Yandex Identity and Access Management
Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.
С помощью IAM вы сможете:
- предоставить доступ к ресурсам;
- управлять аккаунтами в Яндекс.Облаке;
- управлять ключами для авторизации;
- авторизоваться в Яндекс.Облаке.
Доступ
Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.
Перед тем, как выполнить операцию с ресурсом, например создать виртуальную машину, Яндекс.Облако отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Яндекс.Облако вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Яндекс.Облаке.
Аккаунты
Для идентификации пользователей, выполняющих операции с ресурсами, используются аккаунты Яндекс.Паспорта и сервисные аккаунты.
Примечание
Платежный аккаунт не используется для управления ресурсами в Яндекс.Облаке и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по биллингу.
Аккаунт Яндекс.Паспорта
Аккаунт Яндекс.Паспорта — ваш аккаунт на Яндексе или Яндекс.Коннекте. Аккаунт Яндекс.Паспорта необходим для управления ресурсами через консоль управления.
Примечание
Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс.Паспорта. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.
Сервисный аккаунт
Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке через API.
Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ. Подробнее читайте в разделе Сервисные аккаунты.
Ключи для авторизации
Для авторизации в Яндекс.Облаке используется три типа ключей:
- API-ключи — для упрощенной авторизации вместо IAM-токена;
- Авторизованные ключи — для получения IAM-токена для сервисного аккаунта;
- Статические ключи доступа — для авторизации в сервисах с AWS-совместимым API.
Сейчас все эти ключи используются только для сервисных аккаунтов.
Авторизация
Чтобы IAM смог проверить, обладает ли пользователь необходимыми правами, пользователь должен авторизоваться. Авторизация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Авторизация в Яндекс.Облаке.