- tocdepth
2
Добавление пользователей
Вы можете добавить нужное количество пользователей в организацию. Каждому пользователю необходимо выдать на проект одну или несколько ролей, которые будут определять уровни доступа к облаку.
Типы пользователей:
локальные — авторизуются в личном кабинете с помощью email и пароля.
федеративные — авторизуются в личном кабинете по технологии единого входа (SSO) по корпоративным учетным данным.
Добавить локального пользователя
Добавить локального пользователя можно через:
Личный кабинет
В разделе Пользователи откройте вкладку Локальные пользователи.
В правом верхнем углу нажмите Добавить пользователя.
Введите email и контактные данные пользователя.
Если пользователь с таким email уже существует в другом проекте, то вам будет предложено выбрать его из списка совпадений. Фамилия и имя в таком случае заполнятся автоматически.
Назначьте пользователю права.
Примечание
При назначении прав действует принцип иерархии: вы можете назначить только те роли, которые находятся на одном уровне с вашей, либо ниже ее. Назначить себе или другому пользователю роль выше нельзя.
- На организацию и проект
Вы можете выбрать одну из доступных ролей на организацию. Эти роли определяют, какие действия и разделы будут доступны пользователю внутри всего личного кабинета.
Если пользователи будут работать только с платформами и сервисами, назначать права на организацию необязательно. Для них достаточно выбрать соответствующую роль на проект.
Вы можете выбрать одну из доступных ролей на проект. Эти роли определяют, какие действия будут доступны пользователю внутри конкретного проекта.
- На сервисы
Роли в блоке Сервисы определяют, какие действия будут доступны пользователю внутри конкретных сервисов. Если на уровне проекта пользователю была выдана роль «Администратор проекта», то на сервисы наследуются административные роли и изменить их нельзя. Настроить роли на сервисы вручную можно для ролей «Администратор пользователей», «Пользователь сервисов» и «Пользователь проекта».
- На платформы
Для каждой подключенной в проекте платформы необходимо назначить пользователю роль.
Если в проекте есть подключенная платформа Evolution, то можно назначить пользователю роли на сервисы этой платформы.
Evolution Object Storage
В рамках сервиса можно назначить одну общую роль, которая будет действовать для всех бакетов, либо выбрать роли для определенных бакетов.
Роли на бакеты влияют на то, какие действия с объектами в них будут доступны пользователю.
Artifact Registry
В рамках сервиса можно назначить одну общую роль, которая будет действовать для всех реестров, либо выбрать роли для определенных реестров.
Если в проекте есть подключенная платформа Advanced, то пользователю необходимо назначить одну или несколько ролей для этой платформы.
По умолчанию доступны два вида ролей: admin и user. Чтобы назначить пользователю кастомную роль, предварительно ее нужно создать в User Group с необходимыми правами и политиками в консоли Advanced (IAM). Затем эта роль появится и в списке ролей для платформы Advanced в личном кабинете. Все роли из IAM транслируются в личный кабинет для выбора.
Если в проекте есть подключенная платформа Облако VMware, то пользователю необходимо назначить одну из ролей для этой платформы. В блоке «Облако VMware» роли назначаются для каждого тенанта отдельно.
По умолчанию на портале есть предварительно настроенный набор ролей. Вы также можете создавать кастомные роли в консоли управления платформы Облако VMware. Все роли транслируются в личный кабинет для выбора.
Если в проекте есть подключенная платформа ML Space, то пользователю необходимо назначить одну из ролей для этой платформы. Можно назначить общую роль, либо выбрать роли для каждого воркспейса отдельно.
Доступно несколько видов ролей с разным набором прав на действия внутри платформы.
Роль можно назначить на все воркспейсы или только на определенные с помощью опции Установить отдельные роли на воркспейсы.
Нажмите Добавить и завершить.
Если вы хотите добавить текущего пользователя и сразу перейти к созданию следующего, нажмите Добавить еще пользователя.
API
Создайте пользователя:
curl --location 'https://iam.api.cloud.ru/api/v1/customers/<customerId>/users' \ --header 'accept: application/json' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <аутентификационный токен>' \ --data-raw '{ "userName": "ivanovivan@gmail.com", "firstName": "Иван", "lastName": "Иванов", "middleName": "Иванович", "email": "ivanovivan@gmail.com", "accountType": "USER_ACCOUNT_TYPE_LOCAL" }'Где:
customerId
— Идентификатор организации.
body
— Содержит параметры:
userName
— Может содержать латинские буквы (A-Z, a-z), цифры (0-9) и символы (., _, -, , @, + // -). Минимальное количество символов — два, макксимальное — 255.
firstName
,lastName
,middleName
— Может содержать буквы unicode в разных регистрах, цифры и пробелы. Минимальное количество символов — два, макксимальное — 255.
accountType
:
USER_ACCOUNT_TYPE_LOCAL
— Будут созданы только локальные пользователи.Пример ответа
В теле ответа вернется ID созданного локального пользователя. Этот ID будет необходим для назначения пользователю ролей.
{ "user_id": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx" }Коды ошибок
400 Bad Request
firstname
,lastname
иmiddlename``не содержат допустимых символов ``\"^[-a-zA-Z0-9@._+ ]{2,255}$\"
.{ "code": 3, "message": "invalid AddUserRequest.Username: value does not match regex pattern \"^[-a-zA-Z0-9@._+ ]{2,255}$\"", "details": [] }Назначьте роль, используя
id
пользователя из предыдущего шага.curl --location 'https://iam.api.cloud.ru/api/v1/permissions' \ --header 'accept: application/json' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <аутентификационный токен>' \ --data '{ "role": "s3e.admin", "objectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx", "objectType": "resource", "subjectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx", "subjectType": "user", "expiresAt": "2025-05-28T07:19:34.563Z", }'Где:
role
— роль, выдаваемая пользователю, сервисному аккаунту или группе;
objectId
— идентификатор ресурса, на уровень которого выдается роль;
objectType
— при заполении этого параметра выберитеcustomer
илиresource
:
customer
— если роль выдается на организацию;
resource
— если на любой ресурс.
subjectId
— идентификатор субъекта, которому выдается роль;
subjectType
— тип субъекта, которому выдается роль:
user
— если роль выдается пользователю.
expiresAt - 2025-05-28
— дата, после которой роль будет удалена.
Добавленный пользователь получит письмо на email с приглашением присоединиться к вашей организации.
Добавить федеративного пользователя
Федеративные пользователи получают доступ к облачным ресурсам Cloud.ru по технологии единого входа (SSО) с помощью федерации удостоверений. Они отличаются от локальных пользователей только способом входа в личный кабинет. Федеративным пользователям назначаются такие же роли, как и локальным.
См.также
Подробнее смотрите в статье Управление федерациями.
Чтобы создать федеративного пользователя:
В разделе Пользователи откройте вкладку Федеративные пользователи.
В правом верхнем углу нажмите Добавить пользователя федерации.
Выберите федерацию, в которую нужно включить пользователя.
Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.
Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей Cloud.ru.
Нажмите Добавить.
Профиль пользователя появится на вкладке Федеративные пользователи.
Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.
Перейдите в раздел Администрирование, на вкладку Федерации.
Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.
Создайте OpenID или SAML федерацию.
Создайте пользователя:
curl --location 'https://iam.api.cloud.ru/api/v1/customers/<customerId>/users' \ --header 'accept: application/json' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <аутентификационный токен>' \ --data-raw '{ "userName": "ivanovivan@gmail.com", "firstName": "Иван", "lastName": "Иванов", "middleName": "Иванович", "email": "ivanovivan@gmail.com", "accountType": "USER_ACCOUNT_TYPE_FEDERATED" }'
Где:
customerId
— Идентификатор организации.body
— Содержит параметры:userName
— Может содержать латинские буквы (A-Z, a-z), цифры (0-9) и символы (., _, -, , @, + // -). Минимальное количество символов — два, макксимальное — 255.firstName
,lastName
,middleName
— Может содержать буквы unicode в разных регистрах, цифры и пробелы. Минимальное количество символов — два, максимальное — 255.email
.
accountType
:USER_ACCOUNT_TYPE_FEDERATED
— Будут созданы только федеративные пользователи. Если не указатьaccountType
, будет создан локальный пользователь.
Пример ответа
В теле ответа вернется идентификатор созданного федеративного пользовател
{ "user_id": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx" }
Коды ошибок
400 Bad Request
При добавлении пользователя заранее не создана федерация SAML или OpenID.
{ "code": 3, "message": "cannot add user because no federation is configured", "details": [ { "@type": "type.googleapis.com/google.rpc.ErrorInfo", "reason": "idp_not_configured", "domain": "", "metadata": {} } ] }
400 Bad Request
email
илиuserName
не совпадают с firstname, lastname и middlename и не содержат допустимые символы\"^[-a-zA-Z0-9@._+ ]{2,255}$\"
.{ "code": 3, "message": "invalid AddUserRequest.Username: value does not match regex pattern \"^[-a-zA-Z0-9@._+ ]{2,255}$\"", "details": [] }
Назначьте роль, используя
id
пользователя из предыдущего шага.curl --location 'https://iam.api.cloud.ru/api/v1/permissions' \ --header 'accept: application/json' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <аутентификационный токен>' \ --data '{ "role": "monaas.admin", "objectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx", "objectType": "resource", "subjectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx", "subjectType": "user", "expiresAt": "2025-05-28T07:19:34.563Z" }'
Где:
role
— роль, выдаваемая пользователю;objectId
— идентификатор ресурса, на уровень которого выдается роль;objectType
— при заполении этого параметра выберитеcustomer
илиresource
:customer
— если роль выдается на организацию;resource
— если на любой ресурс.
subjectId
— идентификатор субъекта, которому назначается роль;subjectType
— тип субъекта, которому выдается роль:user
— роль выдается пользователю.
expiresAt - 2025-05-28
— дата, после которой роль будет удалена.
Повторная отправка приглашения
Если пользователь не успел принять приглашение в организацию или по ошибке отклонил его, то можно отправить повторное приглашение.
Перейдите в раздел Пользователи, на вкладку Приглашенные пользователи.
Нажмите в строке с нужным приглашением.
Выберите Отправить повторно.
Приглашение будет повторно отправлено на email пользователю.
Выполните запрос:
curl --location 'https://iam.api.cloud.ru/api/v1/customers/<customerId>/users/reinvite' \
--header 'accept: application/json' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer <аутентификационный токен>' \
--data '{
"userId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx"
}'
Где:
customerId
— идентификатор организации;userId
— идентификатор пользователя.
для Dev & Test