Аутентификация от имени сервисного аккаунта

Узнайте как аутентифицироваться в CLI:

• От имени сервисного аккаунта.
• От имени сервисного аккаунта изнутри виртуальной машины.

Перед началом работы

1. Аутентифицируйтесь в CLI как пользователь.
2. Если у вас еще нет сервисного аккаунта, создайте его и настройте права доступа для него.

Аутентифицируйтесь от имени сервисного аккаунта

1. Получите список сервисных аккаунтов, которые существуют в вашем облаке:

   $ yc iam service-account --folder-id <ID каталога> list
   +----------------------+------------+
   |          ID          |    NAME    |
   +----------------------+------------+
   | aje3932acd0c5ur7dagp | default-sa |
   +----------------------+------------+
   

2. Создайте авторизованный ключ для сервисного аккаунта и сохраните его в файл key.json:

   $ yc iam key create --service-account-name default-sa --output key.json
   id: aje83v701b1un777sh40
   service_account_id: aje3932acd0c5ur7dagp
   created_at: "2019-08-26T12:31:25Z"
   key_algorithm: RSA_2048
   

3. Добавьте авторизованный ключ сервисного аккаунта в профиль CLI.

   1. Создайте новый профиль CLI:

      $ yc config profile create sa-profile
      

   2. Добавьте авторизованный ключ:

      $ yc config set service-account-key key.json
      

4. Проверьте, что параметры для сервисного аккаунта добавлены верно:

   $ yc config list
   service-account-key:
     id: aje83v701b1un777sh40
     service_account_id: aje3932acd0c5ur7dagp
     created_at: "2019-08-26T12:31:25Z"
     key_algorithm: RSA_2048
     public_key: |
       -----BEGIN PUBLIC KEY-----
       MIIBIjANBg...
       -----END PUBLIC KEY-----
     private_key: |
       -----BEGIN PRIVATE KEY-----
       MIIEvwIBAD...
       -----END PRIVATE KEY-----
   

5. Настройте профиль для запуска команд.

   Для некоторых команд требуется указание уникального идентификатора облака и каталога. Вы можете указать информацию о них в профиле или запускать такие команды с соответствующим флагом.

   1. Укажите облако в профиле:

      $ yc config set cloud-id <ID облака>
      

      Или запускайте команды с параметром --cloud-id.

   2. Укажите каталог в профиле:

      $ yc config set folder-id <ID каталога>
      

      Или запускайте команды с параметром --folder-id.

   Все операции в этом профиле будут выполняться от имени привязанного сервисного аккаунта. Вы можете изменить параметры профиля или сменить его.

Аутентифицируйтесь от имени сервисного аккаунта изнутри виртуальной машины

Для сервисного аккаунта процесс аутентификации изнутри виртуальной машины упрощен:

1. Привяжите сервисный аккаунт к виртуальной машине.

2. Аутентифицируйтесь изнутри виртуальной машины:

   1. Подключитесь к виртуальной машине по SSH или по RDP.

   2. Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

   3. Создайте новый профиль:

      yc config profile create my-robot-profile
      

3. Настройте профиль для запуска команд.

   Для некоторых команд требуется указание уникального идентификатора облака и каталога. Вы можете указать информацию о них в профиле или запускать такие команды с соответствующим флагом.

   1. Укажите облако в профиле:

      $ yc config set cloud-id <ID облака>
      

      Или запускайте команды с параметром --cloud-id.

   2. Укажите каталог в профиле:

      $ yc config set folder-id <ID каталога>
      

      Или запускайте команды с параметром --folder-id.

   Все операции в этом профиле будут выполняться от имени привязанного сервисного аккаунта. Вы можете изменить параметры профиля или сменить его.

Подробная информация про работу с Yandex.Cloud из ВМ в разделе Работа с Yandex.Cloud изнутри виртуальной машины.

См. также

• Управление конфигурацией CLI.
• Создание профиля.
• Активация профиля.
• Управление параметрами профиля.
• Работа с Yandex.Cloud изнутри виртуальной машины.