About Teletype
Join
A
Alexey Volkov
@cameda
Yandex Cloud
August 10, 2022

Проблема с переносом облака в организацию из-за невозможности перенести некоторых пользователей

В какой-то момент времени может встать задача по переносу облака в действующую организацию. Часто этот процесс ломается и облако не переносится.

Самой частой проблемой такого поведения являются некоторые пользователи, которых перенести не удаётся. Это происходит из-за того, что их роли в облаке не могут быть экстрапалированы на организацию.

Ошибка при этом может выглядеть примерно так:

{ "publicAccessBindings": [{ "roleId": "editor", "subjectId": "ajej1vnk16s5l2vhmr4rn", "resourceId": "b1ggien8hd7c5b5t32k9i", "resourceType": "resource-manager.cloud" }, { "roleId": "editor", "subjectId": "ajet0h03f51aq1tk5a36u", "resourceId": "b1g6igm69ji65tvn8qnj3", "resourceType": "resource-manager.folder" }, { "roleId": "resource-manager.clouds.member", "subjectId": "ajej1vnk16s5l2vhmr4rn", "resourceId": "b1ggien8hd7c5b5t32k9i", "resourceType": "resource-manager.cloud" }, { "roleId": "resource-manager.clouds.member", "subjectId": "ajekfca9mlg21sukiqq87", "resourceId": "b1ggien8hd7c5b5t32k9i", "resourceType": "resource-manager.cloud" }, { "roleId": "resource-manager.clouds.member", "subjectId": "ajet0h03f51aqtk5a36u", "resourceId": "b1ggien8hd7c5b5t32k9i", "resourceType": "resource-manager.cloud" }] }

Здесь указаны определённые аккаунты в ключе subjectId, которые не нравятся системе.

Данную ошибку можно увидеть если собрать HAR файл. Например, по этой инструкции: https://cloud.yandex.ru/docs/support/create-har

Проанализировать HAR можно с помощью: https://toolbox.googleapps.com/apps/har_analyzer/

Посмотреть информацию по пользователю и посмотреть какие права (биндинги) у него есть в проблемном ресурсе можно. Сделаем это на примере одного пользователя из ошибки:

Проверим на всякий случай, что это наше облако, будет выдано его название:
yc resource cloud get b1g6igm69ji65tvn8qnj3
Посмотрим логин и почту пользователя: 
yc iam user-account get ajej1vnk16s5l2vhmr4rn
Посмотрим какие у него есть права на ресурс:
yc resource cloud list-access-bindings b1g6igm69ji65tvn8qnj3 | grep ajej1vnk16s5l2vhmr4rn

Решение:

  1. Можно удалить все роли у этих пользователей чтобы можно было перенести облако в организацию. Далее уже в организации можно будет вернуть права.
  2. Добавить данных пользователей в организацию вручную.

Посмотреть информацию об организации, куда будет осуществляться перенос можно так:

yc organization-manager organization get your_organization_id
August 10, 2022, 10:23
0 views
0 reposts