Связаться с намиПодключиться
Статья создана
Улучшена
Обновлена 20 мая 2025 г.

Настроить доступ к управлению группой

Вы можете предоставить доступ к группе пользователей:

Для этого назначьте роли на группу. Чтобы выбрать нужные, узнайте, какие роли действуют в сервисе.

Назначить роль

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием нужной группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы выдать права доступа на группу пользователей:

  1. Посмотрите описание команды CLI для назначения роли:

    yc organization-manager group add-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  4. С помощью команды yc organization-manager group add-access-binding назначьте роль:

    yc organization-manager group add-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group: <идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, которому назначается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить несколько ролей

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите пользователя или сервисный аккаунт, которому нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Внимание

Команда set-access-bindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить несколько ролей на группу пользователей:

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc organization-manager group list-access-bindings \
  --id <идентификатор_группы>

  2. Посмотрите описание команды CLI для назначения ролей:

    yc organization-manager group set-access-bindings --help

  3. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list

  4. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.

  5. С помощью команды yc organization-manager group set-access-bindings назначьте роли:

    • Пользователю с аккаунтом на Яндексе:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>

    • Федеративному пользователю:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>

    • Сервисному аккаунту:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>

    • Группе пользователей:

      yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль>,subject=group:<идентификатор_группы>

    Для каждой роли передайте отдельный параметр --access-binding. Пример:

    yc organization-manager group set-access-bindings \
  --id <идентификатор_группы> \
  --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>

Внимание

Метод setAccessBindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Воспользуйтесь методом setAccessBindings для ресурса Group или вызовом gRPC API GroupService/SetAccessBindings. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:

  • Роль в параметре accessBindings[].roleId.
  • Идентификатор субъекта, на кого назначаются роли, в параметре accessBindings[].subject.id.
  • Тип субъекта, на кого назначаются роли, в параметре accessBindings[].subject.type.

Отозвать роль

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Чтобы отозвать определенные роли:

    1. В строке с нужным пользователем, сервисным аккаунтом или группой нажмите и выберите Настроить доступ.

    2. Нажмите напротив ролей, которые вы хотите отозвать.

    3. Нажмите Сохранить.

  5. Чтобы отозвать все роли, в строке с нужным пользователем, сервисным аккаунтом или группой нажмите , выберите Отозвать права доступа и подтвердите действие.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли:

    yc organization-manager group remove-access-binding --help

  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
  --organization-id <идентификатор_организации>

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, у которых отзываете роль.

  4. С помощью команды yc organization-manager group remove-access-binding отзовите роль у объекта:

    yc organization-manager group remove-access-binding \
  --id <идентификатор_группы> \
  --role <роль> \
  --user-account-id <идентификатор_пользователя> \
  --federation-users <идентификатор_пользователя> \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --subject group:<идентификатор_группы>

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, у которого отзывается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение REMOVE в параметре accessBindingDeltas[].action, чтобы отозвать роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, у кого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, у которого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.
Предыдущая
Редактировать группу
Следующая
Назначить права доступа группе