Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Федерации удостоверений
      • Аутентификация с помощью Active Directory
      • Аутентификация с помощью G-Suite
      • Аутентификация с помощью федерации удостоверений
      • Добавление пользователей
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • SAML-совместимые федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex.Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST
      • Обзор
      • ApiKey
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Обзор
        • create
      • Key
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Обзор
        • get
        • list
      • ServiceAccount
        • Обзор
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Обзор
        • get
      • YandexPassportUserAccount
        • Обзор
        • getByLogin
      • Operation
        • Обзор
        • get
      • Federation
        • Обзор
        • update
        • list
        • listUserAccounts
        • get
        • delete
        • addUserAccounts
        • create
        • listOperations
      • Certificate
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
      • AccessKey
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Концепции
  2. Обзор

Yandex Identity and Access Management

  • Доступ к ресурсам
  • Аккаунты в Yandex.Cloud
    • Аккаунт на Яндексе
    • Сервисный аккаунт
    • Федеративный аккаунт
  • Ключи для авторизации
  • Авторизация

Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.

С помощью IAM вы сможете:

  • предоставить доступ к ресурсам;
  • управлять аккаунтами в Yandex.Cloud;
  • управлять ключами для авторизации;
  • авторизоваться в Yandex.Cloud.

Доступ к ресурсам

Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.

Перед тем, как выполнить операцию с ресурсом, например создать виртуальную машину, Yandex.Cloud отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Yandex.Cloud вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Аккаунты в Yandex.Cloud

Для идентификации пользователей, выполняющих операции с ресурсами, используются аккаунты на Яндексе, сервисные аккаунты или федеративные аккаунты.

Примечание

Платежный аккаунт не используется для управления ресурсами в Yandex.Cloud и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по биллингу.

Аккаунт на Яндексе

Аккаунт на Яндексе — ваш аккаунт в Яндекс.Паспорте или в Яндекс.Коннекте.

Примечание

Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс.Паспорта. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.

Сервисный аккаунт

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Yandex.Cloud.

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ. Подробнее читайте в разделе Сервисные аккаунты.

Федеративный аккаунт

Федеративный аккаунт — это аккаунт пользователя из федерации удостоверений, например из Active Directory.

С помощью федераций удостоверений, компания может настроить Single Sign-On — аутентификацию в Yandex.Cloud через свой сервер. Тогда сотрудники компании смогут использовать свои корпоративные аккаунты для работы в Yandex.Cloud.

Подробнее читайте в разделе SAML-совместимые федерации удостоверений.

Ключи для авторизации

Для авторизации в Yandex.Cloud используется три типа ключей:

  • API-ключи — для упрощенной авторизации вместо IAM-токена;
  • Авторизованные ключи — для получения IAM-токена для сервисного аккаунта;
  • Статические ключи доступа — для авторизации в сервисах с AWS-совместимым API.

Сейчас все эти ключи используются только для сервисных аккаунтов.

Авторизация

Чтобы IAM смог авторизовать пользователя (проверить, обладает ли пользователь необходимыми правами), пользователь должен аутентифицироваться. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Авторизация в Yandex.Cloud.

В этой статье:
  • Доступ к ресурсам
  • Аккаунты в Yandex.Cloud
  • Аккаунт на Яндексе
  • Сервисный аккаунт
  • Федеративный аккаунт
  • Ключи для авторизации
  • Авторизация
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»