Начало работы с Cloud Organization
Организация — это высший ресурс в иерархии ресурсной модели Yandex Cloud, в котором хранятся ресурсы всех остальных сервисов. Также организации используются для управления пользователями и параметрами их аутентификации и авторизации.
Каждой организации принадлежит одно или несколько облаков. В облаке находятся каталоги. В каталогах размещаются большинство ресурсов Yandex Cloud — кластеры управляемых баз данных, виртуальные машины, диски, сети и другие. Контроль над доступом к ресурсам Yandex Cloud осуществляется с помощью ролей.
Взаимосвязь организаций, каталогов, ресурсов и пользователей Yandex Cloud представлена на схеме:
Перед началом работы
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы. О том, как начать работать с Yandex Cloud, см. в документе Начало работы с Yandex Cloud. - Примите пользовательское соглашение.
- В сервисе Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его.
Создайте организацию
-
Перейдите в сервис Yandex Cloud Organization
. -
Ознакомьтесь с условиями использования Yandex Cloud и нажмите кнопку Войти.
-
Введите название и описание организации.
-
Нажмите кнопку Создать новую организацию.
После регистрации вы станете владельцем организации и сможете управлять аккаунтами сотрудников, подключать и отключать сервисы.
Управляйте пользователями
Добавьте пользователя в организацию
Вы можете подключить сотрудников с помощью аккаунтов на Яндексе — тогда они получат доступ к сервисам организации. Если в компании уже используется другая система управления учетными данными (например, Active Directory или Google Workspace), вы можете создать федерацию удостоверений, чтобы сотрудники использовали свои рабочие аккаунты для доступа к сервисам Yandex Cloud.
Чтобы подключить сотрудников с аккаунтами на Яндексе:
-
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Пользователи. -
В правом верхнем углу экрана нажмите кнопку
Добавить пользователя и в выпадающем списке выберите Пригласить пользователей с аккаунтом на Яндексе. -
Введите почтовые адреса пользователей, которых вы хотите пригласить в организацию (например,
login@yandex.ru
).Приглашения можно отправлять на любые адреса электронной почты. Приглашенный пользователь сможет выбрать нужный аккаунт на Яндексе, когда примет приглашение.
-
Нажмите кнопку Отправить приглашение.
Пользователь будет подключен к организации, как только примет приглашение по ссылке из письма и выберет подходящий аккаунт для входа. После этого вы сможете назначить ему необходимые роли.
Подробнее о пользователях см. в разделе Членство в организации.
Создайте группу пользователей
Для организаций, в которых много участников, одинаковые права доступа к ресурсам Yandex Cloud могут потребоваться сразу нескольким пользователям. В этом случае роли и доступы удобнее выдавать не персонально, а для группы. Вы можете настроить доступ участников группы к организациям, облакам, каталогам и сервисным аккаунтам Yandex Cloud.
Чтобы создать группу пользователей:
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Группы. -
В правом верхнем углу страницы нажмите
Создать группу. -
Задайте название и описание группы.
Название должно быть уникальным в организации и соответствовать требованиям:
- длина — от 1 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
Нажмите кнопку Создать группу.
Добавьте пользователя в группу
-
Войдите в сервис Yandex Cloud Organization
. -
На панели слева выберите
Группы и нажмите строку с названием группы. -
Перейдите на вкладку Участники.
-
Нажмите кнопку Добавить участника.
-
В открывшемся окне выберите нужных пользователей или сервисные аккаунты. При необходимости воспользуйтесь поиском.
-
Нажмите Сохранить.
Управляйте доступом
Назначьте роль пользователю
Чтобы выдать пользователю разрешение на доступ к ресурсу, назначьте пользователю роль на этот ресурс. Назначать роли можно на облако, каталог и другие ресурсы из списка. Если нужно предоставить доступ к ресурсу, которого нет в списке, назначьте роль на родительский ресурс, от которого наследуются права доступа. Вы можете также назначать пользователям роли для управления организацией.
Чтобы назначить роль пользователю:
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Права доступа. -
Если у нужного пользователя уже есть хотя бы одна роль, в строке с этим пользователем нажмите значок
и выберите Назначить роли.Если нужного пользователя нет в списке, в правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите пользователя из списка или воспользуйтесь строкой поиска.
-
Нажмите кнопку
Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.Описание доступных ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.
-
Нажмите кнопку Сохранить.
Назначьте группе пользователей роль на облако или каталог
-
Войдите в консоль управления
с учетной записью администратора или владельца облака. -
В левой части экрана нажмите на строку с именем облака или каталога, на который вы хотите назначить роль группе пользователей.
-
В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:
-
Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.
Вы также можете назначить роль одной из системных групп:
All users in organization X
— в группу входят все пользователи организацииX
.All users in federation N
— в группу входят все пользователи федерацииN
.
-
Нажмите кнопку
Добавить роль и выберите роль, которую хотите назначить группе на облако или каталог, который вы выбрали ранее. Вы можете назначить несколько ролей. -
Нажмите Сохранить.
-
Назначьте группе пользователей роль на организацию
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации. -
На панели слева выберите
Права доступа. -
Справа сверху нажмите кнопку Назначить роли.
-
Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.
Вы также можете назначить роль одной из системных групп:
All users in organization X
— в группу входят все пользователи организацииX
.All users in federation N
— в группу входят все пользователи федерацииN
.
-
Нажмите кнопку
Добавить роль и выберите роль, которую хотите назначить группе на организацию. Вы можете назначить несколько ролей. -
Нажмите кнопку Сохранить.
Дополнительные возможности
Создайте федерацию удостоверений
Если в вашей компании есть система управления пользователями и доступом (например, Active Directory или Google Workspace), вы можете использовать ее для авторизации сотрудников в Yandex Cloud Organization. Тогда не нужно будет создавать новый аккаунт в Яндексе для каждого сотрудника компании, сотрудники смогут получить доступ к сервисам Yandex Cloud с помощью своих корпоративных аккаунтов.
Подробнее см. в разделе Федерация удостоверений.
Включите доступ по OS Login
С помощью OS Login можно управлять SSH-доступом к виртуальным машинам (ВМ), полагаясь только на механизмы сервиса Yandex Identity and Access Management, без необходимости загружать SSH-ключи на каждую новую ВМ при ее создании. Доступ по OS Login возможен как к виртуальным машинам сервиса Yandex Compute Cloud, так и к отдельным узлам в группах узлов в составе кластеров Yandex Managed Service for Kubernetes.
Преимущества OS Login:
- Моментальное обновление прав доступа для пользователя внутри ВМ в случае отзыва или назначения ролей. Если у пользователя отозвать роли, он потеряет доступ ко всем ВМ, для которых был включен доступ через OS Login.
- Возможность использовать разные способы доступа к ВМ: как по короткоживущим SSH-сертификатам, так и по SSH-ключам, в том числе добавленным в профиль пользователя организации.
Подробнее см. в разделе OS Login.