Отозвать роль на ресурс
Вы можете запретить субъекту доступ к ресурсу, для этого необходимо отозвать у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
- В консоли управления
выберите каталог, в котором нужно отозвать роль на ресурс. - В списке сервисов выберите Container Registry.
- Отзовите роль на ресурс.
- Отозвать роль на реестр:
-
Справа от имени нужного реестра нажмите значок
и выберите ACL реестра. -
В открывшемся окне в строке с именем пользователя, разрешения которого вы хотите отозвать, раскройте выпадающий список.
-
Снимите отметку с роли, которую хотите отозвать.
Чтобы отозвать все разрешения пользователя, нажмите кнопку Отозвать.
-
Нажмите кнопку Сохранить.
-
- Отозвать роль на репозиторий:
-
Выберите нужный реестр.
-
Справа от имени нужного репозитория нажмите значок
и выберите Настроить ACL. -
В открывшемся окне в строке с именем пользователя, разрешения которого вы хотите отозвать, раскройте выпадающий список.
-
Снимите отметку с роли, которую хотите отозвать.
Чтобы отозвать все разрешения пользователя, нажмите кнопку Отозвать.
-
Нажмите кнопку Сохранить.
-
- Отозвать роль на реестр:
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Просмотрите назначенные роли:
yc <имя_сервиса> <ресурс> list-access-bindings <имя_или_идентификатор_ресурса>
Где:
<имя_сервиса>
— имя сервисаcontainer
.<ресурс>
— категория ресурсаregistry
илиrepository
.<имя_или_идентификатор_ресурса>
— имя или идентификатор ресурса, на который назначается роль. Вы можете указать ресурс по имени или идентификатору.
Пример. Просмотрите роли на реестр с идентификатором
crp0pmf1n68d********
:yc container registry list-access-bindings crp0pmf1n68d********
Результат:
+--------------------------+------------------+----------------------+ | ROLE ID | SUBJECT TYPE | SUBJECT ID | +--------------------------+------------------+----------------------+ | container-registry.admin | federatedAccount | kolhpriseeio******** | +--------------------------+------------------+----------------------+
-
Отзовите роль:
yc <имя_сервиса> <ресурс> remove-access-binding <имя_или_идентификатор_ресурса> \ --role <идентификатор_роли> \ --subject userAccount:<идентификатор_пользователя>
Где:
<имя_сервиса>
— имя сервисаcontainer
.<ресурс>
— категория ресурсаregistry
илиrepository
.<имя_или_идентификатор_ресурса>
— имя или идентификатор ресурса, для которого отзывается роль. Вы можете указать ресурс по имени или идентификатору.--role
— идентификатор роли.--subject
— идентификатор группы, пользователя или сервисного аккаунта, для которого отзывается роль.
Пример. Отзовите роль
container-registry.admin
на реестр с идентификаторомcrp0pmf1n68d********
для пользователя с идентификаторомkolhpriseeio********
:yc container registry remove-access-binding crp0pmf1n68d******** \ --role container-registry.admin \ --subject userAccount:kolhpriseeio********
Просмотрите назначенные роли с помощью метода listAccessBindings
для ресурсов registry
и repository
.
Отзовите роль методом updateAccessBindings
для ресурсов registry
и repository
.
Подробнее об управлении ролями читайте в документации Yandex Identity and Access Management.