Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Федерации удостоверений
      • Аутентификация с помощью Active Directory
      • Аутентификация с помощью G-Suite
      • Аутентификация с помощью федерации удостоверений
      • Добавление пользователей
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • SAML-совместимые федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex.Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST
      • Обзор
      • ApiKey
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Обзор
        • create
      • Key
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Обзор
        • get
        • list
      • ServiceAccount
        • Обзор
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Обзор
        • get
      • YandexPassportUserAccount
        • Обзор
        • getByLogin
      • Operation
        • Обзор
        • get
      • Federation
        • Обзор
        • update
        • list
        • listUserAccounts
        • get
        • delete
        • addUserAccounts
        • create
        • listOperations
      • Certificate
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
      • AccessKey
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Пошаговые инструкции
  2. Роли
  3. Просмотр назначенных ролей

Просмотр назначенных ролей

    Чтобы посмотреть права аккаунта на ресурс, необходимо получить список ролей, назначенных на этот ресурс и на родительские ресурсы. Назначенные роли наследуются от родительского ресурса дочернему. Например, если вы хотите узнать, какие права у аккаунта на каталог, посмотрите роли на этот каталог и на облако, которому принадлежит каталог.

    Чтобы посмотреть права на все ресурсы в облаке, необходимо выполнить эту операцию для каждого ресурса, на который можно назначить роль. Сейчас нет отдельной команды, чтобы получить список всех ролей аккаунта в облаке.

    Консоль управления
    CLI
    API

    Чтобы посмотреть роли пользователя с аккаунтом на Яндексе или федеративного пользователя:

    1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

    2. Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.

    Для сервисного аккаунта в консоли управления можно посмотреть только роли на каталог, в котором был создан сервисный аккаунт (чтобы посмотреть роли на другие ресурсы, используйте CLI или API):

    1. Перейдите в каталог, которому принадлежит сервисный аккаунт.
    2. Выберите вкладку Сервисные аккаунты.
    3. Роли сервисного аккаунта на текущий каталог перечислены в столбце Роли в каталоге.
    1. Получите идентификатор аккаунта:

      1. Инструкция для сервисных аккаунтов.
      2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.
    2. Получите идентификатор или имя желаемого ресурса.

    3. Посмотрите, какие роли назначены на ресурс:

      $ yc <SERVICE-NAME> <RESOURCE> list-access-bindings <RESOURCE-NAME>|<RESOURCE-ID>
      

      где:

      • <SERVICE-NAME> — имя сервиса, которому принадлежит ресурс, например resource-manager.
      • <RESOURCE> — категория ресурса, например folder.
      • <RESOURCE-NAME> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
      • <RESOURCE-ID> — идентификатор ресурса.

      Например, посмотрите кому и какие роли назначены на каталог default:

      $  yc resource-manager folder list-access-bindings default
      +---------------------+----------------+----------------------+
      |       ROLE ID       |  SUBJECT TYPE  |      SUBJECT ID      |
      +---------------------+----------------+----------------------+
      | editor              | serviceAccount | ajepg0mjas06siuj5usm |
      | viewer              | userAccount    | aje6o61dvog2h6g9a33s |
      +---------------------+----------------+----------------------+
      

      В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны системные группы allUsers и allAuthenticatedUsers.

    4. Повторите предыдущие два шага для всех родительских ресурсов.

    1. Получите идентификатор аккаунта:

      1. Инструкция для сервисных аккаунтов.
      2. Инструкция для пользователей с аккаунтом на Яндексе и федеративных пользователей.
    2. Получите идентификатор или имя желаемого ресурса.

    3. Посмотрите, кому и какие роли назначены на ресурс с помощью метода listAccessBindings. Например, чтобы посмотреть роли на каталог b1gvmob95yysaplct532:

      $ export FOLDER_ID=b1gvmob95yysaplct532
      $ export IAM_TOKEN=CggaATEVAgA...
      $ curl -H "Authorization: Bearer ${IAM_TOKEN}" "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:listAccessBindings"
      
      {
        "accessBindings": [
        {
          "subject": {
            "id": "ajei8n54hmfhuk5nog0g",
            "type": "userAccount"
          },
          "roleId": "editor"
        }
        ]
      }
      

      В ответе сервера найдите все строки, где в субъекте указан идентификатор требуемого аккаунта, а также где в качестве субъекта указаны системные группы allUsers и allAuthenticatedUsers.

    4. Повторите предыдущие два шага для всех родительских ресурсов.

    См. также

    • Отзыв роли на ресурс
    • Назначение роли
    Language
    Вакансии
    Политика конфиденциальности
    Условия использования
    © 2021 ООО «Яндекс.Облако»