Управление группами пользователей
Вы можете объединять пользователей в группы по любому признаку: например, в соответствии с их должностными обязанностями или отделом.
Создать группу
- Войдите в аккаунт
администратора организации. - Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел Группы
. - В правом верхнем углу страницы нажмите Создать группу и введите название и описание группы.
Terraform
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры группы:
resource "yandex_organizationmanager_group" "my-group" { name = "<имя_группы>" description = "<описание_группы>" organization_id = "<идентификатор_организации>" }
Где:
-
name
— имя группы. Формат имени:- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
description
— описание группы. Необязательный параметр. -
organization_id
— идентификатор организации, к которой нужно присоединить группу.
-
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления
или с помощью команды CLI:yc organization-manager group list --organization-id=<идентификатор_организации>
-
Добавить участников
- Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел Группы
и нажмите строку с названием группы. - Перейдите на вкладку Участники.
- Нажмите Добавить участника.
- В окне Добавление участников выберите пользователей из списка или воспользуйтесь поиском по пользователям. Также в группу можно добавлять сервисные аккаунты.
- Нажмите Сохранить.
Terraform
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле новых участников группы:
resource "yandex_organizationmanager_group_membership" "group-members" { group_id = "<идентификатор_группы>" members = [ "<идентификатор_участника_1>", "<идентификатор_участника_2>" ] }
Где:
group_id
— идентификатор группы, к которой нужно присоединить участника.members
— идентификаторы участников, которых надо присоединить к группе.
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления
или с помощью команды CLI:yc organization-manager group --name=<имя_группы> list-members --organization-id=<идентификатор_организации>
-
Редактировать группу
Чтобы изменить название или описание группы:
- Войдите в аккаунт
администратора организации. - Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел Группы
. - Выберите группу в списке и нажмите значок
напротив имени группы. - Нажмите Изменить и введите новое название или описание группы.
- Нажмите Сохранить.
Terraform
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Измените в конфигурационном файле параметры группы:
resource "yandex_organizationmanager_group" "my-group" { name = "new-group-name" description = "My first group" organization_id = "<идентификатор_организации>" }
Где:
-
name
— новое имя группы. Формат имени:- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
description
— новое описание группы. -
organization_id
— идентификатор организации, к которой принадлежит группа.
-
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления
или с помощью команды CLI:yc organization-manager group get --name=<имя_группы> --organization-id=<идентификатор_организации>
-
Настроить доступ к управлению группой
Измените права субъекта на доступ к группе как к ресурсу.
Назначить роль
Вы можете назначить роль на группу как на ресурс. Роль можно выдать пользователям и группам из вашей организации.
Например, разрешите пользователю просматривать информацию о группе и управлять составом участников:
-
Войдите в аккаунт
администратора организации. -
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Группы
и нажмите строку с названием группы. -
Перейдите на вкладку Права доступа к группе.
-
Нажмите Назначить роли.
-
Нажмите Выбрать пользователя.
-
Выберите пользователя или группу из списка или воспользуйтесь поиском.
-
Нажмите Добавить роль и выберите
organization-manager.groups.memberAdmin
. -
Нажмите Сохранить.
Пользователь отобразится в списке прав доступа к группе.
Отозвать роль
Чтобы отозвать у пользователя роль на группу:
-
Войдите в аккаунт
администратора организации. -
Перейдите в сервис Yandex Cloud Organization
. -
На панели слева выберите раздел Группы
и нажмите строку с названием группы. -
Перейдите на вкладку Права доступа к группе.
-
Выберите пользователя в списке и нажмите
напротив имени пользователя. -
Нажмите Настроить доступ.
-
Нажмите
напротив роли, которую хотите отозвать. -
Нажмите Сохранить.
Совет
Чтобы открыть список пользователей, которым доступно управление группой на уровне роли в организации (например, администратор или владелец организации), перейдите на вкладку Права доступа к группе и включите опцию Наследуемые роли.
Настроить доступ группы к работе в Yandex Cloud
Чтобы участники группы могли работать с сервисами Yandex Cloud, назначьте группе соответствующие роли.
Назначить роль на отдельный ресурс
В консоли управления можно назначить роль на облако, каталог или сервисный аккаунт.
Чтобы выдать доступ группе на ресурс:
- Войдите в аккаунт
администратора или владельца организации. - Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел
Права доступа . - Справа сверху нажмите кнопку Назначить роли.
- Перейдите на вкладку Группы и выберите группу, или воспользуйтесь поиском по названию группы.
- Нажмите Добавить роль и выберите роль в облаке или каталоге. Вы можете назначить больше одной роли.
- Нажмите Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
-
Выберите роль из справочника ролей Yandex Cloud.
-
Назначьте роль с помощью команды:
yc <имя_сервиса> <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \ --role <идентификатор_роли> \ --subject group:<идентификатор_группы>
Где:
<имя_сервиса>
— имя сервиса, для доступа к ресурсу которого назначается роль, например,resource-manager
.<ресурс>
— категория ресурса, например,cloud
.<имя_или_идентификатор_ресурса>
— имя или идентификатор ресурса. Вы можете указать имя или идентификатор ресурса.--role
— идентификатор роли, например,resource-manager.clouds.owner
.--subject group
— идентификатор группы, которой назначается роль.
Например, назначьте роль
resource-manager.viewer
на облакоmycloud
:yc resource-manager cloud add-access-binding mycloud \ --role resource-manager.viewer \ --subject group:aje6o61dvog2********
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:
resource "yandex_resourcemanager_cloud_iam_member" "admin" { cloud_id = "<идентификатор_облака>" role = "<идентификатор_роли>" member = "group:<идентификатор_группы>" }
Где:
cloud_id
— идентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместоcloud_id
укажитеfolder_id
и нужный идентификатор каталога в параметрах ресурса.role
— назначаемая роль. Обязательный параметр.member
— группа, которой назначается роль. Указывается в видеgroup:<идентификатор_группы>
. Обязательный параметр.
Более подробную информацию о параметрах ресурса
yandex_resourcemanager_cloud_iam_member
см. в документации провайдера . -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления
или с помощью команды CLI:terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply
-
Подтвердите создание ресурсов: введите в терминал слово
yes
и нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления
или с помощью команды CLI:yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>
-
Воспользуйтесь методом REST API updateAccessBindings
для соответствующего ресурса.
-
Выберите роль из справочника ролей Yandex Cloud.
-
Сформируйте тело запроса, например в файле
body.json
. В свойствеaction
укажитеADD
, а в свойствеsubject
- типgroup
и идентификатор группы:body.json:
{ "accessBindingDeltas": [{ "action": "ADD", "accessBinding": { "roleId": "editor", "subject": { "id": "<идентификатор_группы>", "type": "group" } } }] }
-
Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором
b1gvmob95yys********
:export FOLDER_ID=b1gvmob95yys******** export IAM_TOKEN=CggaAT******** curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer ${IAM_TOKEN}" \ -d '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:
Назначить роль на всю организацию
Роль, которая выдана на всю организацию, позволяет участникам группы управлять всеми ресурсами Yandex Cloud, которые подключены к организации, в соответствии с правами роли.
- Войдите в аккаунт
администратора или владельца организации. - Перейдите в сервис Yandex Cloud Organization
. - На панели слева выберите раздел
Права доступа . - Справа сверху нажмите кнопку Назначить роли.
- Перейдите на вкладку Группы и выберите группу, или воспользуйтесь поиском по названию группы.
- Нажмите кнопку Добавить роль и выберите роль в организации. Вы можете назначить больше одной роли.
- Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
-
yc organization-manager organization add-access-binding \ --subject=group:<идентификатор_группы> \ --role=<идентификатор_роли> \ <идентификатор_организации>
-
Проверьте, что запрошенные права были выданы:
yc organization-manager organization list-access-bindings <идентификатор_организации>
Ответ содержит список всех ролей, выданных пользователям и группам в организации:
+------------------------------------------+--------------+----------------------+ | ROLE ID | SUBJECT TYPE | SUBJECT ID | +------------------------------------------+--------------+----------------------+ | organization-manager.admin | userAccount | ajev1p2345lj******** | | organization-manager.organizations.owner | userAccount | ajev1p2345lj******** | | editor | group | ajev1p2345lj******** | | viewer | group | ajev1p2345lj******** | +------------------------------------------+--------------+----------------------+
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:
resource "yandex_organizationmanager_organization_iam_member" "users-editors" { organization_id = "<идентификатор_облака>" role = "<идентификатор_роли>" member = "group:<идентификатор_группы>" }
Где:
organization_id
— идентификатор облака. Обязательный параметр.role
— назначаемая роль. Обязательный параметр.member
— группа, которой назначается роль. Указывается в видеgroup:<идентификатор_группы>
. Обязательный параметр.
Более подробную информацию о параметрах ресурса
yandex_organizationmanager_organization_iam_member
см. в документации провайдера . -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления
или с помощью команды CLI:yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>
-