Авторизация в Яндекс.Облаке
Когда пользователь выполняет операцию с ресурсом Яндекс.Облака, IAM проверяет, обладает ли пользователь необходимыми разрешениями для этой операции.
Разрешения пользователи получают вместе с ролями на ресурсы. Подробнее о том, как назначаются роли и проверяется список разрешений, читайте в разделе Как устроено управление доступом в Яндекс.Облаке.
Аутентификация в Яндекс.Облаке
Перед авторизацией, пользователь должен аутентифицироваться — войти под своим аккаунтом. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса.
Аутентификация с аккаунтом Яндекс.Паспорта
Аутентификация происходит автоматически, когда вы входите в аккаунт Яндекса или Яндекс.Коннекта.
Чтобы настроить аутентификацию в CLI, укажите ваш OAuth-токен при инициализации профиля. Токен будет сохранен в конфигурации профиля и аутентификация будет происходить автоматически.
Предупреждение
Если вы владелец облака и работаете через API со своего аккаунта, помните — владелец облака может выполнять любые операции с ресурсами в облаке.
Рекомендуем выполнять операции от имени сервисного аккаунта, которому вы можете назначить только необходимые для работы роли.
Чтобы выполнять операции в API:
-
Получите IAM-токен в обмен на OAuth-токен.
-
Полученный IAM-токен указывайте при обращении к ресурсам Яндекс.Облака через API. Передайте IAM-токен в заголовке
Authorizationв следующем формате:Authorization: Bearer <IAM-TOKEN>IAM-токен действителен 12 часов. Рекомендуем не ждать истечения срока действия токена, а запрашивать его чаще, например каждый час.
Аутентификация сервисного аккаунта
Чтобы выполнять операции от имени сервисного аккаунта, укажите путь к авторизованному ключу сервисного аккаунта в конфигурации (в service-account-key) при инициализации профиля. Ключ будет сохранен в конфигурации профиля и аутентификация будет происходить автоматически.
Есть 3 способа выполнять операции от имени сервисного аккаунта:
-
С помощью IAM-токена.
Это рекомендуемый способ аутентификации, но у IAM-токена короткое время жизни. Поэтому такой способ подойдет для приложений, которые будут запрашивать IAM-токен автоматически.
-
С помощью API-ключей.
API-ключи не имеют срока действия, поэтому этот способ аутентификации проще, но менее безопасный. Используйте его, если у вас нет возможности автоматически запрашивать IAM-токен.
-
С помощью статических ключей доступа. Этот способ необходимо использовать в сервисах с AWS-совместимым API, например в Object Storage и Message Queue.