Yandex Identity and Access Management

Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.

С помощью IAM вы сможете:

Доступ к ресурсам

Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.

Перед тем, как выполнить операцию с ресурсом, например создать виртуальную машину, Яндекс.Облако отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Яндекс.Облако вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Яндекс.Облаке.

Аккаунты в Яндекс.Облаке

Для идентификации пользователей, выполняющих операции с ресурсами, используются аккаунты на Яндексе, сервисные аккаунты или федеративные аккаунты.

Примечание

Платежный аккаунт не используется для управления ресурсами в Яндекс.Облаке и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по биллингу.

Аккаунт на Яндексе

Аккаунт на Яндексе — ваш аккаунт в Яндекс.Паспорте или в Яндекс.Коннекте.

Примечание

Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, рекомендуется использовать двухфакторную аутентификацию Яндекс.Паспорта. Используйте этот способ защиты для собственного аккаунта, и просите включить двухфакторную аутентификацию каждого пользователя, которого вы добавляете в свои облака.

Сервисный аккаунт

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке.

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ. Подробнее читайте в разделе Сервисные аккаунты.

Федеративный аккаунт

Федеративный аккаунт — это аккаунт пользователя из федерации удостоверений, например из Active Directory.

С помощью федераций удостоверений, компания может настроить Single Sign-On — аутентификацию в Яндекс.Облаке через свой сервер. Тогда сотрудники компании смогут использовать свои корпоративные аккаунты для работы в Яндекс.Облаке.

Подробнее читайте в разделе SAML-совместимые федерации удостоверений.

Ключи для авторизации

Для авторизации в Яндекс.Облаке используется три типа ключей:

Сейчас все эти ключи используются только для сервисных аккаунтов.

Авторизация

Чтобы IAM смог авторизовать пользователя (проверить, обладает ли пользователь необходимыми правами), пользователь должен аутентифицироваться. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Авторизация в Яндекс.Облаке.