Управлять политиками авторизации организации
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики дополняют систему ролей, делая управление доступом более гибким.
Управлять политиками авторизации организации может пользователь, которому назначена роль organization-manager.admin или admin на эту организацию.
Назначить политику авторизации на организацию
Чтобы назначить политику авторизации на организацию:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых политик авторизации с идентификаторами.
-
Выполните команду:
yc organization-manager organization bind-access-policy \ --name <имя_организации> \ --access-policy-template-id=<идентификатор_политики_авторизации>Где:
--name— имя организации, на которую вы хотите назначить политику. Вместо имени организации вы можете указать ее идентификатор в параметре--id.--access-policy-template-id— идентификатор политики авторизации, которую вы хотите назначить на указанную организацию.
-
Убедитесь, что политика была назначена.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/BindAccessPolicy.
Назначенная политика авторизации будет применяться к ресурсам внутри всех облаков в пределах заданной организации.
Посмотреть список политик авторизации, назначенных на организацию
Чтобы посмотреть список политик авторизации, назначенных на организацию:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
Выполните команду, указав имя или идентификатор организации, для которой вы хотите посмотреть назначенные политики:
yc organization-manager organization list-access-policy-bindings <имя_или_идентификатор_организации>
Результат:
+------------------------------+
| ACCESS POLICY TEMPLATE ID |
+------------------------------+
| organization.denyUserListing |
+------------------------------+
Воспользуйтесь методом REST API listAccessPolicyBindings для ресурса Organization или вызовом gRPC API OrganizationService/ListAccessPolicyBindings.
Отозвать политику авторизации, назначенную на организацию
Чтобы отозвать политику авторизации, назначенную на организацию:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список идентификаторов политик авторизации, назначенных на организацию.
-
Выполните команду:
yc organization-manager organization unbind-access-policy \ --name <имя_организации> \ --access-policy-template-id=<идентификатор_политики_авторизации>Где:
--name— имя организации, у которой вы хотите отозвать политику. Вместо имени организации вы можете указать ее идентификатор в параметре--id.--access-policy-template-id— идентификатор политики авторизации, которую вы хотите отозвать у указанной организации.
-
Убедитесь, что политика была отозвана.
Воспользуйтесь методом REST API unbindAccessPolicy для ресурса Organization или вызовом gRPC API OrganizationService/UnbindAccessPolicy.
Указанная политика авторизации перестанет применяться к ресурсам внутри всех облаков в пределах заданной организации.