Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Настроить доступ к управлению группой

Статья создана
Улучшена
Обновлена 29 апреля 2026 г.

Вы можете предоставить доступ к группе пользователей:

Для этого назначьте роли на группу. Чтобы выбрать нужные, узнайте, какие роли действуют в сервисе.

Назначить роль

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием нужной группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

Чтобы выдать права доступа на группу пользователей:

  1. Посмотрите описание команды CLI для назначения роли:

    yc organization-manager group add-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  4. С помощью команды yc organization-manager group add-access-binding назначьте роль:

    yc organization-manager group add-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group:<идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, которому назначается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры назначаемых ролей:

    resource "yandex_organizationmanager_group_iam_binding" "editor" {
  group_id = "<идентификатор_группы>"
  role     = "<идентификатор_роли>"
  members  = [
    "userAccount:<идентификатор_пользователя>",
  ]
}

    Где:

    • group_idидентификатор группы пользователей.

    • role — роль, которую хотите назначить. Для каждой роли можно использовать только один yandex_organizationmanager_group_iam_binding.

    • members — массив идентификаторов пользователей, которым будет назначена роль:

      • userAccount:<идентификатор_пользователя> — идентификатор аккаунта пользователя на Яндексе или локального пользователя.
      • federatedUser:<идентификатор_пользователя> — идентификатор федеративного пользователя.
      • serviceAccount:<идентификатор_сервисного_аккаунта> — идентификатор сервисного аккаунта.
      • group:<идентификатор_группы> — идентификатор группы пользователей.

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в директорию с конфигурационным файлом.

    2. Проверьте корректность конфигурации с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого указанным пользователям будут назначены роли на группу пользователей. Проверить появление роли можно в интерфейсе Cloud Center.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить несколько ролей

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите пользователя или сервисный аккаунт, которому нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Внимание

Команда set-access-bindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

Чтобы назначить несколько ролей на группу пользователей:

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc organization-manager group list-access-bindings \
  --id <идентификатор_группы>

  2. Посмотрите описание команды CLI для назначения ролей:

    yc organization-manager group set-access-bindings --help

  3. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list

  4. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.

  5. С помощью команды yc organization-manager group set-access-bindings назначьте роли:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>

    • Федеративному пользователю:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>

    • Сервисному аккаунту:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>

    • Группе пользователей:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,subject=group:<идентификатор_группы>

    Для каждой роли передайте отдельный параметр --access-binding. Пример:

    yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы назначить несколько ролей на группу пользователей:

  1. Опишите в конфигурационном файле параметры назначаемых ролей:

    resource "yandex_organizationmanager_group_iam_binding" "role1" {
  group_id = "<идентификатор_группы>"
  role     = "<роль1>"
  members  = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

resource "yandex_organizationmanager_group_iam_binding" "role2" {
  group_id = "<идентификатор_группы>"
  role     = "<роль2>"
  members  = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

resource "yandex_organizationmanager_group_iam_binding" "role3" {
  group_id = "<идентификатор_группы>"
  role     = "<роль3>"
  members  = ["<тип_субъекта>:<идентификатор_субъекта>"]
}

    Где:

    • group_idидентификатор группы пользователей.

    • role — роль, которую хотите назначить. Для каждой роли можно использовать только один yandex_organizationmanager_group_iam_binding.

    • members — массив идентификаторов пользователей, которым будет назначена роль:

      • userAccount:<идентификатор_пользователя> — идентификатор аккаунта пользователя на Яндексе или локального пользователя.
      • federatedUser:<идентификатор_пользователя> — идентификатор федеративного пользователя.
      • serviceAccount:<идентификатор_сервисного_аккаунта> — идентификатор сервисного аккаунта.
      • group:<идентификатор_группы> — идентификатор группы пользователей.

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в директорию с конфигурационным файлом.

    2. Проверьте корректность конфигурации с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого указанному пользователю будут назначены несколько ролей на группу пользователей. Проверить появление ролей можно в интерфейсе Cloud Center.

Внимание

Метод setAccessBindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Воспользуйтесь методом setAccessBindings для ресурса Group или вызовом gRPC API GroupService/SetAccessBindings. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:

  • Роль в параметре accessBindings[].roleId.
  • Идентификатор субъекта, на кого назначаются роли, в параметре accessBindings[].subject.id.
  • Тип субъекта, на кого назначаются роли, в параметре accessBindings[].subject.type.

Отозвать роль

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Чтобы отозвать определенные роли:

    1. В строке с нужным пользователем, сервисным аккаунтом или группой нажмите и выберите Настроить доступ.

    2. Нажмите напротив ролей, которые вы хотите отозвать.

    3. Нажмите Сохранить.

  5. Чтобы отозвать все роли, в строке с нужным пользователем, сервисным аккаунтом или группой нажмите , выберите Отозвать доступ и подтвердите действие.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Посмотрите описание команды CLI для отзыва роли:

    yc organization-manager group remove-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, у которых отзываете роль.

  4. С помощью команды yc organization-manager group remove-access-binding отзовите роль у объекта:

    yc organization-manager group remove-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group:<идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, у которого отзывается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы отозвать роль у пользователя, сервисного аккаунта или группы пользователей:

  1. Откройте конфигурационный файл Terraform и удалите фрагмент с ресурсом yandex_organizationmanager_group_iam_binding, соответствующим роли, которую хотите отозвать.

    resource "yandex_organizationmanager_group_iam_binding" "editor" {
  group_id = "<идентификатор_группы>"
  role     = "<идентификатор_роли>"
  members  = [
    "<тип_субъекта>:<идентификатор_субъекта>",
  ]
}

  2. Примените изменения:

    1. В терминале перейдите в директорию с конфигурационным файлом.

    2. Проверьте корректность конфигурации с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого роль будет отозвана у указанного субъекта. Проверить отсутствие роли можно в интерфейсе Cloud Center.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение REMOVE в параметре accessBindingDeltas[].action, чтобы отозвать роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, у кого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, у которого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.
Предыдущая
Редактировать группу
Следующая
Назначить права доступа группе