Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

1. Назначьте роль для группы:

   yc organization-manager organization add-access-binding \
     --subject group:<идентификатор_группы> \
     --role <идентификатор_роли> \
     --organization-users <идентификатор_организации> \
     --federation-users <идентификатор_федерации>
   

   Для того чтобы назначить роль одной из системных групп, вместо параметра --subject используйте параметр --organization-users <идентификатор_организации> или --federation-users <идентификатор_федерации>. Передайте в нем соответственно идентификатор организации или федерации удостоверений, всем пользователям, которым вы хотите назначить роль.

   Вы также можете назначить роль системной группе с помощью параметра --subject. Для этого передайте в нем идентификатор субъекта, соответствующий выбранной системной группе.

2. Проверьте, что запрошенные права были выданы:

   yc organization-manager organization list-access-bindings <идентификатор_организации>
   

   Ответ содержит список всех ролей, выданных пользователям и группам в организации:

   +------------------------------------------+--------------+----------------------+
   |                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
   +------------------------------------------+--------------+----------------------+
   | organization-manager.admin               | userAccount  | ajev1p2345lj******** |
   | organization-manager.organizations.owner | userAccount  | ajev1p2345lj******** |
   | editor                                   | group        | ajev1p2345lj******** |
   | viewer                                   | group        | ajev1p2345lj******** |
   +------------------------------------------+--------------+----------------------+
   

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:

   resource "yandex_organizationmanager_organization_iam_member" "users-editors" {
     organization_id = "<идентификатор_облака>"
     role            = "<идентификатор_роли>"
     member          = "group:<идентификатор_группы>"
   }
   

   Где:

   • organization_id — идентификатор облака. Обязательный параметр.

   • role — назначаемая роль. Обязательный параметр.

   • member — группа, которой назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

     Для того чтобы назначить роль одной из системных групп, в параметре member укажите:

     • system:group:organization:<идентификатор_организации>:users — чтобы назначить роль системной группе All users in organization X;
     • system:group:federation:<идентификатор_федерации>:users — чтобы назначить роль системной группе All users in federation N.

   Более подробную информацию о параметрах ресурса yandex_organizationmanager_organization_iam_member см. в документации провайдера.

2. Создайте ресурсы:

   1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

   2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      

   3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

   4. Примените изменения конфигурации:

      terraform apply
      

   5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

   После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

   yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>