Yandex Identity and Access Management

Доступ
Аккаунты
Ключи для авторизации
Авторизация

Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.

С помощью IAM вы сможете:

предоставить доступ к ресурсам;
управлять аккаунтами в Яндекс.Облаке;
управлять ключами для авторизации;
авторизоваться в Яндекс.Облаке.

Доступ

Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.

Перед тем, как выполнить операцию с ресурсом, например создать виртуальную машину, Яндекс.Облако отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Яндекс.Облако вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Яндекс.Облаке.

Аккаунты

Для идентификации пользователей, выполняющих операции с ресурсами, используются аккаунты Яндекс.Паспорта, сервисные аккаунты или федеративные аккаунты.

Примечание

Платежный аккаунт не используется для управления ресурсами в Яндекс.Облаке и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по биллингу.

Аккаунт Яндекс.Паспорта

Аккаунт Яндекс.Паспорта — ваш аккаунт на Яндексе или Яндекс.Коннекте. Аккаунт Яндекс.Паспорта необходим для управления ресурсами через консоль управления.

Примечание

Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс.Паспорта. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.

Сервисный аккаунт

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке.

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ. Подробнее читайте в разделе Сервисные аккаунты.

Федеративный аккаунт

Федеративный аккаунт — это аккаунт пользователя из федерации удостоверений, например из Active Directory.

С помощью федераций удостоверений, компания может настроить Single Sign-On — аутентификацию в Яндекс.Облаке через свой сервер. Тогда сотрудники компании смогут использовать свои корпоративные аккаунты для работы в Яндекс.Облаке.

Подробнее читайте в разделе SAML-совместимые федерации удостоверений.

Ключи для авторизации

Для авторизации в Яндекс.Облаке используется три типа ключей:

API-ключи — для упрощенной авторизации вместо IAM-токена;
Авторизованные ключи — для получения IAM-токена для сервисного аккаунта;
Статические ключи доступа — для авторизации в сервисах с AWS-совместимым API.

Сейчас все эти ключи используются только для сервисных аккаунтов.

Авторизация

Чтобы IAM смог проверить, обладает ли пользователь необходимыми правами, пользователь должен авторизоваться. Авторизация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Авторизация в Яндекс.Облаке.