Управлять политиками авторизации каталога
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Политики авторизации — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики авторизации создаются на основе шаблонов и дополняют систему ролей, делая управление доступом более гибким.
Управлять политиками авторизации каталога может пользователь, которому назначена роль resource-manager.admin или admin на этот каталог.
Создать политику авторизации для каталога
Чтобы создать для каталога политику авторизации на основе шаблона без дополнительных параметров:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список поддерживаемых шаблонов политик авторизации с идентификаторами.
-
Выполните команду:
yc resource-manager folder bind-access-policy \ --name <имя_каталога> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя каталога, для которого вы хотите создать политику. Вместо имени каталога вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона, на основе которого вы хотите создать политику авторизации для указанного каталога.
-
Убедитесь, что политика была создана.
Воспользуйтесь методом REST API bindAccessPolicy для ресурса Folder или вызовом gRPC API FolderService/BindAccessPolicy.
Созданная политика авторизации будет применяться ко всем ресурсам в заданном каталоге.
Посмотреть список политик авторизации каталога
Чтобы посмотреть список политик авторизации, созданных для каталога:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
Выполните команду, указав имя или идентификатор каталога, для которого вы хотите посмотреть созданные политики:
yc resource-manager folder list-access-policy-bindings <имя_или_идентификатор_каталога>
Результат:
+---------------------------------------+
| ACCESS POLICY TEMPLATE ID |
+---------------------------------------+
| iam.denyServiceAccountApiKeysCreation |
+---------------------------------------+
Воспользуйтесь методом REST API listAccessPolicyBindings для ресурса Folder или вызовом gRPC API FolderService/ListAccessPolicyBindings.
Удалить политику авторизации, созданную для каталога
Чтобы удалить политику авторизации, созданную для каталога:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
-
Получите список идентификаторов шаблонов политик авторизации, назначенных на каталог.
-
Выполните команду:
yc resource-manager folder unbind-access-policy \ --name <имя_каталога> \ --access-policy-template-id=<идентификатор_шаблона_политики>Где:
--name— имя каталога, для которого вы хотите удалить политику. Вместо имени каталога вы можете указать его идентификатор в параметре--id.--access-policy-template-id— идентификатор шаблона политики авторизации, которую вы хотите удалить для указанного каталога.
-
Убедитесь, что политика была удалена.
Воспользуйтесь методом REST API unbindAccessPolicy для ресурса Folder или вызовом gRPC API FolderService/UnbindAccessPolicy.
Указанная политика авторизации перестанет применяться к ресурсам в заданном каталоге.