Назначение роли сервисному аккаунту
Этот раздел про назначение роли сервисному аккаунту на какой либо ресурс. Чтобы назначить другому пользователю роль на сервисный аккаунт как на ресурс, воспользуйтесь инструкцией Настройка прав доступа к сервисному аккаунту.
Сервисному аккаунту можно назначать роли только на ресурсы облака, которому принадлежит каталог сервисного аккаунта.
Через консоль управления сервисному аккаунту можно назначить роль только на каталоги, которые находятся в том же облаке, что и каталог, в котором был создан сервисный аккаунт. Чтобы назначить ему роль на другой ресурс, используйте CLI или API.
Чтобы назначить сервисному аккаунту роль на каталог:
- В консоли управления откройте страницу каталога, на который будет назначена роль.
- Перейдите в раздел Права доступа в каталоге (кнопка Права доступа на панели слева).
- Установите переключатель Наследуемые роли в активное состояние, чтобы в списке отобразились сервисные аккаунты, которые не принадлежат текущему каталогу.
- Нажмите значок напротив имени сервисного аккаунта.
- Нажмите кнопку Изменить роли.
- Нажмите кнопку Добавить роль и выберите роль, которую хотите добавить.
- Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.
Чтобы назначить сервисному аккаунту роль на ресурс, выполните команду:
yc <service-name> <resource> add-access-binding <resource-name>|<resource-id> \
--role <role-id> \
--subject serviceAccount:<service-account-id>
Где:
<service-name>— имя сервиса, на чей ресурс назначается роль, напримерresource-manager.<resource>— категория ресурса, напримерcloud.<resource-name>— имя ресурса. Вы можете указать ресурс по имени или идентификатору.<resource-id>— идентификатор ресурса.<role-id>— идентификатор роли, напримерresource-manager.clouds.owner.<service-account-id>— идентификатор сервисного аккаунта, которому назначается роль.
Например, чтобы назначить сервисному аккаунту роль viewer на каталог my-folder:
-
Узнайте идентификатор сервисного аккаунта по его имени:
yc iam service-account get my-robotРезультат:
id: aje6o61dvog2h6g9a33s folder_id: b1gvmob95yysaplct532 created_at: "2018-10-15T18:01:25Z" name: my-robotЕсли вы не знаете имя сервисного аккаунта, получите список сервисных аккаунтов с их идентификаторами:
yc iam service-account listРезультат:
+----------------------+------------------+-----------------+ | ID | NAME | DESCRIPTION | +----------------------+------------------+-----------------+ | aje6o61dvog2h6g9a33s | my-robot | my description | +----------------------+------------------+-----------------+ -
Назначьте роль сервисному аккаунту
my-robot, используя его идентификатор:yc resource-manager folder add-access-binding my-folder \ --role viewer \ --subject serviceAccount:aje6o61dvog2h6g9a33s
-
Узнайте ID каталога с сервисными аккаунтами.
-
Получите список сервисных аккаунтов в каталоге, чтобы узнать их идентификаторы:
export FOLDER_ID=b1gvmob95yysaplct532 export IAM_TOKEN=CggaATEVAgA... curl -H "Authorization: Bearer ${IAM_TOKEN}" \ "https://iam.api.cloud.yandex.net/iam/v1/serviceAccounts?folderId=${FOLDER_ID}"Результат:
{ "serviceAccounts": [ { "id": "ajebqtreob2dpblin8pe", "folderId": "b1gvmob95yysaplct532", "createdAt": "2018-10-18T13:42:40Z", "name": "my-robot", "description": "my description" } ] } -
Сформируйте тело запроса, например в файле
body.json. В свойствеactionукажитеADD, а в свойствеsubject- типserviceAccountи ID сервисного аккаунта:body.json:
{ "accessBindingDeltas": [{ "action": "ADD", "accessBinding": { "roleId": "editor", "subject": { "id": "ajebqtreob2dpblin8pe", "type": "serviceAccount" } } } ] } -
Назначьте роль, например на каталог с идентификатором
b1gvmob95yysaplct532:export FOLDER_ID=b1gvmob95yysaplct532 export IAM_TOKEN=CggaATEVAgA... curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer ${IAM_TOKEN}" \ -d '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
folder_id— идентификатор каталога. Обязательный параметр.role— назначаемая роль. Обязательный параметр.members— список пользователей и сервисных аккаунтов, которым назначается роль. Указывается в видеuserAccount:<идентификатор пользователя>илиserviceAccount:<идентификатор сервисного аккаунта>. Обязательный параметр.
resource "yandex_resourcemanager_folder_iam_binding" "admin-account-iam" { folder_id = "<идентификатор каталога>" role = "<роль>" members = [ "serviceAccount:<идентификатор сервисного аккаунта>", ] }Более подробную информацию о параметрах ресурса
yandex_resourcemanager_folder_iam_binding, см. в документации провайдера. -
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в папку, где вы создали конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов: введите в терминал слово
yesи нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:
yc resource-manager folder list-access-bindings <имя каталога>|<идентификатор каталога> -