Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • Федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC (англ.)
      • Overview
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST (англ.)
      • Overview
      • ApiKey
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Overview
        • create
        • createForServiceAccount
      • Key
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Overview
        • get
        • list
      • ServiceAccount
        • Overview
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Overview
        • get
      • YandexPassportUserAccount
        • Overview
        • getByLogin
      • Operation
        • Overview
        • get
      • AccessKey
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
      • Federation
        • Overview
        • list
        • get
        • listUserAccounts
        • delete
        • addUserAccounts
        • update
        • listOperations
        • create
      • Certificate
        • Overview
        • list
        • get
        • delete
        • update
        • listOperations
        • create
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Безопасное использование Yandex Cloud

Безопасное использование Yandex Cloud

Статья создана
Yandex.Cloud
  • Не давайте лишних прав доступа
  • Защитите свой аккаунт на Яндексе
  • Используйте сервисные аккаунты

В разделе представлены рекомендации по использованию возможностей сервиса IAM для обеспечения безопасной работы с сервисами Yandex Cloud.

Не давайте лишних прав доступа

Для критически важных ресурсов:

  • Назначайте минимально необходимые для работы роли. Например, чтобы в Compute Cloud разрешить использовать образы для создания виртуальных машин, назначьте роль compute.images.user, а не editor или выше.

  • Старайтесь назначать сервисные роли вместо примитивных (viewer, editor, admin). Примитивные роли действуют для ресурсов любого из сервисов Yandex Cloud.

    Используйте примитивные роли, если нет подходящей сервисной роли или вы хотите дать пользователю широкие полномочия.

  • Назначайте только роли, которые необходимы сейчас. Не назначайте роли, которые могут потребоваться только в будущем.

  • Помните, что когда вы назначаете роль на каталог или облако, разрешения этой роли унаследуют все вложенные ресурсы.

  • Назначайте роли администратора и владельца облака только тем, кто должен управлять доступом к ресурсам в вашем проекте.

    Администратор может лишить прав доступа другого администратора, а владелец — отозвать у другого владельца его роль. Еще эти роли включают все разрешения роли editor — они позволяют создавать, изменять и удалять ресурсы.

Защитите свой аккаунт на Яндексе

  • Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс ID. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.

  • Держите в секрете ваш OAuth-токен, с его помощью можно получить IAM-токен и выполнять любые операции в облаке от вашего имени.

    Если кто-то мог узнать ваш OAuth-токен, отзовите его и выпустите новый.

  • Старайтесь не использовать OAuth-токен для аутентификации, если можно использовать IAM-токен. OAuth-токен действует 1 год, а IAM-токен — 12 часов. Если ваш токен будет скомпрометирован, у злоумышленника будет ограниченное время, чтобы воспользоваться им.

Используйте сервисные аккаунты

Используйте сервисные аккаунты для автоматизации работы с Yandex Cloud и следуйте этим рекомендациям:

  • Контролируйте доступ к вашим сервисным аккаунтам. Роль editor на сервисный аккаунт позволит пользователю выполнять операции, разрешенные этому сервисному аккаунту. Если сервисный аккаунт — администратор в облаке, то пользователь сможет сделать себя администратором с его помощью.

  • Создавайте отдельные сервисные аккаунты для выполнения разных задач. Так вы сможете назначить им только те роли, которые необходимы. В любой момент вы сможете отозвать роли у сервисного аккаунта или удалить его, не затронув другие аккаунты.

  • Давайте сервисным аккаунтам имена, которые позволят понять, для чего аккаунт используется и какие разрешения он должен иметь.

  • Держите в секрете ключи сервисного аккаунта — с их помощью можно выполнять операции от имени сервисного аккаунта. Не храните ключи сервисного аккаунта в исходном коде.

    Периодически отзывайте старые ключи и выпускайте новые. Особенно если кто-то мог узнать ваш секретный ключ.

  • Не используйте ключи для аутентификации, если можно использовать IAM-токен. Срок жизни ключей неограничен, а IAM-токен действует 12 часов.

  • Если вы выполняете операции изнутри виртуальной машины, привяжите к ней сервисный аккаунт. Тогда для аутентификации не нужно хранить ключи сервисного аккаунта на виртуальной машине — IAM-токен будет доступен по ссылке на сервис метаданных.

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • Не давайте лишних прав доступа
  • Защитите свой аккаунт на Яндексе
  • Используйте сервисные аккаунты