Авторизация в Яндекс.Облаке
Когда пользователь выполняет операцию с ресурсом Яндекс.Облака, IAM проверяет, обладает ли пользователь необходимыми разрешениями для этой операции.
Разрешения пользователи получают вместе с ролями на ресурсы. Подробнее о том, как назначаются роли и проверяется список разрешений, читайте в разделе Как устроено управление доступом в Яндекс.Облаке.
Аутентификация в Яндекс.Облаке
Перед авторизацией, пользователь должен аутентифицироваться — войти под своим аккаунтом. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса:
- Аутентификация с аккаунтом на Яндексе
- Аутентификация сервисного аккаунта
- Аутентификация федеративного пользователя
Аутентификация с аккаунтом на Яндексе
Аутентификация происходит автоматически, когда вы входите в аккаунт Яндекса или Яндекс.Коннекта.
Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции. После этого аутентификация будет происходить автоматически.
Ошибка
Если вы владелец облака и работаете через API со своего аккаунта, помните — владелец облака может выполнять любые операции с ресурсами в облаке.
Рекомендуем выполнять операции от имени сервисного аккаунта, которому вы можете назначить только необходимые для работы роли.
Чтобы выполнять операции в API:
-
Получите IAM-токен в обмен на OAuth-токен.
-
Полученный IAM-токен указывайте при обращении к ресурсам Яндекс.Облака через API. Передайте IAM-токен в заголовке
Authorizationв следующем формате:Authorization: Bearer <IAM-TOKEN>Время жизни IAM-токена — не больше 12 часов, но рекомендуется запрашивать его чаще, например каждый час.
Аутентификация сервисного аккаунта
Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции. После этого аутентификация будет происходить автоматически.
Есть 3 способа выполнять операции от имени сервисного аккаунта:
-
С помощью IAM-токена.
Это рекомендуемый способ аутентификации, но у IAM-токена короткое время жизни. Поэтому такой способ подойдет для приложений, которые будут запрашивать IAM-токен автоматически.
-
С помощью API-ключей.
API-ключи не имеют срока действия, поэтому этот способ аутентификации проще, но менее безопасный. Используйте его, если у вас нет возможности автоматически запрашивать IAM-токен.
-
С помощью статических ключей доступа. Этот способ необходимо использовать в сервисах с AWS-совместимым API, например в Object Storage и Message Queue.
Аутентификация федеративного пользователя
Чтобы войти в консоль управления, федеративный пользователь должен пройти по ссылке, в которой содержится идентификатор федерации:
https://console.cloud.yandex.ru/federations/<ID федерации>
То, как выглядит процесс аутентификации для федеративного пользователя — зависит от настроек сервера IdP. Подробнее читайте в разделе SAML-совместимые федерации удостоверений.
Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции.
После успешной аутентификации на сервере федерации в профиле сохранится IAM-токен. При каждой операции аутентификация будет происходить с помощью этого токена, пока не истечет время жизни токена. После этого CLI снова выведет сообщение о необходимости пройти аутентификацию в браузере.