Отозвать роль у пользователя
Если вы хотите запретить пользователю доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее об управлении доступом в Yandex Cloud читайте в документации Yandex Identity and Access Management.
Отозвать роль может пользователь с ролью администратора organization-manager.admin
или владельца organization-manager.organizations.owner
организации.
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Права доступа. -
Найдите в списке нужного пользователя. При необходимости воспользуйтесь строкой поиска или фильтром.
-
В строке с нужным пользователем нажмите значок
и выберите Назначить роли. В открывшемся окне:-
Нажмите значок
рядом с ролью, чтобы удалить ее. -
Нажмите кнопку Сохранить.
-
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
-
Посмотрите, кому и какие роли назначены на ресурс:
yc <имя_сервиса> <ресурс> list-access-bindings <имя_или_идентификатор_ресурса>
Где:
<имя_сервиса>
— имя сервиса, которому принадлежит ресурс, например,organization-manager
.<ресурс>
— категория ресурса. Для организации всегда имеет значениеorganization
.<имя_или_идентификатор_ресурса>
— имя или идентификатор ресурса. Вы можете указать имя или идентификатор ресурса. Для организации в качестве имени используйте техническое название.
Например, посмотрите, кому и какие роли назначены в организации с идентификатором
bpf3crucp1v2********
:yc organization-manager organization list-access-bindings bpf3crucp1v2********
Результат:
+------------------------------------------+--------------+----------------------+ | ROLE ID | SUBJECT TYPE | SUBJECT ID | +------------------------------------------+--------------+----------------------+ | organization-manager.organizations.owner | userAccount | aje3r40rsemj******** | | organization-manager.admin | userAccount | aje6o61dvog2******** | +------------------------------------------+--------------+----------------------+
-
Чтобы удалить права доступа, выполните команду:
yc <имя_сервиса> <ресурс> remove-access-binding <имя_или_идентификатор_ресурса> \ --role <идентификатор_роли> \ --subject <тип_субъекта>:<идентификатор_субъекта>
Где:
--role
— идентификатор роли, которую надо отозвать, например,organization-manager.admin
.<тип_субъекта>
— тип субъекта, у которого отзывается роль.<идентификатор_субъекта>
— идентификатор субъекта.
Например, чтобы отозвать роль у пользователя с идентификатором
aje6o61dvog2********
:yc organization-manager organization remove-access-binding bpf3crucp1v2******** \ --role organization-manager.admin \ --subject userAccount:aje6o61dvog2********
-
Посмотрите, кому и какие роли назначены на ресурс с помощью метода
listAccessBindings
. Например, чтобы посмотреть роли в организации с идентификаторомbpf3crucp1v2********
:export ORGANIZATION_ID=bpf3crucp1v2******** export IAM_TOKEN=<IAM-токен> curl \ --header "Authorization: Bearer ${IAM_TOKEN}" \ "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:listAccessBindings"
Результат:
{ "accessBindings": [ { "subject": { "id": "aje6o61dvog2********", "type": "userAccount" }, "roleId": "organization-manager.admin" } ] }
-
Сформируйте тело запроса, например, в файле
body.json
. В теле запроса укажите, какие права доступа необходимо удалить. Например, отзовите у пользователяaje6o61dvog2********
рольorganization-manager.admin
:{ "accessBindingDeltas": [{ "action": "REMOVE", "accessBinding": { "roleId": "organization-manager.admin", "subject": { "id": "aje6o61dvog2********", "type": "userAccount" } } }] }
-
Отзовите роль, удалив указанные права доступа:
export ORGANIZATION_ID=bpf3crucp1v2******** export IAM_TOKEN=<IAM-токен> curl \ --request POST \ --header "Content-Type: application/json" \ --header "Authorization: Bearer ${IAM_TOKEN}" \ --data '@body.json' \ "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:updateAccessBindings"