Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Cloud Organization
  • Начало работы
  • Управление организациями
    • Создать организацию
    • Изменить данные организации
    • Переключиться на другую организацию
  • Управление пользователями
    • Обзор
    • Добавить пользователя
    • Получить идентификатор или почту пользователя
    • Назначить права доступа
    • Удалить аккаунт пользователя
  • Управление группами пользователей
  • Управление федерациями удостоверений
    • Настроить федерацию удостоверений
    • Аутентификация с помощью Active Directory
    • Аутентификация с помощью Google Workspace
    • Аутентификация с помощью Azure Active Directory
    • Аутентификация с помощью Keycloak
    • Аутентификация с помощью SAML-совместимой федерации удостоверений
  • Управление облаками и сервисами
  • Справочник API
    • Аутентификация
    • gRPC (англ.)
      • Overview
      • GroupService
      • OrganizationService
      • UserService
      • CertificateService
      • FederationService
      • OperationService
    • REST (англ.)
      • Overview
      • Group
        • Overview
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listMembers
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
        • updateMembers
      • Organization
        • Overview
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • User
        • Overview
        • deleteMembership
        • listMembers
      • Federation
        • Overview
        • list
        • get
        • listUserAccounts
        • delete
        • addUserAccounts
        • update
        • listOperations
        • create
      • Certificate
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
  • Правила тарификации
  1. Управление группами пользователей

Управление группами пользователей

Статья создана
Yandex Cloud
  • Создать группу
  • Добавить участников
  • Редактировать группу
  • Настроить доступ к управлению группой
    • Назначить роль
    • Отозвать роль
  • Настроить доступ группы к работе в Yandex Cloud
    • Назначить роль на отдельный ресурс
    • Назначить роль на всю организацию

Для организаций, в которых много участников, одинаковые права доступа к ресурсам Yandex Cloud могут потребоваться сразу нескольким пользователям. В этом случае роли и доступы удобнее выдавать не персонально, а для группы.

Вы можете группировать пользователей по любому признаку: например, в соответствии с их должностными обязанностями или отделом.

Примечание

Группы поддерживают только одноуровневую структуру.

Для групп установлены ограничения по умолчанию:

  • количество групп в организации — 100;
  • количество членов в группе — 1000;
  • количество групп, в которых может состоять пользователь — 1000.

Для увеличения квот обратитесь в техническую поддержку.

Создать группу

Cloud Organization
  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы .

  4. В правом верхнем углу страницы нажмите Создать группу и введите название и описание группы.

Добавить участников

Cloud Organization
  1. Перейдите в сервис Yandex Cloud Organization.

  2. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  3. Перейдите на вкладку Участники.

  4. Нажмите Добавить участника.

  5. В окне Добавление участников выберите пользователей из списка или воспользуйтесь поиском по пользователям.

  6. Нажмите Сохранить.

Примечание

В группу нельзя добавить сервисные аккаунты.

Редактировать группу

Чтобы изменить название или описание группы:

Cloud Organization
  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы .

  4. Выберите группу в списке и нажмите значок напротив имени группы.

  5. Нажмите Изменить и введите новое название или описание группы.

  6. Нажмите Сохранить.

Настроить доступ к управлению группой

Измените права субъекта на доступ к группе как к ресурсу.

Назначить роль

Вы можете назначить роль на группу как на ресурс. Роль можно выдать пользователям и группам из вашей организации.

Например, разрешите пользователю просматривать информацию о группе и управлять составом участников:

Cloud Organization
  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  4. Перейдите на вкладку Права доступа к группе.

  5. Нажмите Назначить роли.

  6. Нажмите Выбрать пользователя.

  7. Выберите пользователя или группу из списка или воспользуйтесь поиском.

  8. Нажмите Добавить роль и выберите organization-manager.groups.memberAdmin.

  9. Нажмите Сохранить.

Пользователь отобразится в списке прав доступа к группе.

Отозвать роль

Чтобы отозвать у пользователя роль на группу:

Cloud Organization
  1. Войдите в аккаунт администратора организации.

  2. Перейдите в сервис Yandex Cloud Organization.

  3. На левой панели выберите раздел Группы и нажмите строку с названием группы.

  4. Перейдите на вкладку Права доступа к группе.

  5. Выберите пользователя в списке и нажмите напротив имени пользователя.

  6. Нажмите Настроить доступ.

  7. Нажмите напротив роли, которую хотите отозвать.

  8. Нажмите Сохранить.

Совет

Чтобы открыть список пользователей, которым доступно управление группой на уровне роли в организации (например, администратор или владелец организации), перейдите на вкладку Права доступа к группе и включите опцию Наследуемые роли.

Настроить доступ группы к работе в Yandex Cloud

Чтобы участники группы могли работать с сервисами Yandex Cloud, назначьте группе соответствующие роли.

Назначить роль на отдельный ресурс

В консоли управления можно назначить роль на облако, каталог или сервисный аккаунт.

Чтобы выдать доступ группе на ресурс:

Консоль управления
CLI
API
Terraform
  1. Выберите облако или каталог.

  2. Перейдите на вкладку Права доступа.

  3. Нажмите Назначить роли.

  4. В окне Настройка прав доступа нажмите Выбрать пользователя.

  5. Перейдите на вкладку Группы и выберите группу, или воспользуйтесь поиском по названию группы.

  6. Нажмите Добавить роль.

  7. Выберите роль в облаке или каталоге.

  8. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

  1. Выберите роль из списка в разделе Роли.

  2. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_ресурса>|<идентификатор_ресурса> \
      --role <идентификатор_роли> \
      --subject group:<идентификатор_группы>
    

    Где:

    • <имя_сервиса> — имя сервиса, для доступа к ресурсу которого назначается роль, например resource-manager.
    • <ресурс> — категория ресурса, например cloud.
    • <имя_ресурса> — имя ресурса. Вы можете указать имя или идентификатор ресурса.
    • <идентификатор_ресурса> — идентификатор ресурса.
    • <идентификатор_роли> — идентификатор роли, например resource-manager.clouds.owner.
    • <идентификатор_группы> — идентификатор группы, которой назначается роль.

    Например, назначьте роль resource-manager.viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
      --role resource-manager.viewer \
      --subject group:aje6o61dvog2h6g9a33s
    

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из списка в разделе Роли.

  2. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип group и идентификатор группы:

    body.json:

    {
        "accessBindingDeltas": [{
            "action": "ADD",
            "accessBinding": {
                "roleId": "editor",
                "subject": {
                    "id": "<идентификатор_группы>",
                    "type": "group"
                    }
                }
            }
        ]
    }
    
  3. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
    export IAM_TOKEN=CggaATEVAgA...
    curl -X POST \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ${IAM_TOKEN}" \
      -d '@body.json' \
      "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
    

Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:

  • Настройка прав доступа к сервисному аккаунту
  • Настройка прав доступа к облаку
  • Настройка прав доступа к каталогу

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и перечень групп:

    resource "yandex_resourcemanager_cloud_iam_binding" "admin" {
      cloud_id    = "<идентификатор_облака>"
      role        = "<идентификатор_роли>"
      members     = ["group:<идентификатор_группы>"]
    }
    

    Где:

    • cloud_id — идентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместо cloud_id укажите folder_id и нужный идентификатор каталога в параметрах ресурса.
    • role — назначаемая роль. Обязательный параметр.
    • members — список групп, которым назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_binding, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <folder-name>|<folder-id>
    

Назначить роль на всю организацию

Роль, которая выдана на всю организацию, позволяет участникам группы управлять всеми ресурсами Yandex Cloud, которые подключены к организации, в соответствии с правами роли.

CLI
  1. Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

  2. Назначьте роль для группы:

    yc organization-manager organization add-access-binding \
    --subject=group:<идентификатор_группы> \
    --role=<идентификатор_роли> \
    <идентификатор_организации>
    
  3. Проверьте, что запрошенные права были выданы:

    yc organization-manager organization list-access-bindings <идентификатор_организации>
    

    Ответ содержит список всех ролей, выданных пользователям и группам в организации:

    +------------------------------------------+--------------+----------------------+
    |                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
    +------------------------------------------+--------------+----------------------+
    | organization-manager.admin               | userAccount  | ajev1p2345lj67u89adi |
    | organization-manager.organizations.owner | userAccount  | ajev1p2345lj67u89adi |
    | editor                                   | group        | ajeq123cmuotesu4e567 |
    | viewer                                   | group        | ajeq123cmuotesu4e567 |
    +------------------------------------------+--------------+----------------------+
    

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Создать группу
  • Добавить участников
  • Редактировать группу
  • Настроить доступ к управлению группой
  • Назначить роль
  • Отозвать роль
  • Настроить доступ группы к работе в Yandex Cloud
  • Назначить роль на отдельный ресурс
  • Назначить роль на всю организацию