Настройка права доступа к облаку
Чтобы предоставить пользователю доступ ко всем ресурсам в облаке, назначьте ему роль на это облако.
Назначить роль на облако
-
Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
-
Выберите пользователя, которому хотите назначить роль, нажмите значок
и выберите Настроить роли. - Нажмите значок
в блоке Роли на облако <имя облака>. - Выберите необходимую роль из списка.
-
Посмотрите описание команды для назначения роли на облако:
$ yc resource-manager cloud add-access-binding --help -
Выберите облако, например
my-cloud:$ yc resource-manager cloud list +----------------------+----------+ | ID | NAME | +----------------------+----------+ | b1gg8sgd16g7qca5onqs | my-cloud | +----------------------+----------+ -
Выберите роль:
$ yc iam role list +--------------------------------+-------------+ | ID | DESCRIPTION | +--------------------------------+-------------+ | admin | | | compute.images.user | | | editor | | | ... | | +--------------------------------+-------------+ -
Узнайте ID пользователя по логину или адресу электронной почты. Чтобы назначить роль не пользователю, а сервисному аккаунту или системной группе используйте примеры ниже.
$ yc iam user-account get test-user id: gfei8n54hmfhuk5nogse yandex_passport_user_account: login: test-user default_email: test-user@yandex.ru -
Назначьте пользователю
test-userрольeditorна облакоmy-cloud. В субъекте укажите типuserAccountи ID пользователя:$ yc resource-manager cloud add-access-binding my-cloud \ --role editor \ --subject userAccount:gfei8n54hmfhuk5nogse
Воспользуйтесь методом updateAccessBindings для ресурса Cloud. Вам понадобится ID облака и ID пользователя, которому назначается роль на облако.
-
Узнайте ID облака с помощью метода list:
$ curl -H "Authorization: Bearer <IAM-TOKEN>" \ https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds { "clouds": [ { "id": "b1gg8sgd16g7qca5onqs", "createdAt": "2018-09-23T12:14:45Z", "name": "cloud-b1gg8sgd16g7qc" } ] } -
Узнайте ID пользователя по логину с помощью метода getByLogin:
$ curl -H "Authorization: Bearer <IAM-TOKEN>" \ https://iam.api.cloud.yandex.net/iam/v1/yandexPassportUserAccounts:byLogin?login=test-user { "id": "gfei8n54hmfhuk5nogse", "yandexPassportUserAccount": { "login": "test-user", "defaultEmail": "test-user@yandex.ru" } } -
Назначьте пользователю роль
editorна облакоmy-cloud. В свойствеactionукажитеADD, а в свойствеsubject- типuserAccountи ID пользователя:$ curl -X POST \ -H 'Content-Type: application/json' \ -H "Authorization: Bearer <IAM-TOKEN>" \ -d '{ "accessBindingDeltas": [{ "action": "ADD", "accessBinding": { "roleId": "editor", "subject": { "id": "gfei8n54hmfhuk5nogse", "type": "userAccount" }}}]}' \ https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds/b1gg8sgd16g7qca5onqs:updateAccessBindings
Примеры
- Назначить несколько ролей
- Доступ к облаку для сервисного аккаунта
- Доступ к ресурсу всем пользователям
Назначить несколько ролей
Команда add-access-binding позволяет добавить только одну роль. Вы можете назначить несколько ролей с помощью команды set-access-binding.
Внимание
Команда set-access-binding полностью перезаписывает права доступа к ресурсу! Все текущие роли на ресурс будут удалены.
- Убедитесь, что на ресурс не назначено ролей, которые вы не хотите потерять:
$ yc resource-manager cloud list-access-binding my-cloud - Например, назначьте роль нескольким пользователям:
$ yc resource-manager cloud set-access-bindings my-cloud \ --access-binding role=editor,subject=userAccount:gfei8n54hmfhuk5nogse --access-binding role=viewer,subject=userAccount:helj89sfj80aj24nugsz
Назначьте одному пользователю роль editor, а другому viewer:
$ curl -X POST \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer <IAM-TOKEN>" \
-d '{
"accessBindingDeltas": [{
"action": "ADD",
"accessBinding": {
"roleId": "editor",
"subject": {
"id": "gfei8n54hmfhuk5nogse",
"type": "userAccount"
}
}
},{
"action": "ADD",
"accessBinding": {
"roleId": "viewer",
"subject": {
"id": "helj89sfj80aj24nugsz",
"type": "userAccount"
}}}]}' \
https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds/b1gg8sgd16g7qca5onqs:updateAccessBindings
Вы также можете назначать роли с помощью метода setAccessBindings.
Внимание
Метод setAccessBindings полностью перезаписывает права доступа к ресурсу! Все текущие роли на ресурс будут удалены.
curl -X POST \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer <IAM-TOKEN>" \
-d '{
"accessBindings": [{
"roleId": "editor",
"subject": { "id": "ajei8n54hmfhuk5nog0g", "type": "userAccount" }
},{
"roleId": "viewer",
"subject": { "id": "helj89sfj80aj24nugsz", "type": "userAccount" }
}]}' \
https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds/b1gg8sgd16g7qca5onqs:setAccessBindings
Доступ к облаку для сервисного аккаунта
Сервисному аккаунту можно назначать роли только на облако, которому он принадлежит.
Разрешите сервисному аккаунту test-sa управлять облаком my-cloud и ресурсами в нем:
-
Узнайте ID сервисного аккаунта
test-sa, которому вы хотите назначить роль. Чтобы узнать ID, получите список доступных сервисных аккаунтов:$ yc iam service-account list +----------------------+----------+------------------+ | ID | NAME | DESCRIPTION | +----------------------+----------+------------------+ | ajebqtreob2dpblin8pe | test-sa | test-description | +----------------------+----------+------------------+ -
Назначьте роль
editorсервисному аккаунтуtest-sa, указав его ID. В типе субъекта укажитеserviceAccount:$ yc resource-manager cloud add-access-binding my-cloud \ --role editor \ --subject serviceAccount:ajebqtreob2dpblin8pe
-
Узнайте ID сервисного аккаунта
test-sa, которому вы хотите назначить роль. Чтобы узнать ID, получите список доступных сервисных аккаунтов:$ curl -H "Authorization: Bearer <IAM-TOKEN>" \ https://iam.api.cloud.yandex.net/iam/v1/serviceAccounts?folderId=b1gvmob95yysaplct532 { "serviceAccounts": [ { "id": "ajebqtreob2dpblin8pe", "folderId": "b1gvmob95yysaplct532", "createdAt": "2018-10-18T13:42:40Z", "name": "test-sa", "description": "test-description" } ] } -
Назначьте сервисному аккаунту
test-saрольeditorна облакоmy-cloud. В свойствеsubjectукажите типserviceAccountи IDtest-sa. В URL запроса в качестве ресурса укажите IDmy-cloud:
$ curl -X POST \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer <IAM-TOKEN>" \
-d '{
"accessBindingDeltas": [{
"action": "ADD",
"accessBinding": {
"roleId": "editor",
"subject": {
"id": "ajebqtreob2dpblin8pe",
"type": "serviceAccount"
}}}]}' \
https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds/b1gg8sgd16g7qca5onqs:updateAccessBindings
Доступ к ресурсу всем пользователям
Вы можете предоставить публичный доступ к ресурсу. Для этого назначьте роль системной группе allAuthenticatedUsers или allUsers.
Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner и resource-manager.clouds.member.
Внимание
Не назначайте системной группе роли editor и admin на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться Яндекс.Облаком за ваш счет.
Например, разрешите любому прошедшему аутентификацию пользователю просматривать информацию об облаке my-cloud и ресурсах в нем:
Назначьте роль viewer системной группе allAuthenticatedUsers. В типе субъекта укажите system:
$ yc resource-manager cloud add-access-binding my-cloud \
--role viewer \
--subject system:allAuthenticatedUsers
Назначьте роль viewer системной группе allAuthenticatedUsers. В свойстве subject укажите тип system:
$ curl -X POST \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer <IAM-TOKEN>" \
-d '{
"accessBindingDeltas": [{
"action": "ADD",
"accessBinding": {
"roleId": "viewer",
"subject": {
"id": "allAuthenticatedUsers",
"type": "system"
}}}]}' \
https://resource-manager.api.cloud.yandex.net/resource-manager/v1/clouds/b1gg8sgd16g7qca5onqs:updateAccessBindings