Подскажите пожалуйста а в чём смысл давать сервисному аккаунту при

создании ASG права на весь каталог?

yandex_iam_service_account — описание сервисного аккаунта. Все операции в Instance Groups выполняются от имени сервисного аккаунта.

resource "yandex_iam_service_account" "ig-sa" {
name = "ig-sa"
description = "service account to manage IG"
}

resource "yandex_resourcemanager_folder_iam_binding" "editor" {
folder_id = "<идентификатор каталога>"
role = "editor"
members = [
"serviceAccount:${yandex_iam_service_account.ig-sa.id}",
]
}

Машины созданные в этой ASG получается получат админские права на весь клауд. Это ок?

Если не ок—какие минимальные права нужно выдать этому сервисному аккаунту чтобы всё нормально создавалось? если не выдавать ничего то он не может подключиться к сети

Выдайте минимальный набор ролей, в чем проблема?

непонятно какие права нужны для того чтобы машины создавались

При создании инстанс-группы можно указать два сервисных аккаунта — от имени одного будет действовать сама группа и создавать виртуалки/подключать их к сети/и так далее, а второй будет прикрепляться к инстансам. Сами инстансы могут иметь меньше доступа, чем тот сервисный аккаунт, от имени которых они созданы

точно, спасибо