Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Федерации удостоверений
      • Аутентификация с помощью Active Directory
      • Аутентификация с помощью G-Suite
      • Аутентификация с помощью федерации удостоверений
      • Добавление пользователей
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • SAML-совместимые федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex.Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST
      • Обзор
      • ApiKey
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Обзор
        • create
      • Key
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Обзор
        • get
        • list
      • ServiceAccount
        • Обзор
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Обзор
        • get
      • YandexPassportUserAccount
        • Обзор
        • getByLogin
      • Operation
        • Обзор
        • get
      • Federation
        • Обзор
        • update
        • list
        • listUserAccounts
        • get
        • delete
        • addUserAccounts
        • create
        • listOperations
      • Certificate
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
      • AccessKey
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Концепции
  2. Авторизация
  3. Обзор

Авторизация в Yandex.Cloud

  • Аутентификация в Yandex.Cloud
    • Аутентификация с аккаунтом на Яндексе
    • Аутентификация сервисного аккаунта
    • Аутентификация федеративного пользователя

Когда пользователь выполняет операцию с ресурсом Yandex.Cloud, IAM проверяет, обладает ли пользователь необходимыми разрешениями для этой операции.

Разрешения пользователи получают вместе с ролями на ресурсы. Подробнее о том, как назначаются роли и проверяется список разрешений, читайте в разделе Как устроено управление доступом в Yandex.Cloud.

Аутентификация в Yandex.Cloud

Перед авторизацией, пользователь должен аутентифицироваться — войти под своим аккаунтом. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса:

  • Аутентификация с аккаунтом на Яндексе
  • Аутентификация сервисного аккаунта
  • Аутентификация федеративного пользователя

Аутентификация с аккаунтом на Яндексе

Консоль управления
CLI
API

Аутентификация происходит автоматически, когда вы входите в аккаунт Яндекса или Яндекс.Коннекта.

Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции. После этого аутентификация будет происходить автоматически.

Внимание

Если вы владелец облака и работаете через API со своего аккаунта, помните — владелец облака может выполнять любые операции с ресурсами в облаке.

Рекомендуем выполнять операции от имени сервисного аккаунта, которому вы можете назначить только необходимые для работы роли.

Чтобы выполнять операции в API:

  1. Получите IAM-токен в обмен на OAuth-токен.

  2. Полученный IAM-токен указывайте при обращении к ресурсам Yandex.Cloud через API. Передайте IAM-токен в заголовке Authorization в следующем формате:

    Authorization: Bearer <IAM-TOKEN>
    

    Время жизни IAM-токена — не больше 12 часов, но рекомендуется запрашивать его чаще, например каждый час.

Аутентификация сервисного аккаунта

CLI
API

Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции. После этого аутентификация будет происходить автоматически.

Есть 3 способа выполнять операции от имени сервисного аккаунта:

  • С помощью IAM-токена.

    Это рекомендуемый способ аутентификации, но у IAM-токена короткое время жизни. Поэтому такой способ подойдет для приложений, которые будут запрашивать IAM-токен автоматически.

    Инструкция получения IAM-токена.

  • С помощью API-ключей.

    API-ключи не имеют срока действия, поэтому этот способ аутентификации проще, но менее безопасный. Используйте его, если у вас нет возможности автоматически запрашивать IAM-токен.

    Инструкция получения API-ключа.

  • С помощью статических ключей доступа. Этот способ необходимо использовать в сервисах с AWS-совместимым API, например в Object Storage и Message Queue.

    Инструкция получения статического ключа доступа.

Аутентификация федеративного пользователя

Консоль управления
CLI

Чтобы войти в консоль управления, федеративный пользователь должен пройти по ссылке, в которой содержится идентификатор федерации:

https://console.cloud.yandex.ru/federations/<ID федерации>

То, как выглядит процесс аутентификации для федеративного пользователя — зависит от настроек сервера IdP. Подробнее читайте в разделе SAML-совместимые федерации удостоверений.

Чтобы выполнять операции в CLI, аутентифицируйтесь по инструкции.

После успешной аутентификации на сервере федерации в профиле сохранится IAM-токен. При каждой операции аутентификация будет происходить с помощью этого токена, пока не истечет время жизни токена. После этого CLI снова выведет сообщение о необходимости пройти аутентификацию в браузере.

См. также

Аккаунты в Yandex.Cloud

Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»