Подключиться
Yandex Cloud Organization

Управление группами пользователей

Статья создана

Для организаций, в которых много участников, одинаковые права доступа к ресурсам Yandex Cloud могут потребоваться сразу нескольким пользователям. В этом случае роли и доступы удобнее выдавать не персонально, а для группы.

Вы можете группировать пользователей по любому признаку: например, в соответствии с их должностными обязанностями или отделом.

Примечание

Группы поддерживают только одноуровневую структуру.

Для групп установлены ограничения по умолчанию:

  • количество групп в организации — 100;
  • количество членов в группе — 1000;
  • количество групп, в которых может состоять пользователь — 1000.

Для увеличения квот обратитесь в техническую поддержку.

Создать группу

  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы .

  4. В правом верхнем углу страницы нажмите Создать группу и введите название и описание группы.

Добавить участников

  1. Перейдите в сервис Yandex Cloud Organization.

  2. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Участники.

  4. Нажмите Добавить участника.

  5. В окне Добавление участников выберите пользователей из списка или воспользуйтесь поиском по пользователям.

  6. Нажмите Сохранить.

Примечание

В группу нельзя добавить сервисные аккаунты.

Редактировать группу

Чтобы изменить название или описание группы:

  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы .

  4. Выберите группу в списке и нажмите значок напротив имени группы.

  5. Нажмите Изменить и введите новое название или описание группы.

  6. Нажмите Сохранить.

Настроить доступ к управлению группой

Измените права субъекта на доступ к группе как к ресурсу.

Назначить роль

Вы можете назначить роль на группу как на ресурс. Роль можно выдать пользователям и группам из вашей организации.

Например, разрешите пользователю просматривать информацию о группе и управлять составом участников:

  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  4. Перейдите на вкладку Права доступа к группе.

  5. Нажмите Назначить роли.

  6. Нажмите Выбрать пользователя.

  7. Выберите пользователя или группу из списка или воспользуйтесь поиском.

  8. Нажмите Добавить роль и выберите organization-manager.groups.memberAdmin.

  9. Нажмите Сохранить.

Пользователь отобразится в списке прав доступа к группе.

Отозвать роль

Чтобы отозвать у пользователя роль на группу:

  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  4. Перейдите на вкладку Права доступа к группе.

  5. Выберите пользователя в списке и нажмите напротив имени пользователя.

  6. Нажмите Настроить доступ.

  7. Нажмите напротив роли, которую хотите отозвать.

  8. Нажмите Сохранить.

Совет

Чтобы открыть список пользователей, которым доступно управление группой на уровне роли в организации (например, администратор или владелец организации), перейдите на вкладку Права доступа к группе и включите опцию Наследуемые роли.

Настроить доступ группы к работе в Yandex Cloud

Чтобы участники группы могли работать с сервисами Yandex Cloud, назначьте группе соответствующие роли.

Назначить роль на отдельный ресурс

В консоли управления можно назначить роль на облако, каталог или сервисный аккаунт.

Чтобы выдать доступ группе на ресурс:

  1. Выберите облако или каталог.

  2. Перейдите на вкладку Права доступа.

  3. Нажмите Назначить роли.

  4. В окне Настройка прав доступа нажмите Выбрать пользователя.

  5. Перейдите на вкладку Группы и выберите группу, или воспользуйтесь поиском по названию группы.

  6. Нажмите Добавить роль.

  7. Выберите роль в облаке или каталоге.

  8. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

  1. Выберите роль из списка в разделе Роли.

  2. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_ресурса>|<идентификатор_ресурса> \
  --role <идентификатор_роли> \
  --subject group:<идентификатор_группы>

    Где:

    • <имя_сервиса> — имя сервиса, для доступа к ресурсу которого назначается роль, например resource-manager.
    • <ресурс> — категория ресурса, например cloud.
    • <имя_ресурса> — имя ресурса. Вы можете указать имя или идентификатор ресурса.
    • <идентификатор_ресурса> — идентификатор ресурса.
    • <идентификатор_роли> — идентификатор роли, например resource-manager.clouds.owner.
    • <идентификатор_группы> — идентификатор группы, которой назначается роль.

    Например, назначьте роль resource-manager.viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
  --role resource-manager.viewer \
  --subject group:aje6o61dvog2h6g9a33s

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из списка в разделе Роли.

  2. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип group и идентификатор группы:

    body.json:

    {
    "accessBindingDeltas": [{
        "action": "ADD",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "<идентификатор_группы>",
                "type": "group"
                }
            }
        }
    ]
}

  3. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и перечень групп:

    resource "yandex_resourcemanager_cloud_iam_binding" "admin" {
  cloud_id    = "<идентификатор_облака>"
  role        = "<идентификатор_роли>"
  members     = ["group:<идентификатор_группы>"]
}

    Где:

    • cloud_idидентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместо cloud_id укажите folder_id и нужный идентификатор каталога в параметрах ресурса.
    • role — назначаемая роль. Обязательный параметр.
    • members — список групп, которым назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_binding, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <folder-name>|<folder-id>

Назначить роль на всю организацию

Роль, которая выдана на всю организацию, позволяет участникам группы управлять всеми ресурсами Yandex Cloud, которые подключены к организации, в соответствии с правами роли.

  1. Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

  2. Назначьте роль для группы:

    yc organization-manager organization add-access-binding \
--subject=group:<идентификатор_группы> \
--role=<идентификатор_роли> \
<идентификатор_организации>

  3. Проверьте, что запрошенные права были выданы:

    yc organization-manager organization list-access-bindings <идентификатор_организации>

    Ответ содержит список всех ролей, выданных пользователям и группам в организации:

    +------------------------------------------+--------------+----------------------+
|                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
+------------------------------------------+--------------+----------------------+
| organization-manager.admin               | userAccount  | ajev1p2345lj67u89adi |
| organization-manager.organizations.owner | userAccount  | ajev1p2345lj67u89adi |
| editor                                   | group        | ajeq123cmuotesu4e567 |
| viewer                                   | group        | ajeq123cmuotesu4e567 |
+------------------------------------------+--------------+----------------------+
В этой статье: