Начало работы с Cloud Organization
Организация — это высший ресурс в иерархии ресурсной модели Yandex Cloud, который объединяет ресурсы всех остальных сервисов. Также организации используются для управления пользователями и параметрами их аутентификации и авторизации.
При работе с сервисами Yandex Cloud вы создаете ресурсы: кластеры управляемых баз данных, виртуальные машины, диски, сети и другие. Большинство сервисов хранит ресурсы в каталогах. Каталоги принадлежат облакам, а облака — организациям. Облако может принадлежать только одной организации, но вы можете переносить облака из одной организации в другую. Облаками и каталогами управляет сервис Yandex Resource Manager, а организациями управляет сервис Cloud Organization. Контроль доступа к ресурсам Yandex Cloud осуществляется с помощью ролей.
Схема организации Yandex Cloud:
Перед началом работы
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
- Примите пользовательское соглашение.
- В сервисе Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.
Создайте организацию
-
Перейдите в сервис Yandex Cloud Organization.
-
Ознакомьтесь с условиями использования Yandex Cloud и нажмите кнопку Войти.
-
Введите название и описание организации.
-
Нажмите кнопку Создать новую организацию.
После регистрации вы станете владельцем организации и сможете управлять аккаунтами сотрудников, подключать и отключать сервисы.
Управляйте пользователями
Добавьте пользователя в организацию
Вы можете подключить сотрудников с помощью аккаунтов на Яндексе — тогда они получат доступ к сервисам организации. Если в компании уже используется другая система управления учетными данными (например, Active Directory или Google Workspace), вы можете создать федерацию удостоверений, чтобы сотрудники использовали свои рабочие аккаунты для доступа к сервисам Yandex Cloud.
Чтобы подключить сотрудников с аккаунтами на Яндексе:
-
Перейдите в сервис Yandex Cloud Organization.
-
На панели слева выберите Пользователи.
-
В правом верхнем углу экрана нажмите кнопку Добавить пользователя и в выпадающем списке выберите Пригласить пользователей с аккаунтом на Яндексе.
-
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение.
Пользователь будет подключен к организации, как только примет приглашение по ссылке из письма и выберет подходящий аккаунт для входа. После этого вы сможете назначить ему необходимые роли.
Подробнее о пользователях см. в разделе Членство в организации.
Создайте группу пользователей
Вы можете настроить доступ сразу для нескольких пользователей, для этого объедините их в группу и назначьте группе роль. Группе можно выдать доступ к любым ресурсам Yandex Cloud.
Чтобы создать группу пользователей:
-
Войдите в сервис Yandex Cloud Organization.
-
На панели слева выберите Группы.
-
В правом верхнем углу страницы нажмите Создать группу.
-
Задайте название и описание группы.
Название должно быть уникальным в организации и соответствовать требованиям:
- длина — от 1 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
Нажмите кнопку Создать группу.
Добавьте пользователя в группу
-
Войдите в сервис Yandex Cloud Organization.
-
На панели слева выберите Группы и нажмите строку с названием группы.
-
Перейдите на вкладку Участники.
-
Нажмите кнопку Добавить участника.
-
В открывшемся окне выберите нужных пользователей или сервисные аккаунты. При необходимости воспользуйтесь поиском.
-
Нажмите Сохранить.
Управляйте доступом
Назначьте роль пользователю
Чтобы разрешить доступ к ресурсу, назначьте пользователю роль на этот ресурс. Назначать роли можно на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.
Вы можете также назначать пользователям роли для управления отдельными сервисами Yandex Cloud при помощи сервиса Yandex Identity and Access Management.
Чтобы назначить роль пользователю:
-
Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.
-
На панели слева выберите Права доступа.
-
Если у нужного пользователя уже есть хотя бы одна роль, в строке с этим пользователем нажмите значок и выберите Назначить роли.
Если нужного пользователя нет в списке, в правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите пользователя из списка или воспользуйтесь строкой поиска.
-
Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.
Описание доступных ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.
-
Нажмите кнопку Сохранить.
Назначьте группе пользователей роль на облако или каталог
-
Войдите в консоль управления с учетной записью администратора или владельца облака.
-
В левой части экрана нажмите на строку с именем облака или каталога, на который вы хотите назначить роль группе пользователей.
-
В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:
-
Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.
Вы также можете назначить роль одной из системных групп:
All users in organization X— в группу входят все пользователи организацииX.All users in federation N— в группу входят все пользователи федерацииN.
-
Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на облако или каталог, который вы выбрали ранее. Вы можете назначить несколько ролей.
-
Нажмите Сохранить.
-
Назначьте группе пользователей роль на организацию
-
Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.
-
На панели слева выберите Права доступа.
-
Справа сверху нажмите кнопку Назначить роли.
-
Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.
Вы также можете назначить роль одной из системных групп:
All users in organization X— в группу входят все пользователи организацииX.All users in federation N— в группу входят все пользователи федерацииN.
-
Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на организацию. Вы можете назначить несколько ролей.
-
Нажмите кнопку Сохранить.
Дополнительные возможности
Создайте федерацию удостоверений
Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Cloud Organization. Тогда сотрудники будут получать доступ к сервисам Yandex Cloud с помощью своих корпоративных аккаунтов.
Подробнее см. в разделе Федерация удостоверений.
Включите доступ по OS Login
С помощью OS Login можно управлять SSH-доступом к виртуальным машинам (ВМ), полагаясь только на механизмы сервиса Yandex Identity and Access Management, без необходимости загружать SSH-ключи на каждую новую ВМ при ее создании. Доступ по OS Login возможен как к виртуальным машинам сервиса Yandex Compute Cloud, так и к отдельным узлам в группах узлов в составе кластеров Yandex Managed Service for Kubernetes.
Преимущества OS Login:
- Моментальное обновление прав доступа для пользователя внутри ВМ в случае отзыва или назначения ролей. Если у пользователя отозвать роли, он потеряет доступ ко всем ВМ, для которых был включен доступ через OS Login.
- Возможность использовать разные способы доступа к ВМ: как по короткоживущим SSH-сертификатам, так и по SSH-ключам, в том числе добавленным в профиль пользователя организации.
Подробнее см. в разделе OS Login.