Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управление доступом в Yandex Identity Hub

Статья создана
Улучшена
Обновлена 19 марта 2026 г.

Управление доступом в Yandex Cloud построено на политике Role Based Access Control (RBAC). Чтобы предоставить пользователю определенные права или доступ к ресурсу, нужно назначить ему соответствующие роли.

Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом. Пользователь может назначить роли только с теми разрешениями, которые имеются у него самого. Например, чтобы назначить роль владельца организации, пользователь должен сам обладать этой ролью, а роли администратора для этого недостаточно.

Если у ресурса есть дочерние ресурсы, то все разрешения от родительского ресурса будут унаследованы дочерними ресурсами. Например, если вы назначите пользователю роль администратора организации, в которой находится облако, то все разрешения этой роли будут действовать для облака и всех вложенных ресурсов этого облака.

Подробнее об управлении доступом в Yandex Cloud читайте в документации Yandex Identity and Access Management в разделе Как устроено управление доступом в Yandex Cloud.

Примечание

Даже если операция с ресурсами сервисов Yandex Cloud разрешена ролью, ее выполнение может быть заблокировано, если на организацию назначена политика авторизации, запрещающая эту операцию.

На какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

Вы также можете назначать роли на отдельные ресурсы сервиса:

Через интерфейс Cloud Center вы можете назначить роли на следующие ресурсы:

Через Terraform вы можете назначить роли на следующие ресурсы:

Какие роли действуют в сервисе

Сервисные роли

organization-manager.auditor

Роль organization-manager.auditor позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать политики авторизации, назначенные на организацию;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями iam.userAccounts.refreshTokenViewer, organization-manager.federations.auditor, organization-manager.osLogins.viewer, organization-manager.userpools.auditor, organization-manager.samlApplications.auditor и organization-manager.oauthApplications.auditor.

organization-manager.viewer

Роль organization-manager.viewer позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать политики авторизации, назначенные на организацию;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать события аудита пользователя;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.auditor, organization-manager.federations.viewer, organization-manager.users.viewer, organization-manager.samlApplications.viewer, organization-manager.oauthApplications.viewer, organization-manager.userpools.viewer и organization-manager.idpInstances.billingViewer.

organization-manager.editor

Роль organization-manager.editor позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, а также пользователями и их группами.

Пользователи с этой ролью могут:
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать политики авторизации, назначенные на организацию;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения и OIDC-приложения;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • просматривать информацию о назначенных правах доступа к группам пользователей;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.viewer, organization-manager.federations.editor, organization-manager.userpools.editor, organization-manager.samlApplications.editor, organization-manager.oauthApplications.editor и organization-manager.groups.editor.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.admin

Роль organization-manager.admin позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней.

Пользователи с этой ролью могут:
  • привязывать платежный аккаунт к организации Identity Hub;
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации и изменять такие права доступа;
  • просматривать политики авторизации, назначенные на организацию, а также назначать и отзывать такие политики;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • исключать пользователей из организации;
  • просматривать информацию об отправленных пользователям приглашениях в организацию, а также отправлять и удалять такие приглашения;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и OIDC-приложениям, а также изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • привязывать группы пользователей к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их;
  • просматривать, создавать, изменять и удалять репозитории SourceCraft;
  • читать файлы из репозитория SourceCraft;
  • просматривать, создавать, изменять и удалять предложения изменений в репозиториях SourceCraft;
  • выполнять слияние правок из предложения изменений в репозиториях SourceCraft;
  • вносить изменения в обычные и защищенные ветки репозитория SourceCraft;
  • просматривать, создавать и изменять публичные и приватные задачи (issues) в репозиториях SourceCraft;
  • изменять тип доступа к задачам в репозиториях SourceCraft;
  • оставлять реакции к задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять, удалять и отмечать выполненными комментарии к предложениям изменений, публичным и приватным задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять и удалять метки в репозиториях SourceCraft;
  • управлять доступом к репозиторию SourceCraft;
  • просматривать, получать, создавать, изменять и удалять секреты в репозиториях SourceCraft.

Включает разрешения, предоставляемые ролями organization-manager.editor, organization-manager.federations.admin, organization-manager.osLogins.admin, organization-manager.userpools.admin, organization-manager.samlApplications.admin, organization-manager.oauthApplications.admin, organization-manager.groups.memberAdmin, organization-manager.groups.externalCreator, organization-manager.groups.externalManager, organization-manager.idpInstances.billingAdmin и src.repositories.admin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.organizations.owner

Роль organization-manager.organizations.owner позволяет совершать любые действия с любыми ресурсами в организации и с платежными аккаунтами, в том числе создавать платежные аккаунты и привязывать их к облакам. Роль также позволяет назначать дополнительных владельцев организации.

Прежде чем назначить эту роль, ознакомьтесь с информацией о защите привилегированных аккаунтов.

organization-manager.federations.extGroupsViewer

Роль organization-manager.federations.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.federations.extGroupsManager

Роль organization-manager.federations.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к федерациям удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.extGroupsCleaner

Роль organization-manager.federations.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от федераций удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.auditor

Роль organization-manager.federations.auditor позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.federations.viewer

Роль organization-manager.federations.viewer позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.auditor и organization-manager.federations.extGroupsViewer.

organization-manager.federations.editor

Роль organization-manager.federations.editor позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.viewer и organization-manager.federations.userAdmin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.federations.userAdmin

Роль organization-manager.federations.userAdmin позволяет добавлять федеративных пользователей в организацию и удалять их, отзывать refresh-токены, управлять факторами MFA пользовательских аккаунтов, а также просматривать список пользователей организации и данные их профилей.

Пользователи с этой ролью могут:

  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать список пользователей организации, сведения в профилях пользователей (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.federations.admin

Роль organization-manager.federations.admin позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.editor, organization-manager.federations.extGroupsManager и organization-manager.federations.extGroupsCleaner.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.osLogins.viewer

Роль organization-manager.osLogins.viewer позволяет просматривать информацию о настройках OS Login организации и список профилей OS Login пользователей и сервисных аккаунтов, а также просматривать список SSH-ключей пользователей и информацию об SSH-ключах.

organization-manager.osLogins.admin

Роль organization-manager.osLogins.admin позволяет управлять настройками OS Login организации, а также профилями OS Login и SSH-ключами пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей организации и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей.

Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer.

organization-manager.groups.externalCreator

Роль organization-manager.groups.externalCreator позволяет создавать группы пользователей Identity Hub при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalConverter

Роль organization-manager.groups.externalConverter позволяет добавлять в группы пользователей Identity Hub атрибут с идентификатором внешней группы при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalManager

Роль organization-manager.groups.externalManager позволяет управлять группами пользователей Identity Hub, связанными с группами пользователей в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • связывать группы пользователей Identity Hub с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей в Identity Hub.

organization-manager.groups.editor

Роль organization-manager.groups.editor позволяет управлять группами пользователей.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

organization-manager.groups.memberAdmin

Роль organization-manager.groups.memberAdmin позволяет просматривать информацию о группах пользователей, а также просматривать и изменять списки пользователей и сервисных аккаунтов, входящих в группы.

organization-manager.groups.admin

Роль organization-manager.groups.admin позволяет управлять группами пользователей и их участниками, а также доступом к ним.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять такие группы;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список пользователей и сервисных аккаунтов, входящих в группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из таких групп.

Включает разрешения, предоставляемые ролями organization-manager.groups.editor и organization-manager.groups.memberAdmin.

organization-manager.users.viewer

Роль organization-manager.users.viewer позволяет просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, атрибуты и дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации, а также списки групп, в которые входят пользователи.

organization-manager.passportUserAdmin

Роль organization-manager.passportUserAdmin позволяет просматривать информацию о пользователях организации, а также приглашать в организацию и исключать из нее пользователей с аккаунтами на Яндексе.

Пользователи с этой ролью могут:

organization-manager.oauthApplications.auditor

Роль organization-manager.oauthApplications.auditor позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

organization-manager.oauthApplications.viewer

Роль organization-manager.oauthApplications.viewer позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.auditor.

organization-manager.oauthApplications.editor

Роль organization-manager.oauthApplications.editor позволяет управлять OIDC-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять OIDC-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.viewer.

organization-manager.oauthApplications.userAdmin

Роль organization-manager.oauthApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в OIDC-приложение.

organization-manager.oauthApplications.admin

Роль organization-manager.oauthApplications.admin позволяет управлять OIDC-приложениями и доступом к ним, а также пользователями, добавленными в OIDC-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к OIDC-приложениям и изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.oauthApplications.editor и organization-manager.oauthApplications.userAdmin.

organization-manager.samlApplications.auditor

Роль organization-manager.samlApplications.auditor позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

organization-manager.samlApplications.viewer

Роль organization-manager.samlApplications.viewer позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.auditor.

organization-manager.samlApplications.editor

Роль organization-manager.samlApplications.editor позволяет управлять SAML-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.viewer.

organization-manager.samlApplications.userAdmin

Роль organization-manager.samlApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в SAML-приложение.

organization-manager.samlApplications.admin

Роль organization-manager.samlApplications.admin позволяет управлять SAML-приложениями и доступом к ним, а также пользователями, добавленными в SAML-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и изменять такие права доступа;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.samlApplications.editor и organization-manager.samlApplications.userAdmin.

organization-manager.userpools.extGroupsViewer

Роль organization-manager.userpools.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.userpools.extGroupsManager

Роль organization-manager.userpools.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к пулам пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.extGroupsCleaner

Роль organization-manager.userpools.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от пулов пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.syncAgent

Роль organization-manager.userpools.syncAgent позволяет выполнять синхронизацию пользователей и групп Identity Hub с пользователями и группами в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • просматривать информацию о сессиях синхронизации агента Identity Hub AD Sync Agent с сервисом Identity Hub, а также создавать и изменять такие сессии;
  • просматривать информацию о пулах пользователей и о настройках синхронизации в пулах пользователей;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о пользователях Identity Hub, создавать, изменять, активировать, деактивировать, удалять пользователей, а также изменять пароли и другие данные пользователей Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsManager.

organization-manager.userpools.auditor

Роль organization-manager.userpools.auditor позволяет просматривать информацию о пулах пользователей и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.userpools.viewer

Роль organization-manager.userpools.viewer позволяет просматривать информацию о пулах пользователей, а также список пользователей организации и информацию о них.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.auditor и organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.editor

Роль organization-manager.userpools.editor позволяет управлять пулами пользователей и входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.userAdmin и organization-manager.userpools.viewer.

organization-manager.userpools.userAdmin

Роль organization-manager.userpools.userAdmin позволяет управлять локальными пользователями организации, входящими в пулы пользователей.

Пользователи с этой ролью могут:

  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.userpools.admin

Роль organization-manager.userpools.admin позволяет управлять пулами пользователей и доступом к ним, а также управлять входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.editor, organization-manager.userpools.extGroupsManager и organization-manager.userpools.extGroupsCleaner.

organization-manager.idpInstances.billingViewer

Роль organization-manager.idpInstances.billingViewer позволяет просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub, а также информацию о подписке на платные возможности сервиса Identity Hub и статистике использования квот по этой подписке.

organization-manager.idpInstances.billingAdmin

Роль organization-manager.idpInstances.billingAdmin позволяет управлять подпиской на платные возможности сервиса Identity Hub.

Пользователи с этой ролью могут:

  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.idpInstances.billingViewer.

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Назначить пользователя администратором организации

Чтобы дать пользователю права на управление организацией, назначьте ему роль organization-manager.admin.

Назначить роль пользователю

Назначать роли в Yandex Identity Hub могут администраторы и владельцы организации. Вы можете назначать пользователям не только роли для управления организацией, но и роли для доступа к ресурсам облаков, подключенных к вашей организации.

О том, какие роли доступны в Yandex Cloud и какие разрешения в них входят, читайте в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Если у нужного пользователя уже есть хотя бы одна роль, в строке с этим пользователем нажмите значок и выберите Назначить роли.

    Если нужного пользователя нет в списке, в правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите пользователя из списка или воспользуйтесь строкой поиска.

  4. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.

    Описание доступных ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  5. Нажмите кнопку Сохранить.

  1. Выберите роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  2. Получите идентификатор пользователя.

  3. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
    --role <идентификатор_роли> \
    --subject <тип_субъекта>:<идентификатор_субъекта>
    • <имя_сервиса> — имя сервиса, на чей ресурс назначается роль, например organization-manager.
    • <ресурс> — категория ресурса. Для организации всегда имеет значение organization.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Для организации в качестве имени используйте техническое название.
    • --role — идентификатор роли, например organization-manager.admin.
    • --subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роль администратора для организации с идентификатором bpf3crucp1v2********:

    yc organization-manager organization add-access-binding bpf3crucp1v2******** \
    --role organization-manager.admin \
    --subject userAccount:aje6o61dvog2********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры назначаемых ролей:

    • organization_idидентификатор организации.
    • role — роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud. Для каждой роли можно использовать только один yandex_organization manager_organization_iam_binding.
    • members — массив идентификаторов пользователей, которым будет назначена роль:
      • userAccount:{user_id} — идентификатор аккаунта пользователя на Яндексе.
      • serviceAccount:{service_account_id} — идентификатор сервисного аккаунта.
      • federatedUser:{federated_user_id} — идентификатор федеративного пользователя.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_organization_iam_binding" "editor" {
  organization_id = "<идентификатор_организации>"
  role = "editor"
  members = [
   "federatedUser:<идентификатор_пользователя>",
  ]
}

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
    2. Выполните проверку с помощью команды:
    terraform plan

    Если конфигурация описана верно, в терминале отобразится список назначенных ролей. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Назначьте роли.

    Если в конфигурации нет ошибок, выполните команду:

    terraform apply

    После этого в указанной организации будут назначены роли.

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  2. Получите идентификатор пользователя.

  3. Сформируйте тело запроса, например, в файле body.json. В свойстве action укажите ADD, а в свойстве subject — тип userAccount и идентификатор пользователя:

    Пример файла body.json:

    {
  "accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
      "roleId": "organization-manager.admin",
      "subject": {
        "id": "gfei8n54hmfh********",
        "type": "userAccount"
      }
    }
  }]
}

  4. Назначьте роль. Например, для организации с идентификатором bpf3crucp1v2********:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:updateAccessBindings"

    Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса в документации Yandex Identity and Access Management и Yandex Resource Manager:

Аналогичным образом можно назначить роль на организацию сервисному аккаунту.

Отозвать роль у пользователя

Если вы хотите запретить пользователю доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее об управлении доступом в Yandex Cloud читайте в документации Yandex Identity and Access Management.

Отозвать роль может пользователь с ролью администратора organization-manager.admin или владельца organization-manager.organizations.owner организации. О том, как назначить пользователю роль, читайте в разделе Роли.

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Найдите в списке нужного пользователя. При необходимости воспользуйтесь строкой поиска или фильтром.

  4. В строке с нужным пользователем нажмите значок и выберите Назначить роли. В открывшемся окне:

    1. Нажмите значок рядом с ролью, чтобы удалить ее.

    2. Нажмите кнопку Сохранить.

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

  1. Посмотрите, кому и какие роли назначены на ресурс:

    yc <имя_сервиса> <ресурс> list-access-bindings <имя_или_идентификатор_ресурса>
    • <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например organization-manager.
    • <ресурс> — категория ресурса. Для организации всегда имеет значение organization.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Для организации в качестве имени используйте техническое название.

    Например, посмотрите, кому и какие роли назначены в организации с идентификатором bpf3crucp1v2********:

    yc organization-manager organization list-access-bindings bpf3crucp1v2********

    Результат:

    +------------------------------------------+--------------+----------------------+
|                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
+------------------------------------------+--------------+----------------------+
| organization-manager.organizations.owner | userAccount  | aje3r40rsemj******** |
| organization-manager.admin               | userAccount  | aje6o61dvog2******** |
+------------------------------------------+--------------+----------------------+

  2. Чтобы удалить права доступа, выполните команду:

    yc <имя_сервиса> <ресурс> remove-access-binding <имя_или_идентификатор_ресурса> \
    --role <идентификатор_роли> \
    --subject <тип_субъекта>:<идентификатор_субъекта>
    • --role — идентификатор роли, которую надо отозвать, например organization-manager.admin.
    • --subject — тип и идентификатор субъекта, у которого отзывается роль.

    Например, чтобы отозвать роль у пользователя с идентификатором aje6o61dvog2********:

    yc organization-manager organization remove-access-binding bpf3crucp1v2******** \
    --role organization-manager.admin \
    --subject userAccount:aje6o61dvog2********

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

  1. Посмотрите, кому и какие роли назначены на ресурс с помощью метода listAccessBindings. Например, чтобы посмотреть роли в организации с идентификатором bpf3crucp1v2********:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:listAccessBindings"

    Результат:

    {
"accessBindings": [
{
  "subject": {
  "id": "aje6o61dvog2********",
  "type": "userAccount"
  },
  "roleId": "organization-manager.admin"
}
]
}

  2. Сформируйте тело запроса, например в файле body.json. В теле запроса укажите, какие права доступа необходимо удалить. Например, отзовите у пользователя aje6o61dvog2******** роль organization-manager.admin:

    Пример файла body.json:

    {
  "accessBindingDeltas": [{
    "action": "REMOVE",
    "accessBinding": {
      "roleId": "organization-manager.admin",
      "subject": {
        "id": "aje6o61dvog2********",
        "type": "userAccount"
      }
    }
  }]
}

  3. Отзовите роль, удалив указанные права доступа:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:updateAccessBindings"

Назначить роль группе пользователей

Назначьте группе пользователей роль, чтобы предоставить доступ к какому-либо ресурсу. Воспользуйтесь инструкцией Настроить доступ к управлению группой, чтобы дать субъекту права на доступ к группе.

В сервисе Yandex Identity Hub группе можно назначить роль на организацию, облако, каталог, другую группу или сервисный аккаунт.

Назначить роль на облако или каталог

  1. Войдите в консоль управления с учетной записью администратора или владельца облака.

  2. В левой части экрана нажмите на строку с именем облака или каталога, на который вы хотите назначить роль группе пользователей.

  3. В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:

    1. Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.

      Вы также можете назначить роль одной из системных групп:

      • All users in organization X — в группу входят все пользователи организации X.
      • All users in federation N — в группу входят все пользователи федерации N.

    2. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на облако или каталог, который вы выбрали ранее. Вы можете назначить несколько ролей.

    3. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Выберите роль из справочника ролей Yandex Cloud.

  2. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
  --role <идентификатор_роли> \
  --subject group:<идентификатор_группы>

    Где:

    • --role — идентификатор роли, например, resource-manager.clouds.owner.

    • --subject group — идентификатор группы, которой назначается роль.

      Для того чтобы назначить роль одной из системных групп, вместо параметра --subject используйте параметр --organization-users <идентификатор_организации> или --federation-users <идентификатор_федерации>, передав в нем соответственно идентификатор организации или федерации удостоверений, всем пользователям, которым вы хотите назначить роль.

      Вы также можете назначить роль системной группе с помощью параметра --subject. Для этого передайте в нем идентификатор субъекта, соответствующий выбранной системной группе.

    Например, назначьте роль resource-manager.viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
  --role resource-manager.viewer \
  --subject group:aje6o61dvog2********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:

    resource "yandex_resourcemanager_cloud_iam_member" "admin" {
  cloud_id    = "<идентификатор_облака>"
  role        = "<идентификатор_роли>"
  member      = "group:<идентификатор_группы>"
}

    Где:

    • cloud_idидентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместо cloud_id укажите folder_id и нужный идентификатор каталога в параметрах ресурса.

    • role — назначаемая роль. Обязательный параметр.

    • member — группа, которой назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

      Для того чтобы назначить роль одной из системных групп, в параметре member укажите:

      • system:group:organization:<идентификатор_организации>:users — чтобы назначить роль системной группе All users in organization X;
      • system:group:federation:<идентификатор_федерации>:users — чтобы назначить роль системной группе All users in federation N.

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_member см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>

Воспользуйтесь методом REST API updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из справочника ролей Yandex Cloud.

  2. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип group и идентификатор группы:

    body.json:

    {
  "accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
      "roleId": "editor",
      "subject": {
        "id": "<идентификатор_группы>",
        "type": "group"
      }
    }
  }]
}

  3. Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором b1gvmob95yys********:

    export FOLDER_ID=b1gvmob95yys********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:

Назначить роль на организацию

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Справа сверху нажмите кнопку Назначить роли.

  4. Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.

    Вы также можете назначить роль одной из системных групп:

    • All users in organization X — в группу входят все пользователи организации X.
    • All users in federation N — в группу входят все пользователи федерации N.

  5. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на организацию. Вы можете назначить несколько ролей.

  6. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Назначьте роль для группы:

    yc organization-manager organization add-access-binding \
  --subject group:<идентификатор_группы> \
  --role <идентификатор_роли> \
  --organization-users <идентификатор_организации> \
  --federation-users <идентификатор_федерации>

    Для того чтобы назначить роль одной из системных групп, вместо параметра --subject используйте параметр --organization-users <идентификатор_организации> или --federation-users <идентификатор_федерации>. Передайте в нем соответственно идентификатор организации или федерации удостоверений, всем пользователям которых вы хотите назначить роль.

    Вы также можете назначить роль системной группе с помощью параметра --subject. Для этого передайте в нем идентификатор субъекта, соответствующий выбранной системной группе.

  2. Проверьте, что запрошенные права были выданы:

    yc organization-manager organization list-access-bindings <идентификатор_организации>

    Ответ содержит список всех ролей, выданных пользователям и группам в организации:

    +------------------------------------------+--------------+----------------------+
|                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
+------------------------------------------+--------------+----------------------+
| organization-manager.admin               | userAccount  | ajev1p2345lj******** |
| organization-manager.organizations.owner | userAccount  | ajev1p2345lj******** |
| editor                                   | group        | ajev1p2345lj******** |
| viewer                                   | group        | ajev1p2345lj******** |
+------------------------------------------+--------------+----------------------+

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:

    resource "yandex_organizationmanager_organization_iam_member" "users-editors" {
  organization_id = "<идентификатор_организации>"
  role            = "<идентификатор_роли>"
  member          = "group:<идентификатор_группы>"
}

    Где:

    • organization_idидентификатор организации. Обязательный параметр.

    • role — назначаемая роль. Обязательный параметр.

    • member — группа, которой назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

      Для того чтобы назначить роль одной из системных групп, в параметре member укажите:

      • system:group:organization:<идентификатор_организации>:users — чтобы назначить роль системной группе All users in organization X;
      • system:group:federation:<идентификатор_федерации>:users — чтобы назначить роль системной группе All users in federation N.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_organization_iam_member см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурсов можно в интерфейсе Cloud Center или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>

Какие роли назначены в организации

Вы можете посмотреть все роли, назначенные субъектам в организации:

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. На странице Права доступа отобразится информация о пользователях и ролях, которые им назначены.

    Если у вас несколько организаций, вы можете переключиться на нужную. Для этого в левом верхнем углу экрана рядом с названием текущей организации нажмите значок и выберите нужную организацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите список доступных организаций:

    yc organization-manager organization list

    Результат:

    +----------------------+-----------------------------+-------------------------+--------+
|          ID          |            NAME             |          TITLE          | LABELS |
+----------------------+-----------------------------+-------------------------+--------+
| bpf1smsil5q0******** | org1-technical-name         | Organization One        |        |
| bpf2c65rqcl8******** | org2-technical-name         | Organization Two        |        |
| bpfaidqca8vd******** | org3-technical-name         | Organization Three      |        |
+----------------------+-----------------------------+-------------------------+--------+

    Из колонки ID скопируйте идентификатор нужной организации.

  2. Посмотрите описание команды CLI для получения списка ролей, назначенных в организации:

    yc organization-manager organization list-access-bindings --help

  3. Получите перечень ролей, назначенных в организации, указав ее имя или идентификатор:

    yc organization-manager organization list-access-bindings <идентификатор_организации>

    Результат:

    +------------------------------------------+----------------+----------------------+
|                 ROLE ID                  |  SUBJECT TYPE  |      SUBJECT ID      |
+------------------------------------------+----------------+----------------------+
| auditor                                  | serviceAccount | ajefbjkmgjt1******** |
| admin                                    | userAccount    | asefbskmgjt1******** |
| organization-manager.organizations.owner | userAccount    | ajcfabjkmgjt******** |
+------------------------------------------+----------------+----------------------+

Воспользуйтесь методом REST API ListAccessBindings для ресурса Organization или вызовом gRPC API OrganizationService/ListAccessBindings.

Предыдущая
Ошибки аутентификации с аккаунтом на Яндексе
Следующая
Правила тарификации