Связаться с намиПодключиться

Создать профиль OS Login

Статья создана
Обновлена 13 февраля 2025 г.

Профили OS Login по умолчанию создаются для всех пользователей организации и сервисных аккаунтов при включении доступа по OS Login. У одного пользователя или сервисного аккаунта в организации Cloud Organization может быть несколько профилей OS Login — разные профили позволяют подключаться к ВМ или узлам кластеров Kubernetes от имени разных локальных пользователей этих ВМ или узлов Kubernetes.

Примечание

Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Cloud Organization.

Чтобы создать дополнительный профиль OS Login:

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    При необходимости переключитесь на нужную организацию или федерацию.

  2. На панели слева выберите Пользователи.

  3. В списке выберите пользователя, для которого вы хотите создать профиль OS Login.

    При необходимости воспользуйтесь фильтром или поиском.

  4. На странице пользователя перейдите на вкладку Профили OS Login и нажмите кнопку Создать профиль. В открывшемся окне:

    1. Введите имя пользователя в ОС, которое будет присвоено пользователю организации или сервисному аккаунту при подключении к ВМ. Должно быть уникальным в пределах системы.

      Примечание

      Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы, цифры или подчеркивания. Длина от 1 до 32 символов.

    2. В поле Идентификатор (UID) задайте уникальный числовой идентификатор пользователя (UID) в диапазоне от 1000 до 65534. Должен быть уникальным в пределах системы.

    3. (Опционально) В поле Домашняя директория укажите путь к домашнему каталогу пользователя.

    4. (Опционально) В поле Оболочка по умолчанию укажите путь к исполняемому файлу командной оболочки.

    5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания профиля OS Login:

    yc organization-manager oslogin profile create --help

  2. Получите идентификатор нужной организации:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-----------------------+--------+
|          ID          |          NAME           |         TITLE         | LABELS |
+----------------------+-------------------------+-----------------------+--------+
| bpf1smsil5q0******** | sample-organization-1   | My organization       |        |
| bpf2c65rqcl8******** | sample-organization-new | New organization      |        |
+----------------------+-------------------------+-----------------------+--------+

  3. Получите идентификатор нужного пользователя, указав идентификатор организации, к которой он относится:

    yc organization-manager user list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------+-------------------+---------------+-----------------------+
|          ID          | USERNAME |       EMAIL       | FEDERATION ID | LAST AUTHENTICATED AT |
+----------------------+----------+-------------------+---------------+-----------------------+
| rser11gh89el******** | user01   | user01@example.ru |               |                       |
| mber02hy54km******** | user02   | user02@example.ru |               |                       |
+----------------------+----------+-------------------+---------------+-----------------------+

    Если вы хотите создать профиль OS Login для сервисного аккаунта, получите идентификатор нужного сервисного аккаунта.

  4. Создайте профиль OS Login для выбранного пользователя или сервисного аккаунта:

    yc organization-manager oslogin profile create \
  --organization-id <идентификатор_организации> \
  --subject-id <идентификатор_пользователя_или_сервисного_аккаунта> \
  --login <логин> \
  --uid <числовой_идентификатор> \
  --home-directory <путь_к_домашнему_каталогу> \
  --shell <путь_до_исполняемого_файла_командной_оболочки>

    Где:

    • --organization-id — полученный ранее идентификатор организации.

    • --subject-id — полученный ранее идентификатор пользователя или сервисного аккаунта.

    • --login — имя пользователя в ОС, которое будет присвоено ему при подключении к ВМ. Должно быть уникальным в пределах системы.

      Примечание

      Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы, цифры или подчеркивания. Длина от 1 до 32 символов.

    • --uid — уникальный числовой идентификатор пользователя (UID) в диапазоне от 1000 до 65534. Должен быть уникальным в пределах системы.

    • --home-directory — путь к домашнему каталогу пользователя на ВМ. Необязательный параметр. Значение по умолчанию — /home/<имя_пользователя>.

    • --shell — путь к исполняемому файлу командной оболочки на ВМ. Необязательный параметр. Значение по умолчанию — /bin/bash.

    Результат:

    id: aje6ddct3de5********
organization_id: bpf1smsil5q0********
subject_id: rser11gh89el********
login: new-os-login
uid: "100500"
home_directory: home/username
shell: bin/bash

Воспользуйтесь методом REST API createProfile для ресурса OsLogin или вызовом gRPC API OsLoginService/CreateProfile.

Создать профиль OS Login сервисного аккаунта можно только с помощью Yandex Cloud CLI или API.

Примечание

Если вы задаете UID вручную, используйте значения в диапазоне от 1000 до 65534. Использование этого диапазона позволит избежать совпадения UID профиля OS Login и системных профилей операционной системы.

См. также

Предыдущая
Включить доступ по OS Login
Следующая
Обзор