Yandex Identity and Access Management
Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.
С помощью IAM вы сможете:
- предоставить доступ к ресурсам;
- управлять аккаунтами в Яндекс.Облаке;
- управлять ключами для авторизации;
- авторизоваться в Яндекс.Облаке.
Доступ к ресурсам
Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.
Перед тем, как выполнить операцию с ресурсом, например создать виртуальную машину, Яндекс.Облако отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Яндекс.Облако вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Яндекс.Облаке.
Аккаунты в Яндекс.Облаке
Для идентификации пользователей, выполняющих операции с ресурсами, используются аккаунты на Яндексе, сервисные аккаунты или федеративные аккаунты.
Примечание
Платежный аккаунт не используется для управления ресурсами в Яндекс.Облаке и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по биллингу.
Аккаунт на Яндексе
Аккаунт на Яндексе — ваш аккаунт в Яндекс.Паспорте или в Яндекс.Коннекте.
Примечание
Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс.Паспорта. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.
Сервисный аккаунт
Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке.
Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ. Подробнее читайте в разделе Сервисные аккаунты.
Федеративный аккаунт
Федеративный аккаунт — это аккаунт пользователя из федерации удостоверений, например из Active Directory.
С помощью федераций удостоверений, компания может настроить Single Sign-On — аутентификацию в Яндекс.Облаке через свой сервер. Тогда сотрудники компании смогут использовать свои корпоративные аккаунты для работы в Яндекс.Облаке.
Подробнее читайте в разделе SAML-совместимые федерации удостоверений.
Ключи для авторизации
Для авторизации в Яндекс.Облаке используется три типа ключей:
- API-ключи — для упрощенной авторизации вместо IAM-токена;
- Авторизованные ключи — для получения IAM-токена для сервисного аккаунта;
- Статические ключи доступа — для авторизации в сервисах с AWS-совместимым API.
Сейчас все эти ключи используются только для сервисных аккаунтов.
Авторизация
Чтобы IAM смог авторизовать пользователя (проверить, обладает ли пользователь необходимыми правами), пользователь должен аутентифицироваться. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Авторизация в Яндекс.Облаке.