Настроить доступ к управлению группой
Вы можете предоставить доступ к группе пользователей:
- пользователям с аккаунтом на Яндексе;
- федеративным пользователям;
- сервисным аккаунтам;
- другим группам пользователей.
Для этого назначьте роли на группу. Чтобы выбрать нужные, узнайте, какие роли действуют в сервисе.
Назначить роль
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Группы и нажмите строку с названием нужной группы. -
Перейдите на вкладку Права доступа к группе.
-
Нажмите кнопку Назначить роли.
-
Выберите группу, пользователя или сервисный аккаунт, которым нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.
-
Нажмите
Добавить роль и выберите роли, которые нужно назначить на группу. -
Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Чтобы выдать права доступа на группу пользователей:
-
Посмотрите описание команды CLI для назначения роли:
yc organization-manager group add-access-binding --help
-
Получите список групп пользователей вместе с идентификаторами этих групп:
yc organization-manager group list \ --organization-id <идентификатор_организации>
-
Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роль.
-
С помощью команды
yc organization-manager group add-access-binding
назначьте роль:yc organization-manager group add-access-binding \ --id <идентификатор_группы> \ --role <роль> \ --user-account-id <идентификатор_пользователя> \ --federation-users <идентификатор_пользователя> \ --service-account-id <идентификатор_сервисного_аккаунта> \ --subject group: <идентификатор_группы>
Где:
--id
— идентификатор группы пользователей.--role
— идентификатор роли.
Идентификатор объекта, которому назначается роль:
--user-account-id
— идентификатор аккаунта на Яндексе.--federation-users
— идентификатор федеративного пользователя.--service-account-id
— идентификатор сервисного аккаунта.--subject group
— идентификатор группы.
Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:
- Значение
ADD
в параметреaccessBindingDeltas[].action
, чтобы добавить роль. - Роль в параметре
accessBindingDeltas[].accessBinding.roleId
. - Идентификатор субъекта, на кого назначается роль, в параметре
accessBindingDeltas[].accessBinding.subject.id
. - Тип субъекта, на кого назначается роль, в параметре
accessBindingDeltas[].accessBinding.subject.type
.
Назначить несколько ролей
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Группы и нажмите строку с названием группы. -
Перейдите на вкладку Права доступа к группе.
-
Нажмите кнопку Назначить роли.
-
Выберите пользователя или сервисный аккаунт, которому нужно предоставить доступ к группе. При необходимости воспользуйтесь поиском.
-
Нажмите
Добавить роль и выберите роли, которые нужно назначить на группу. -
Нажмите кнопку Сохранить.
Внимание
Команда set-access-bindings
для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
Чтобы назначить несколько ролей на группу пользователей:
-
Убедитесь, что на ресурс не назначены роли, которые вы не хотите потерять:
yc organization-manager group list-access-bindings \ --id <идентификатор_группы>
-
Посмотрите описание команды CLI для назначения ролей:
yc organization-manager group set-access-bindings --help
-
Получите список групп пользователей вместе с идентификаторами этих групп:
yc organization-manager group list
-
Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.
-
С помощью команды
yc organization-manager group set-access-bindings
назначьте роли:-
Пользователю с аккаунтом на Яндексе:
yc organization-manager group set-access-bindings \ --id <идентификатор_группы> \ --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>
-
Федеративному пользователю:
yc organization-manager group set-access-bindings \ --id <идентификатор_группы> \ --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>
-
Сервисному аккаунту:
yc organization-manager group set-access-bindings \ --id <идентификатор_группы> \ --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>
-
Группе пользователей:
yc organization-manager group set-access-bindings \ --id <идентификатор_группы> \ --access-binding role=<роль>,subject=group:<идентификатор_группы>
Для каждой роли передайте отдельный флаг
--access-binding
. Пример:yc organization-manager group set-access-bindings \ --id <идентификатор_группы> \ --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \ --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \ --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>
-
Внимание
Метод setAccessBindings
для назначения нескольких ролей полностью перезаписывает права доступа к ресурсу. Все текущие роли на ресурс будут удалены.
Воспользуйтесь методом setAccessBindings для ресурса Group или вызовом gRPC API GroupService/SetAccessBindings. Передайте в запросе массив из объектов, каждый из которых соответствует отдельной роли и содержит следующие данные:
- Роль в параметре
accessBindings[].roleId
. - Идентификатор субъекта, на кого назначаются роли, в параметре
accessBindings[].subject.id
. - Тип субъекта, на кого назначаются роли, в параметре
accessBindings[].subject.type
.
Отозвать роль
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Группы и нажмите строку с названием группы. -
Перейдите на вкладку Права доступа к группе.
-
Чтобы отозвать определенные роли:
-
В строке с нужным пользователем, сервисным аккаунтом или группой нажмите
и выберите Настроить доступ. -
Нажмите
напротив ролей, которые вы хотите отозвать. -
Нажмите Сохранить.
-
-
Чтобы отозвать все роли, в строке с нужным пользователем, сервисным аккаунтом или группой нажмите
, выберите Отозвать права доступа и подтвердите действие.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для отзыва роли:
yc organization-manager group remove-access-binding --help
-
Получите список групп пользователей вместе с идентификаторами этих групп:
yc organization-manager group list \ --organization-id <идентификатор_организации>
-
Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, у которых отзываете роль.
-
С помощью команды
yc organization-manager group remove-access-binding
отзовите роль у объекта:yc organization-manager group remove-access-binding \ --id <идентификатор_группы> \ --role <роль> \ --user-account-id <идентификатор_пользователя> \ --federation-users <идентификатор_пользователя> \ --service-account-id <идентификатор_сервисного_аккаунта> \ --subject group:<идентификатор_группы>
Где:
--id
— идентификатор группы пользователей.--role
— идентификатор роли.
Идентификатор объекта, у которого отзывается роль:
--user-account-id
— идентификатор аккаунта на Яндексе.--federation-users
— идентификатор федеративного пользователя.--service-account-id
— идентификатор сервисного аккаунта.--subject group
— идентификатор группы.
Воспользуйтесь методом updateAccessBindings для ресурса Group или вызовом gRPC API GroupService/UpdateAccessBindings и передайте в запросе:
- Значение
REMOVE
в параметреaccessBindingDeltas[].action
, чтобы отозвать роль. - Роль в параметре
accessBindingDeltas[].accessBinding.roleId
. - Идентификатор субъекта, у кого отзывается роль, в параметре
accessBindingDeltas[].accessBinding.subject.id
. - Тип субъекта, у которого отзывается роль, в параметре
accessBindingDeltas[].accessBinding.subject.type
.