Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Cloud Organization
  • Начало работы
    • Все инструкции
    • Подписать пользователя на уведомления
      • Обзор
      • Создать группу
      • Добавить участников
      • Редактировать группу
      • Настроить доступ к управлению группой
      • Назначить права доступа группе
      • Удалить участников
      • Удалить группу
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Настроить доступ к управлению группой
  • Назначить роль
  • Назначить несколько ролей
  • Отозвать роль
  1. Пошаговые инструкции
  2. Управление группами пользователей
  3. Настроить доступ к управлению группой
Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 20 мая 2025 г.
  • Настроить доступ к управлению группой
    • Назначить роль
    • Назначить несколько ролей
    • Отозвать роль

Настроить доступ к управлению группойНастроить доступ к управлению группой

Вы можете предоставить доступ к группе пользователей:

  • пользователям с аккаунтом на Яндексе;
  • федеративным пользователям;
  • сервисным аккаунтам;
  • другим группам пользователей.

Для этого назначьте роли на группу. Чтобы выбрать нужные, узнайте, какие роли действуют в сервисе.

Назначить рольНазначить роль

Интерфейс Cloud Center
CLI
API
  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием нужной группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы выдать права доступа на группу пользователей:

  1. Посмотрите описание команды CLI для назначения роли:

    yc organization-manager group add-access-binding --help
    
  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
      --organization-id <идентификатор_организации>
    
  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.

  4. С помощью команды yc organization-manager group add-access-binding назначьте роль:

    yc organization-manager group add-access-binding \
      --id <идентификатор_группы> \
      --role <роль> \
      --user-account-id <идентификатор_пользователя> \
      --federation-users <идентификатор_пользователя> \
      --service-account-id <идентификатор_сервисного_аккаунта> \
      --subject group: <идентификатор_группы>
    

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, которому назначается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение ADD в параметре accessBindingDeltas[].action, чтобы добавить роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, на кого назначается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Назначить несколько ролейНазначить несколько ролей

Интерфейс Cloud Center
CLI
API
  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Нажмите кнопку Назначить роли.

  5. Выберите пользователя или сервисный аккаунт, которому нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.

  6. Нажмите Добавить роль и выберите роли, которые нужно назначить на группу.

  7. Нажмите кнопку Сохранить.

Внимание

Команда set-access-bindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Чтобы назначить несколько ролей на группу пользователей:

  1. Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:

    yc organization-manager group list-access-bindings \
      --id <идентификатор_группы>
    
  2. Посмотрите описание команды CLI для назначения ролей:

    yc organization-manager group set-access-bindings --help
    
  3. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list
    
  4. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.

  5. С помощью команды yc organization-manager group set-access-bindings назначьте роли:

    • Пользователю с аккаунтом на Яндексе:

      yc organization-manager group set-access-bindings \
        --id <идентификатор_группы> \
        --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>
      
    • Федеративному пользователю:

      yc organization-manager group set-access-bindings \
        --id <идентификатор_группы> \
        --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>
      
    • Сервисному аккаунту:

      yc organization-manager group set-access-bindings \
        --id <идентификатор_группы> \
        --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>
      
    • Группе пользователей:

      yc organization-manager group set-access-bindings \
        --id <идентификатор_группы> \
        --access-binding role=<роль>,subject=group:<идентификатор_группы>
      

    Для каждой роли передайте отдельный параметр --access-binding. Пример:

    yc organization-manager group set-access-bindings \
      --id <идентификатор_группы> \
      --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
      --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
      --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>
    

Внимание

Метод setAccessBindings для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.

Воспользуйтесь методом setAccessBindings для ресурса Group или вызовом gRPC API GroupService/SetAccessBindings. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:

  • Роль в параметре accessBindings[].roleId.
  • Идентификатор субъекта, на кого назначаются роли, в параметре accessBindings[].subject.id.
  • Тип субъекта, на кого назначаются роли, в параметре accessBindings[].subject.type.

Отозвать рольОтозвать роль

Интерфейс Cloud Center
CLI
API
  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

  2. На панели слева выберите Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Права доступа к группе.

  4. Чтобы отозвать определенные роли:

    1. В строке с нужным пользователем, сервисным аккаунтом или группой нажмите и выберите Настроить доступ.

    2. Нажмите напротив ролей, которые вы хотите отозвать.

    3. Нажмите Сохранить.

  5. Чтобы отозвать все роли, в строке с нужным пользователем, сервисным аккаунтом или группой нажмите , выберите Отозвать права доступа и подтвердите действие.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для отзыва роли:

    yc organization-manager group remove-access-binding --help
    
  2. Получите список групп пользователей вместе с идентификаторами этих групп:

    yc organization-manager group list \
      --organization-id <идентификатор_организации>
    
  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, у которых отзываете роль.

  4. С помощью команды yc organization-manager group remove-access-binding отзовите роль у объекта:

    yc organization-manager group remove-access-binding \
      --id <идентификатор_группы> \
      --role <роль> \
      --user-account-id <идентификатор_пользователя> \
      --federation-users <идентификатор_пользователя> \
      --service-account-id <идентификатор_сервисного_аккаунта> \
      --subject group:<идентификатор_группы>
    

    Где:

    • --id — идентификатор группы пользователей.
    • --role — идентификатор роли.

    Идентификатор объекта, у которого отзывается роль:

    • --user-account-id — идентификатор аккаунта на Яндексе.
    • --federation-users — идентификатор федеративного пользователя.
    • --service-account-id — идентификатор сервисного аккаунта.
    • --subject group — идентификатор группы.

Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:

  • Значение REMOVE в параметре accessBindingDeltas[].action, чтобы отозвать роль.
  • Роль в параметре accessBindingDeltas[].accessBinding.roleId.
  • Идентификатор субъекта, у кого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.id.
  • Тип субъекта, у которого отзывается роль, в параметре accessBindingDeltas[].accessBinding.subject.type.

Была ли статья полезна?

Предыдущая
Редактировать группу
Следующая
Назначить права доступа группе
Проект Яндекса
© 2025 ООО «Яндекс.Облако»