric-key set-access-bindings \
   --id <идентификатор_ключа> \
   --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>

    • Сервисному аккаунту:

      yc kms symmetric-key set-access-bindings \
   --id <идентификатор_ключа> \
   --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>

    • Группе пользователей:

      yc kms symmetric-key set-access-bindings \
   --id <идентификатор_ключа> \
   --access-binding role=<роль>,subject=group:<идентификатор_группы>

    Для каждой роли передайте отдельный флаг --access-binding. Пример:

    yc kms symmetric-key set-access-bindings \
  --id <идентификатор_ключа> \
  --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>

Внимание

Метод setAccessBindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Воспользуйтесь методом setAccessBindings для ресурса SymmetricKey или вызовом gRPC API SymmetricKeyService/SetAccessBindings. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:

  • Роль в параметре accessBindings[].roleId.
  • Идентификатор субъекта, на кого назначаются роли, в параметре accessBindings[].subject.id.
  • Тип субъекта, на кого назначаются роли, в параметре accessBindings[].subject.type.
Предыдущая
Шифрование данных
Следующая
Ключевая пара шифрования