Авторизация в Яндекс.Облаке

Когда пользователь выполняет операцию с ресурсом Яндекс.Облака, IAM проверяет, обладает ли пользователь необходимыми разрешениями для этой операции.

Разрешения пользователи получают вместе с ролями на ресурсы. Подробнее о том, как назначаются роли и проверяется список разрешений, читайте в разделе Как устроено управление доступом в Яндекс.Облаке.

Аутентификация в Яндекс.Облаке

Перед авторизацией, пользователь должен аутентифицироваться — войти под своим аккаунтом. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса.

Аутентификация с аккаунтом Яндекс.Паспорта

Аутентификация происходит автоматически, когда вы входите в аккаунт Яндекса или Яндекс.Коннекта.

Чтобы настроить аутентификацию в CLI, укажите ваш OAuth-токен при инициализации профиля. Токен будет сохранен в конфигурации профиля и аутентификация будет происходить автоматически.

Предупреждение

Если вы владелец облака и работаете через API со своего аккаунта, помните — владелец облака может выполнять любые операции с ресурсами в облаке.

Рекомендуем выполнять операции от имени сервисного аккаунта, которому вы можете назначить только необходимые для работы роли.

Чтобы выполнять операции в API:

  1. Получите IAM-токен в обмен на OAuth-токен.

  2. Полученный IAM-токен указывайте при обращении к ресурсам Яндекс.Облака через API. Передайте IAM-токен в заголовке Authorization в следующем формате:

    Authorization: Bearer <IAM-TOKEN>
    

    IAM-токен действителен 12 часов. Рекомендуем не ждать истечения срока действия токена, а запрашивать его чаще, например каждый час.

Аутентификация сервисного аккаунта

Чтобы выполнять операции от имени сервисного аккаунта, укажите путь к авторизованному ключу сервисного аккаунта в конфигурации (в service-account-key) при инициализации профиля. Ключ будет сохранен в конфигурации профиля и аутентификация будет происходить автоматически.

Есть 3 способа выполнять операции от имени сервисного аккаунта: