Управлять политиками авторизации облака
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики авторизации создаются на основе шаблонов и дополняют систему ролей, делая управление доступом более гибким.
Управлять политиками авторизации облака может пользователь, которому назначена роль resource-manager.admin или admin на это облако.
Создать политику авторизации для облака
Чтобы создать для облака политику авторизации на основе шаблона без дополнительных параметров:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.
-
Выполните команду:
yc resource-manager cloud bind-access-policy \ --name <имя_облака> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя облака, для которого вы хотите создать политику. Вместо имени облака вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанного облака.
-
Убедитесь, что политика была создана.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Cloud или вызовом gRPC API CloudService/BindAccessPolicy.
Созданная политика авторизации будет применяться к ресурсам внутри всех каталогов в пределах заданного облака.
Посмотреть список политик авторизации облака
Чтобы посмотреть список политик авторизации, созданных для облака:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
Выполните команду, указав имя или идентификатор облака, для которого вы хотите посмотреть созданные политики:
yc resource-manager cloud list-access-policy-bindings <имя_или_идентификатор_облака>
Результат:
+---------------------------------------+
| ACCESS POLICY TEMPLATE ID |
+---------------------------------------+
| iam.denyServiceAccountApiKeysCreation |
+---------------------------------------+
Воспользуйтесь методом REST API listAccessPolicyBindings для ресурса Cloud или вызовом gRPC API CloudService/ListAccessPolicyBindings.
Удалить политику авторизации, созданную для облака
Чтобы удалить политику авторизации, созданную для облака:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список идентификаторов шаблонов политик авторизации, назначенных на облако.
-
Выполните команду:
yc resource-manager cloud unbind-access-policy \ --name <имя_облака> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя облака, для которого вы хотите удалить политику. Вместо имени облака вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона политики авторизации, которую вы хотите удалить у указанного облака.
-
Убедитесь, что политика была удалена.
Воспользуйтесь методом REST API unbindAccessPolicy для ресурса Cloud или вызовом gRPC API CloudService/UnbindAccessPolicy.
Указанная политика авторизации перестанет применяться к ресурсам внутри всех каталогов в пределах заданного облака.