Авторизация в Яндекс.Облаке

Когда пользователь выполняет операцию с ресурсом Яндекс.Облака, IAM проверяет, обладает ли пользователь необходимыми разрешениями для этой операции.

Разрешения пользователи получают вместе с ролями на ресурсы. Подробнее о том, как назначаются роли и проверяется список разрешений, читайте в разделе Как устроено управление доступом в Яндекс.Облаке.

Аутентификация в Яндекс.Облаке

Перед авторизацией, пользователь должен аутентифицироваться — войти под своим аккаунтом. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса:

Аутентификация с аккаунтом Яндекс.Паспорта

Аутентификация происходит автоматически, когда вы входите в аккаунт Яндекса или Яндекс.Коннекта.

Чтобы настроить аутентификацию в CLI, укажите ваш OAuth-токен при создании профиля. Токен будет сохранен в конфигурации профиля и аутентификация будет происходить автоматически.

Предупреждение

Если вы владелец облака и работаете через API со своего аккаунта, помните — владелец облака может выполнять любые операции с ресурсами в облаке.

Рекомендуем выполнять операции от имени сервисного аккаунта, которому вы можете назначить только необходимые для работы роли.

Чтобы выполнять операции в API:

  1. Получите IAM-токен в обмен на OAuth-токен.

  2. Полученный IAM-токен указывайте при обращении к ресурсам Яндекс.Облака через API. Передайте IAM-токен в заголовке Authorization в следующем формате:

    Authorization: Bearer <IAM-TOKEN>
    

    IAM-токен действителен 12 часов. Рекомендуем не ждать истечения срока действия токена, а запрашивать его чаще, например каждый час.

Аутентификация сервисного аккаунта

Чтобы выполнять операции от имени сервисного аккаунта, пройдите аутентификацию в CLI по инструкции.

Есть 3 способа выполнять операции от имени сервисного аккаунта:

Аутентификация федеративного пользователя

Чтобы войти в консоль управления, федеративный пользователь должен пройти по ссылке, в которой содержится идентификатор федерации:

https://console.cloud.yandex.ru/federations/<ID федерации>

То, как выглядит процесс аутентификации для федеративного пользователя — зависит от настроек сервера IdP. Подробнее читайте в разделе SAML-совместимые федерации удостоверений.

Чтобы выполнять операции от имени федеративного пользователя, пройдите аутентификацию в CLI по инструкции.

После успешной аутентификации на сервере федерации в профиле сохранится IAM-токен. При каждой операции аутентификация будет происходить с помощью этого токена, пока не истечет время жизни токена. После этого CLI снова выведет сообщение о необходимости пройти аутентификацию в браузере.