这是indexloc提供的服务,不要输入任何密码
Связаться с намиПодключиться

Управление доступом в Yandex Identity Hub

Статья создана
Улучшена
Обновлена 13 ноября 2025 г.

Управление доступом в Yandex Cloud построено на политике Role Based Access Control (RBAC). Чтобы предоставить пользователю определенные права или доступ к ресурсу, нужно назначить ему соответствующие роли.

Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом. Пользователь может назначить роли только с теми разрешениями, которые имеются у него самого. Например, чтобы назначить роль владельца организации, пользователь должен сам обладать этой ролью, а роли администратора для этого недостаточно.

Если у ресурса есть дочерние ресурсы, то все разрешения от родительского ресурса будут унаследованы дочерними ресурсами. Например, если вы назначите пользователю роль администратора организации, в которой находится облако, то все разрешения этой роли будут действовать для облака и всех вложенных ресурсов этого облака.

Подробнее об управлении доступом в Yandex Cloud читайте в документации Yandex Identity and Access Management в разделе Как устроено управление доступом в Yandex Cloud.

На какие ресурсы можно назначить роль

Роль можно назначить на организацию, облако и каталог. Роли, назначенные на организацию, облако или каталог, действуют и на вложенные ресурсы.

С помощью интерфейса Cloud Center, Yandex Cloud CLI, API или Terraform роль можно назначить на отдельные ресурсы сервиса:

Какие роли действуют в сервисе

Сервисные роли

organization-manager.auditor

Роль organization-manager.auditor позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями iam.userAccounts.refreshTokenViewer, organization-manager.federations.auditor, organization-manager.osLogins.viewer, organization-manager.userpools.auditor, organization-manager.samlApplications.auditor и organization-manager.oauthApplications.auditor.

organization-manager.viewer

Роль organization-manager.viewer позволяет просматривать информацию об организации и ее настройках, о входящих в организацию федерациях удостоверений, пулах пользователей, SAML-приложениях и OIDC-приложениях, а также о пользователях и группах пользователей организации.

Пользователи с этой ролью могут:
  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации;
  • просматривать информацию о сертификатах федераций удостоверений;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях;
  • просматривать информацию об атрибутах федеративных пользователей;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию об атрибутах локальных пользователей, входящих в пулы пользователей;
  • просматривать события аудита пользователя;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации;
  • просматривать информацию о политиках MFA;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей и о назначенных правах доступа к таким группам;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать информацию о refresh-токенах пользователей организации, а также о настройках refresh-токенов в организации;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.auditor, organization-manager.federations.viewer, organization-manager.users.viewer, organization-manager.samlApplications.viewer, organization-manager.oauthApplications.viewer, organization-manager.userpools.viewer и organization-manager.idpInstances.billingViewer.

organization-manager.editor

Роль organization-manager.editor позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, а также пользователями и их группами.

Пользователи с этой ролью могут:
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также о назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения и OIDC-приложения;
  • просматривать список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов;
  • просматривать список SSH-ключей пользователей организации, а также информацию об SSH-ключах;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • просматривать информацию о назначенных правах доступа к группам пользователей;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их.

Включает разрешения, предоставляемые ролями organization-manager.viewer, organization-manager.federations.editor, organization-manager.userpools.editor, organization-manager.samlApplications.editor, organization-manager.oauthApplications.editor и organization-manager.groups.editor.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.admin

Роль organization-manager.admin позволяет управлять настройками организации, федерациями удостоверений, пулами пользователей, SAML-приложениями, OIDC-приложениями, пользователями и их группами, а также правами доступа пользователей к организации и ресурсам в ней.

Пользователи с этой ролью могут:
  • привязывать платежный аккаунт к организации Identity Hub;
  • просматривать и изменять информацию об организации Identity Hub;
  • просматривать и изменять настройки организации;
  • просматривать информацию о назначенных правах доступа к организации и изменять такие права доступа;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать информацию о правах доступа, назначенных субъектам в организации Identity Hub;
  • исключать пользователей из организации;
  • просматривать информацию об отправленных пользователям приглашениях в организацию, а также отправлять и удалять такие приглашения;
  • просматривать информацию о федерациях удостоверений в организации, а также создавать, изменять и удалять федерации удостоверений;
  • добавлять и удалять федеративных пользователей;
  • просматривать информацию о сертификатах федераций удостоверений, а также добавлять, изменять и удалять такие сертификаты;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать информацию об атрибутах федеративных пользователей, а также создавать и удалять такие атрибуты;
  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • просматривать информацию об атрибутах локальных пользователей;
  • просматривать события аудита пользователя;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • просматривать информацию о SAML-приложениях и OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и OIDC-приложениям, а также изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения и OIDC-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей организации, подписанных на получение технических уведомлений о событиях в организации, и изменять этот список;
  • просматривать информацию о политиках MFA, а также создавать, изменять, активировать, деактивировать и удалять такие политики;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей;
  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список групп, в которые входит тот или иной пользователь, а также список пользователей, которые входят в ту или иную группу;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • привязывать группы пользователей к федерациям удостоверений и пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub;
  • просматривать и изменять настройки refresh-токенов в организации;
  • просматривать информацию о refresh-токенах пользователей организации и отзывать такие refresh-токены;
  • просматривать информацию о квотах сервиса Identity Hub;
  • просматривать информацию о действующем тарифном плане технической поддержки;
  • просматривать список обращений в техническую поддержку и информацию о них, а также создавать такие обращения, оставлять в них комментарии и вложения и закрывать их;
  • просматривать, создавать, изменять и удалять репозитории SourceCraft;
  • читать файлы из репозитория SourceCraft;
  • просматривать, создавать, изменять и удалять предложения изменений в репозиториях SourceCraft;
  • выполнять слияние правок из предложения изменений в репозиториях SourceCraft;
  • вносить изменения в обычные и защищенные ветки репозитория SourceCraft;
  • просматривать, создавать и изменять публичные и приватные задачи (issues) в репозиториях SourceCraft;
  • изменять тип доступа к задачам в репозиториях SourceCraft;
  • оставлять реакции к задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять, удалять и отмечать выполненными комментарии к предложениям изменений, публичным и приватным задачам в репозиториях SourceCraft;
  • просматривать, создавать, изменять и удалять метки в репозиториях SourceCraft;
  • управлять доступом к репозиторию SourceCraft;
  • просматривать, получать, создавать, изменять и удалять секреты в репозиториях SourceCraft.

Включает разрешения, предоставляемые ролями organization-manager.editor, organization-manager.federations.admin, organization-manager.osLogins.admin, organization-manager.userpools.admin, organization-manager.samlApplications.admin, organization-manager.oauthApplications.admin, organization-manager.groups.memberAdmin, organization-manager.groups.externalCreator, organization-manager.groups.externalManager, organization-manager.idpInstances.billingAdmin и src.repositories.admin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.organizations.owner

Роль organization-manager.organizations.owner позволяет совершать любые действия с любыми ресурсами в организации и с платежными аккаунтами, в том числе создавать платежные аккаунты и привязывать их к облакам. Роль также позволяет назначать дополнительных владельцев организации.

Прежде чем назначить эту роль, ознакомьтесь с информацией о защите привилегированных аккаунтов.

organization-manager.federations.extGroupsViewer

Роль organization-manager.federations.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.federations.extGroupsManager

Роль organization-manager.federations.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к федерациям удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.extGroupsCleaner

Роль organization-manager.federations.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от федераций удостоверений.

Включает разрешения, предоставляемые ролью organization-manager.federations.extGroupsViewer.

organization-manager.federations.auditor

Роль organization-manager.federations.auditor позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.federations.viewer

Роль organization-manager.federations.viewer позволяет просматривать информацию об организации и ее настройках, о федерациях удостоверений и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений;
  • просматривать информацию о сертификатах;
  • просматривать списки сопоставлений групп пользователей и информацию о таких сопоставлениях;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.auditor и organization-manager.federations.extGroupsViewer.

organization-manager.federations.editor

Роль organization-manager.federations.editor позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.viewer и organization-manager.federations.userAdmin.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.federations.userAdmin

Роль organization-manager.federations.userAdmin позволяет добавлять федеративных пользователей в организацию и удалять их, отзывать refresh-токены, управлять факторами MFA пользовательских аккаунтов, а также просматривать список пользователей организации и данные их профилей.

Пользователи с этой ролью могут:

  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • просматривать список пользователей организации, сведения в профилях пользователей (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.federations.admin

Роль organization-manager.federations.admin позволяет управлять федерациями удостоверений, федеративными пользователями и сертификатами, а также просматривать информацию об организации, ее настройках и пользователях.

Пользователи с этой ролью могут:

  • просматривать информацию об организации Identity Hub и ее настройках;
  • просматривать информацию о федерациях удостоверений, а также создавать, изменять и удалять такие федерации;
  • просматривать информацию о сертификатах, а также создавать, изменять и удалять их;
  • добавлять и удалять федеративных пользователей;
  • отзывать refresh-токены федеративных пользователей;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • настраивать сопоставление групп федеративных пользователей;
  • просматривать списки сопоставлений групп федеративных пользователей и информацию о таких сопоставлениях, а также создавать, изменять и удалять такие списки сопоставлений;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к федерациям удостоверений в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.federations.editor, organization-manager.federations.extGroupsManager и organization-manager.federations.extGroupsCleaner.

Для настройки сопоставления групп пользователей роль должна быть назначена на те группы в Identity Hub, которые вы будете сопоставлять.

organization-manager.osLogins.viewer

Роль organization-manager.osLogins.viewer позволяет просматривать информацию о настройках OS Login организации и список профилей OS Login пользователей и сервисных аккаунтов, а также просматривать список SSH-ключей пользователей и информацию об SSH-ключах.

organization-manager.osLogins.admin

Роль organization-manager.osLogins.admin позволяет управлять настройками OS Login организации, а также профилями OS Login и SSH-ключами пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о настройках OS Login организации и изменять такие настройки;
  • просматривать список профилей OS Login пользователей организации и сервисных аккаунтов, а также создавать, изменять и удалять профили OS Login;
  • просматривать список SSH-ключей пользователей организации и информацию об SSH-ключах, а также создавать, изменять и удалять SSH-ключи пользователей.

Включает разрешения, предоставляемые ролью organization-manager.osLogins.viewer.

organization-manager.groups.externalCreator

Роль organization-manager.groups.externalCreator позволяет создавать группы пользователей Identity Hub при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalConverter

Роль organization-manager.groups.externalConverter позволяет добавлять в группы пользователей Identity Hub атрибут с идентификатором внешней группы при выполнении синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.groups.externalManager

Роль organization-manager.groups.externalManager позволяет управлять группами пользователей Identity Hub, связанными с группами пользователей в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • связывать группы пользователей Identity Hub с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • изменять и удалять группы пользователей Identity Hub, связанные с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать состав участников групп пользователей Identity Hub, связанных с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также управлять составом участников таких групп;
  • просматривать информацию о назначенных правах доступа к группам пользователей в Identity Hub.

organization-manager.groups.editor

Роль organization-manager.groups.editor позволяет управлять группами пользователей.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

organization-manager.groups.memberAdmin

Роль organization-manager.groups.memberAdmin позволяет просматривать информацию о группах пользователей, а также просматривать и изменять списки пользователей и сервисных аккаунтов, входящих в группы.

organization-manager.groups.admin

Роль organization-manager.groups.admin позволяет управлять группами пользователей и их участниками, а также доступом к ним.

Роль назначается на организацию или группу пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о группах пользователей, а также создавать, изменять и удалять такие группы;
  • просматривать информацию о назначенных правах доступа к группам пользователей и изменять такие права доступа;
  • просматривать список пользователей и сервисных аккаунтов, входящих в группы пользователей;
  • добавлять пользователей и сервисные аккаунты в группы пользователей и удалять их из таких групп.

Включает разрешения, предоставляемые ролями organization-manager.groups.editor и organization-manager.groups.memberAdmin.

organization-manager.users.viewer

Роль organization-manager.users.viewer позволяет просматривать список пользователей организации, информацию о них (включая номер телефона), дату их последней аутентификации, атрибуты и дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации, а также списки групп, в которые входят пользователи.

organization-manager.passportUserAdmin

Роль organization-manager.passportUserAdmin позволяет просматривать информацию о пользователях организации, а также приглашать в организацию и исключать из нее пользователей с аккаунтами на Яндексе.

Пользователи с этой ролью могут:

organization-manager.oauthApplications.auditor

Роль organization-manager.oauthApplications.auditor позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

organization-manager.oauthApplications.viewer

Роль organization-manager.oauthApplications.viewer позволяет просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним, а также просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.auditor.

organization-manager.oauthApplications.editor

Роль organization-manager.oauthApplications.editor позволяет управлять OIDC-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять OIDC-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.oauthApplications.viewer.

organization-manager.oauthApplications.userAdmin

Роль organization-manager.oauthApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в OIDC-приложение.

organization-manager.oauthApplications.admin

Роль organization-manager.oauthApplications.admin позволяет управлять OIDC-приложениями и доступом к ним, а также пользователями, добавленными в OIDC-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию об OIDC-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к OIDC-приложениям и изменять такие права доступа;
  • просматривать и изменять список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.oauthApplications.editor и organization-manager.oauthApplications.userAdmin.

organization-manager.samlApplications.auditor

Роль organization-manager.samlApplications.auditor позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

organization-manager.samlApplications.viewer

Роль organization-manager.samlApplications.viewer позволяет просматривать информацию о SAML-приложениях и назначенных правах доступа к ним, просматривать список пользователей, добавленных в SAML-приложения, а также получать сертификаты SAML-приложений.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.auditor.

organization-manager.samlApplications.editor

Роль organization-manager.samlApplications.editor позволяет управлять SAML-приложениями и просматривать добавленных в них пользователей.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях и назначенных правах доступа к ним;
  • создавать, деактивировать, активировать, изменять и удалять SAML-приложения;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролью organization-manager.samlApplications.viewer.

organization-manager.samlApplications.userAdmin

Роль organization-manager.samlApplications.userAdmin позволяет просматривать и изменять список пользователей, добавленных в SAML-приложение.

organization-manager.samlApplications.admin

Роль organization-manager.samlApplications.admin позволяет управлять SAML-приложениями и доступом к ним, а также пользователями, добавленными в SAML-приложения.

Пользователи с этой ролью могут:

  • просматривать информацию о SAML-приложениях, а также создавать, деактивировать, активировать, изменять и удалять их;
  • просматривать информацию о назначенных правах доступа к SAML-приложениям и изменять такие права доступа;
  • получать сертификаты SAML-приложений, а также создавать, изменять и удалять такие сертификаты;
  • просматривать и изменять список пользователей, добавленных в SAML-приложения;
  • просматривать список пользователей, добавленных в OIDC-приложения.

Включает разрешения, предоставляемые ролями organization-manager.samlApplications.editor и organization-manager.samlApplications.userAdmin.

organization-manager.userpools.extGroupsViewer

Роль organization-manager.userpools.extGroupsViewer позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике.

organization-manager.userpools.extGroupsManager

Роль organization-manager.userpools.extGroupsManager позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также привязывать такие группы к пулам пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.extGroupsCleaner

Роль organization-manager.userpools.extGroupsCleaner позволяет просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с группами пользователей в каталоге Active Directory или другом внешнем источнике, а также отвязывать такие группы от пулов пользователей.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.syncAgent

Роль organization-manager.userpools.syncAgent позволяет выполнять синхронизацию пользователей и групп Identity Hub с пользователями и группами в каталоге Active Directory или другом внешнем источнике.

Пользователи с этой ролью могут:

  • просматривать информацию о сессиях синхронизации агента Identity Hub AD Sync Agent с сервисом Identity Hub, а также создавать и изменять такие сессии;
  • просматривать информацию о пулах пользователей и о настройках синхронизации в пулах пользователей;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать информацию о пользователях Identity Hub, создавать, изменять, активировать, деактивировать, удалять пользователей, а также изменять пароли и другие данные пользователей Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.userpools.extGroupsManager.

organization-manager.userpools.auditor

Роль organization-manager.userpools.auditor позволяет просматривать информацию о пулах пользователей и пользователях организации.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации и сведения в профилях пользователей (кроме номера телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

organization-manager.userpools.viewer

Роль organization-manager.userpools.viewer позволяет просматривать информацию о пулах пользователей, а также список пользователей организации и информацию о них.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • просматривать информацию о доменах, привязанных к пулам пользователей;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.auditor и organization-manager.userpools.extGroupsViewer.

organization-manager.userpools.editor

Роль organization-manager.userpools.editor позволяет управлять пулами пользователей и входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей и назначенных правах доступа к ним;
  • создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.userAdmin и organization-manager.userpools.viewer.

organization-manager.userpools.userAdmin

Роль organization-manager.userpools.userAdmin позволяет управлять локальными пользователями организации, входящими в пулы пользователей.

Пользователи с этой ролью могут:

  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать список групп, в которые входят пользователи;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролью iam.userAccounts.refreshTokenRevoker.

organization-manager.userpools.admin

Роль organization-manager.userpools.admin позволяет управлять пулами пользователей и доступом к ним, а также управлять входящими в них пользователями.

Пользователи с этой ролью могут:

  • просматривать информацию о пулах пользователей, а также создавать, изменять и удалять пулы пользователей;
  • просматривать информацию о назначенных правах доступа к пулам пользователей и изменять такие права доступа;
  • просматривать информацию о доменах, привязанных к пулам пользователей, а также добавлять, подтверждать и удалять домены;
  • просматривать список пользователей организации, информацию о них (включая номер телефона), дату последней аутентификации, а также дату последней верификации федеративных и локальных аккаунтов с помощью двухфакторной аутентификации;
  • создавать, удалять, активировать и деактивировать локальных пользователей, входящих в пулы пользователей;
  • изменять данные пользователей: имя пользователя, пароль, домен, адрес электронной почты, а также ФИО и телефон;
  • удалять факторы MFA федеративных и локальных аккаунтов пользователей;
  • сбрасывать дату верификации федеративных и локальных аккаунтов пользователей;
  • отзывать refresh-токены пользователей;
  • просматривать события аудита пользователя;
  • просматривать список групп, в которые входят пользователи;
  • просматривать список и информацию о группах пользователей Identity Hub, привязанных к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике;
  • привязывать группы пользователей к пулам пользователей в процессе синхронизации с пользовательскими группами в каталоге Active Directory или другом внешнем источнике, а также отвязывать их;
  • просматривать атрибуты федеративных и локальных пользователей.

Включает разрешения, предоставляемые ролями organization-manager.userpools.editor, organization-manager.userpools.extGroupsManager и organization-manager.userpools.extGroupsCleaner.

organization-manager.idpInstances.billingViewer

Роль organization-manager.idpInstances.billingViewer позволяет просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub, а также информацию о подписке на платные возможности сервиса Identity Hub и статистике использования квот по этой подписке.

organization-manager.idpInstances.billingAdmin

Роль organization-manager.idpInstances.billingAdmin позволяет управлять подпиской на платные возможности сервиса Identity Hub.

Пользователи с этой ролью могут:

  • привязывать сервис Identity Hub к платежному аккаунту;
  • просматривать информацию о подписке на платные возможности сервиса Identity Hub;
  • просматривать информацию о статистике использования квот по подписке на платные возможности сервиса Identity Hub, а также изменять эти квоты;
  • просматривать список пользователей, которые в текущем отчетном периоде используют квоту для аутентификации в Identity Hub.

Включает разрешения, предоставляемые ролью organization-manager.idpInstances.billingViewer.

Примитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

  • просматривать информацию о ресурсе;
  • просматривать метаданные ресурса;
  • просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

admin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.

Назначить пользователя администратором организации

Чтобы дать пользователю права на управление организацией, назначьте ему роль organization-manager.admin.

Назначить роль пользователю

Назначать роли в Yandex Identity Hub могут администраторы и владельцы организации. Вы можете назначать пользователям не только роли для управления организацией, но и роли для доступа к ресурсам облаков, подключенных к вашей организации.

О том, какие роли доступны в Yandex Cloud и какие разрешения в них входят, читайте в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Если у нужного пользователя уже есть хотя бы одна роль, в строке с этим пользователем нажмите значок и выберите Назначить роли.

    Если нужного пользователя нет в списке, в правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите пользователя из списка или воспользуйтесь строкой поиска.

  4. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.

    Описание доступных ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  5. Нажмите кнопку Сохранить.

  1. Выберите роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  2. Получите идентификатор пользователя.

  3. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
    --role <идентификатор_роли> \
    --subject <тип_субъекта>:<идентификатор_субъекта>
    • <имя_сервиса> — имя сервиса, на чей ресурс назначается роль, например organization-manager.
    • <ресурс> — категория ресурса. Для организации всегда имеет значение organization.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Для организации в качестве имени используйте техническое название.
    • --role — идентификатор роли, например organization-manager.admin.
    • --subject — тип и идентификатор субъекта, которому назначается роль.

    Например, назначьте роль администратора для организации с идентификатором bpf3crucp1v2********:

    yc organization-manager organization add-access-binding bpf3crucp1v2******** \
    --role organization-manager.admin \
    --subject userAccount:aje6o61dvog2********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры назначаемых ролей:

    • organization_idидентификатор организации.
    • role — роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud. Для каждой роли можно использовать только один yandex_organization manager_organization_iam_binding.
    • members — массив идентификаторов пользователей, которым будет назначена роль:
      • userAccount:{user_id} — идентификатор аккаунта пользователя на Яндексе.
      • serviceAccount:{service_account_id} — идентификатор сервисного аккаунта.
      • federatedUser:{federated_user_id} — идентификатор федеративного пользователя.

    Пример структуры конфигурационного файла:

    resource "yandex_organizationmanager_organization_iam_binding" "editor" {
  organization_id = "<идентификатор_организации>"
  role = "editor"
  members = [
   "federatedUser:<идентификатор_пользователя>",
  ]
}

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
    2. Выполните проверку с помощью команды:
    terraform plan

    Если конфигурация описана верно, в терминале отобразится список назначенных ролей. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Назначьте роли.

    Если в конфигурации нет ошибок, выполните команду:

    terraform apply

    После этого в указанной организации будут назначены роли.

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль, которую хотите назначить. Описание ролей можно найти в документации Yandex Identity and Access Management в справочнике ролей Yandex Cloud.

  2. Получите идентификатор пользователя.

  3. Сформируйте тело запроса, например, в файле body.json. В свойстве action укажите ADD, а в свойстве subject — тип userAccount и идентификатор пользователя:

    Пример файла body.json:

    {
  "accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
      "roleId": "organization-manager.admin",
      "subject": {
        "id": "gfei8n54hmfh********",
        "type": "userAccount"
      }
    }
  }]
}

  4. Назначьте роль. Например, для организации с идентификатором bpf3crucp1v2********:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:updateAccessBindings"

    Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса в документации Yandex Identity and Access Management и Yandex Resource Manager:

Аналогичным образом можно назначить роль на организацию сервисному аккаунту.

Отозвать роль у пользователя

Если вы хотите запретить пользователю доступ к ресурсу, отзовите у него соответствующие роли на этот ресурс и на ресурсы, от которых наследуются права доступа. Подробнее об управлении доступом в Yandex Cloud читайте в документации Yandex Identity and Access Management.

Отозвать роль может пользователь с ролью администратора organization-manager.admin или владельца organization-manager.organizations.owner организации. О том, как назначить пользователю роль, читайте в разделе Роли.

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Найдите в списке нужного пользователя. При необходимости воспользуйтесь строкой поиска или фильтром.

  4. В строке с нужным пользователем нажмите значок и выберите Назначить роли. В открывшемся окне:

    1. Нажмите значок рядом с ролью, чтобы удалить ее.

    2. Нажмите кнопку Сохранить.

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

  1. Посмотрите, кому и какие роли назначены на ресурс:

    yc <имя_сервиса> <ресурс> list-access-bindings <имя_или_идентификатор_ресурса>
    • <имя_сервиса> — имя сервиса, которому принадлежит ресурс, например organization-manager.
    • <ресурс> — категория ресурса. Для организации всегда имеет значение organization.
    • <имя_или_идентификатор_ресурса> — имя или идентификатор ресурса. Для организации в качестве имени используйте техническое название.

    Например, посмотрите, кому и какие роли назначены в организации с идентификатором bpf3crucp1v2********:

    yc organization-manager organization list-access-bindings bpf3crucp1v2********

    Результат:

    +------------------------------------------+--------------+----------------------+
|                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
+------------------------------------------+--------------+----------------------+
| organization-manager.organizations.owner | userAccount  | aje3r40rsemj******** |
| organization-manager.admin               | userAccount  | aje6o61dvog2******** |
+------------------------------------------+--------------+----------------------+

  2. Чтобы удалить права доступа, выполните команду:

    yc <имя_сервиса> <ресурс> remove-access-binding <имя_или_идентификатор_ресурса> \
    --role <идентификатор_роли> \
    --subject <тип_субъекта>:<идентификатор_субъекта>
    • --role — идентификатор роли, которую надо отозвать, например organization-manager.admin.
    • --subject — тип и идентификатор субъекта, у которого отзывается роль.

    Например, чтобы отозвать роль у пользователя с идентификатором aje6o61dvog2********:

    yc organization-manager organization remove-access-binding bpf3crucp1v2******** \
    --role organization-manager.admin \
    --subject userAccount:aje6o61dvog2********

Чтобы отозвать роль у субъекта, удалите права доступа для соответствующего ресурса:

  1. Посмотрите, кому и какие роли назначены на ресурс с помощью метода listAccessBindings. Например, чтобы посмотреть роли в организации с идентификатором bpf3crucp1v2********:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:listAccessBindings"

    Результат:

    {
"accessBindings": [
{
  "subject": {
  "id": "aje6o61dvog2********",
  "type": "userAccount"
  },
  "roleId": "organization-manager.admin"
}
]
}

  2. Сформируйте тело запроса, например в файле body.json. В теле запроса укажите, какие права доступа необходимо удалить. Например, отзовите у пользователя aje6o61dvog2******** роль organization-manager.admin:

    Пример файла body.json:

    {
  "accessBindingDeltas": [{
    "action": "REMOVE",
    "accessBinding": {
      "roleId": "organization-manager.admin",
      "subject": {
        "id": "aje6o61dvog2********",
        "type": "userAccount"
      }
    }
  }]
}

  3. Отзовите роль, удалив указанные права доступа:

    export ORGANIZATION_ID=bpf3crucp1v2********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://organization-manager.api.cloud.yandex.net/organization-manager/v1/organizations/${ORGANIZATION_ID}:updateAccessBindings"

Назначить роль группе пользователей

Назначьте группе пользователей роль, чтобы предоставить доступ к какому-либо ресурсу. Воспользуйтесь инструкцией Настроить доступ к управлению группой, чтобы дать субъекту права на доступ к группе.

В сервисе Yandex Identity Hub группе можно назначить роль на организацию, облако, каталог, другую группу или сервисный аккаунт.

Назначить роль на облако или каталог

  1. Войдите в консоль управления с учетной записью администратора или владельца облака.

  2. В левой части экрана нажмите на строку с именем облака или каталога, на который вы хотите назначить роль группе пользователей.

  3. В верхней части экрана перейдите на вкладку Права доступа и нажмите кнопку Настроить доступ. В открывшемся окне:

    1. Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.

      Вы также можете назначить роль одной из системных групп:

      • All users in organization X — в группу входят все пользователи организации X.
      • All users in federation N — в группу входят все пользователи федерации N.

    2. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на облако или каталог, который вы выбрали ранее. Вы можете назначить несколько ролей.

    3. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Выберите роль из справочника ролей Yandex Cloud.

  2. Назначьте роль с помощью команды:

    yc <имя_сервиса> <ресурс> add-access-binding <имя_или_идентификатор_ресурса> \
  --role <идентификатор_роли> \
  --subject group:<идентификатор_группы>

    Где:

    • --role — идентификатор роли, например, resource-manager.clouds.owner.

    • --subject group — идентификатор группы, которой назначается роль.

      Для того чтобы назначить роль одной из системных групп, вместо параметра --subject используйте параметр --organization-users <идентификатор_организации> или --federation-users <идентификатор_федерации>, передав в нем соответственно идентификатор организации или федерации удостоверений, всем пользователям, которым вы хотите назначить роль.

      Вы также можете назначить роль системной группе с помощью параметра --subject. Для этого передайте в нем идентификатор субъекта, соответствующий выбранной системной группе.

    Например, назначьте роль resource-manager.viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
  --role resource-manager.viewer \
  --subject group:aje6o61dvog2********

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:

    resource "yandex_resourcemanager_cloud_iam_member" "admin" {
  cloud_id    = "<идентификатор_облака>"
  role        = "<идентификатор_роли>"
  member      = "group:<идентификатор_группы>"
}

    Где:

    • cloud_idидентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместо cloud_id укажите folder_id и нужный идентификатор каталога в параметрах ресурса.

    • role — назначаемая роль. Обязательный параметр.

    • member — группа, которой назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

      Для того чтобы назначить роль одной из системных групп, в параметре member укажите:

      • system:group:organization:<идентификатор_организации>:users — чтобы назначить роль системной группе All users in organization X;
      • system:group:federation:<идентификатор_федерации>:users — чтобы назначить роль системной группе All users in federation N.

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_member см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>

Воспользуйтесь методом REST API updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из справочника ролей Yandex Cloud.

  2. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип group и идентификатор группы:

    body.json:

    {
  "accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
      "roleId": "editor",
      "subject": {
        "id": "<идентификатор_группы>",
        "type": "group"
      }
    }
  }]
}

  3. Назначьте роль сервисному аккаунту. Например, на каталог с идентификатором b1gvmob95yys********:

    export FOLDER_ID=b1gvmob95yys********
export IAM_TOKEN=CggaAT********
curl \
  --request POST \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ${IAM_TOKEN}" \
  --data '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:

Назначить роль на организацию

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. Справа сверху нажмите кнопку Назначить роли.

  4. Перейдите на вкладку Группы и выберите группу или воспользуйтесь поиском по названию группы.

    Вы также можете назначить роль одной из системных групп:

    • All users in organization X — в группу входят все пользователи организации X.
    • All users in federation N — в группу входят все пользователи федерации N.

  5. Нажмите кнопку Добавить роль и выберите роль, которую хотите назначить группе на организацию. Вы можете назначить несколько ролей.

  6. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

  1. Назначьте роль для группы:

    yc organization-manager organization add-access-binding \
  --subject group:<идентификатор_группы> \
  --role <идентификатор_роли> \
  --organization-users <идентификатор_организации> \
  --federation-users <идентификатор_федерации>

    Для того чтобы назначить роль одной из системных групп, вместо параметра --subject используйте параметр --organization-users <идентификатор_организации> или --federation-users <идентификатор_федерации>. Передайте в нем соответственно идентификатор организации или федерации удостоверений, всем пользователям которых вы хотите назначить роль.

    Вы также можете назначить роль системной группе с помощью параметра --subject. Для этого передайте в нем идентификатор субъекта, соответствующий выбранной системной группе.

  2. Проверьте, что запрошенные права были выданы:

    yc organization-manager organization list-access-bindings <идентификатор_организации>

    Ответ содержит список всех ролей, выданных пользователям и группам в организации:

    +------------------------------------------+--------------+----------------------+
|                 ROLE ID                  | SUBJECT TYPE |      SUBJECT ID      |
+------------------------------------------+--------------+----------------------+
| organization-manager.admin               | userAccount  | ajev1p2345lj******** |
| organization-manager.organizations.owner | userAccount  | ajev1p2345lj******** |
| editor                                   | group        | ajev1p2345lj******** |
| viewer                                   | group        | ajev1p2345lj******** |
+------------------------------------------+--------------+----------------------+

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и группу:

    resource "yandex_organizationmanager_organization_iam_member" "users-editors" {
  organization_id = "<идентификатор_организации>"
  role            = "<идентификатор_роли>"
  member          = "group:<идентификатор_группы>"
}

    Где:

    • organization_idидентификатор организации. Обязательный параметр.

    • role — назначаемая роль. Обязательный параметр.

    • member — группа, которой назначается роль. Указывается в виде group:<идентификатор_группы>. Обязательный параметр.

      Для того чтобы назначить роль одной из системных групп, в параметре member укажите:

      • system:group:organization:<идентификатор_организации>:users — чтобы назначить роль системной группе All users in organization X;
      • system:group:federation:<идентификатор_федерации>:users — чтобы назначить роль системной группе All users in federation N.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_organization_iam_member см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя_или_идентификатор_папки>

Какие роли назначены в организации

Вы можете посмотреть все роли, назначенные субъектам в организации:

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. На странице Права доступа отобразится информация о пользователях и ролях, которые им назначены.

    Если у вас несколько организаций, вы можете переключиться на нужную. Для этого в левом верхнем углу экрана рядом с названием текущей организации нажмите значок и выберите нужную организацию.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Чтобы посмотреть список доступных организаций, выполните команду, подставив идентификатор организации:

    yc organization-manager organization list --organization-id <идентификатор_организации>

    Результат:

    +----------------------+-----------------------------+-------------------------+--------+
|          ID          |            NAME             |          TITLE          | LABELS |
+----------------------+-----------------------------+-------------------------+--------+
| bpf1smsil5q0******** | org1-technical-name         | Organization One        |        |
| bpf2c65rqcl8******** | org2-technical-name         | Organization Two        |        |
| bpfaidqca8vd******** | org3-technical-name         | Organization Three      |        |
+----------------------+-----------------------------+-------------------------+--------+

    Из колонки ID скопируйте идентификатор нужной организации.

  2. Посмотрите описание команды CLI для получения списка ролей, назначенных в организации:

    yc organization-manager organization list-access-bindings --help

  3. Получите перечень ролей, назначенных в организации, указав ее имя или идентификатор:

    yc organization-manager organization list-access-bindings <идентификатор_организации>

    Результат:

    +------------------------------------------+----------------+----------------------+
|                 ROLE ID                  |  SUBJECT TYPE  |      SUBJECT ID      |
+------------------------------------------+----------------+----------------------+
| auditor                                  | serviceAccount | ajefbjkmgjt1******** |
| admin                                    | userAccount    | asefbskmgjt1******** |
| organization-manager.organizations.owner | userAccount    | ajcfabjkmgjt******** |
+------------------------------------------+----------------+----------------------+

Воспользуйтесь методом REST API ListAccessBindings для ресурса Organization или вызовом gRPC API OrganizationService/ListAccessBindings.

Предыдущая
Ошибки аутентификации с аккаунтом на Яндексе
Следующая
Правила тарификации