Создание статических ключей доступа

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

1. Посмотрите описание команды создания статического ключа доступа:

   yc iam access-key create --help
   

2. Выберите сервисный аккаунт, например my-robot:

   yc iam service-account list
   

   Результат:

   +----------------------+------------------+-------------------------------+
   |          ID          |       NAME       |          DESCRIPTION          |
   +----------------------+------------------+-------------------------------+
   | aje6o61dvog2h6g9a33s | my-robot         |                               |
   | aje9sda1ufvqcmfksd3f | blabla           | bla bla bla is my description |
   +----------------------+------------------+-------------------------------+
   

3. Создайте ключ доступа для сервисного аккаунта my-robot:

   yc iam access-key create --service-account-name my-robot
   

   Результат:

   access_key:
     id: aje6t3vsbj8lp9r4vk2u
     service_account_id: ajepg0mjt06siuj65usm
     created_at: "2018-11-22T14:37:51Z"
     key_id: 0n8X6WY6S24N7OjXQ0YQ
   secret: JyTRFdqw8t1kh2-OJNz4JX5ZTz9Dj1rI9hxtzMP1
   

4. Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова будет невозможно.

Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.

1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

   resource "yandex_iam_service_account_key" "sa-auth-key" {
    service_account_id = "<идентификатор_сервисного_аккаунта>"
    description        = "<описание_ключа>"
    key_algorithm      = "RSA_2048"
    pgp_key            = "keybase:keybaseusername"
    }
   

   Где:

   • service_account_id — идентификатор сервисного аккаунта. Обязательный параметр.
   • description — описание ключа. Необязательный параметр.
   • format — формат вывода ключа. Необязательный параметр. По умолчанию используется формат PEM_FILE.
   • key_algorithm — алгоритм генерации ключа, по умолчанию используется алгоритм RSA_2048. Необязательный параметр. Допустимые значения описаны в документации API.
   • pgp_key — дополнительный PGP-ключ для шифрования закрытого ключа. Необязательный параметр. Указывается публичная часть ключа в кодировке base64, либо в виде keybase:keybaseusername.

   Более подробную информацию о параметрах ресурса yandex_iam_service_account_key в Terraform, см. в документации провайдера.

2. Проверьте корректность конфигурационных файлов.

   1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

   2. Выполните проверку с помощью команды:

      terraform plan
      

   Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

3. Разверните облачные ресурсы.

   1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      

   2. Подтвердите создание статического ключа доступа: введите в терминал слово yes и нажмите Enter.

      Если при создании ключа возникли ошибки, Terraform на них укажет.
      При успешном создании ключа Terraform запишет его в свою конфигурацию, но не покажет пользователю. В терминал будет выведен только id созданного ключа.

      Проверить появление ключа у сервисного аккаунта можно в консоли управления или с помощью команды CLI:

      yc iam access-key list --service-account-name=<имя_сервисного_аккаунта>
      

Чтобы создать ключ доступа, воспользуйтесь методом create для ресурса AccessKey.