Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Identity and Access Management
  • Начало работы
    • Как управлять доступом к ресурсам
    • Как работать с сервисными аккаунтами
  • Пошаговые инструкции
    • Все инструкции
    • Пользователи
      • Добавление пользователя
      • Получение идентификатора или почты пользователя
      • Удаление пользователя
    • Сервисные аккаунты
      • Создание сервисного аккаунта
      • Изменение сервисного аккаунта
      • Назначение роли сервисному аккаунту
      • Настройка прав доступа к сервисному аккаунту
      • Создание статических ключей доступа
      • Получение идентификатора сервисного аккаунта
      • Удаление сервисного аккаунта
    • Федерации удостоверений
      • Аутентификация с помощью Active Directory
      • Аутентификация с помощью G-Suite
      • Аутентификация с помощью федерации удостоверений
      • Добавление пользователей
    • Роли
      • Назначение роли
      • Просмотр назначенных ролей
      • Отзыв роли
    • IAM-токены
      • Получение IAM-токена для аккаунта на Яндексе
      • Получение IAM-токена для сервисного аккаунта
      • Получение IAM-токена для федеративного аккаунта
    • Ключи
      • Создание API-ключа
      • Удаление API-ключа
      • Создание авторизованного ключа
  • Концепции
    • Обзор
    • Как устроено управление доступом
      • Обзор
      • Роли
      • Системные группы
      • Ресурсы, на которые можно назначать роли
    • Авторизация
      • Обзор
      • IAM-токен
      • OAuth-токен
      • API-ключ
      • Авторизованные ключи
      • AWS-совместимые ключи доступа
    • Сервисные аккаунты
    • SAML-совместимые федерации удостоверений
    • Квоты и лимиты
  • Безопасное использование Yandex.Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • ApiKeyService
      • IamTokenService
      • KeyService
      • RoleService
      • ServiceAccountService
      • UserAccountService
      • YandexPassportUserAccountService
      • AccessKeyService
      • CertificateService
      • FederationService
      • OperationService
    • REST
      • Обзор
      • ApiKey
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • IamToken
        • Обзор
        • create
      • Key
        • Обзор
        • create
        • delete
        • get
        • list
        • listOperations
        • update
      • Role
        • Обзор
        • get
        • list
      • ServiceAccount
        • Обзор
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • setAccessBindings
        • update
        • updateAccessBindings
      • UserAccount
        • Обзор
        • get
      • YandexPassportUserAccount
        • Обзор
        • getByLogin
      • Operation
        • Обзор
        • get
      • Federation
        • Обзор
        • update
        • list
        • listUserAccounts
        • get
        • delete
        • addUserAccounts
        • create
        • listOperations
      • Certificate
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
      • AccessKey
        • Обзор
        • update
        • list
        • get
        • delete
        • create
        • listOperations
  • Вопросы и ответы
    • Общие вопросы
    • Вход в систему и доступ к ресурсам
    • Все вопросы на одной странице
  1. Начало работы
  2. Как работать с сервисными аккаунтами

Как начать работать c сервисными аккаунтами

  • Перед началом
  • Создайте сервисный аккаунт
  • Настройте CLI для работы от имени сервисного аккаунта
  • Удалите сервисный аккаунт
  • Что дальше

Сервис IAM позволяет вам создавать сервисные аккаунты — дополнительные аккаунты, с помощью которых программы могут выполнять операции в Yandex.Cloud. Сервисные аккаунты бесплатны и позволяют гибко управлять доступами ваших программ. Подробнее в разделе Сервисные аккаунты.

Эта инструкция для владельцев облака и пользователей с ролью администратора на облако или каталог. Пользователи с ролью editor тоже могут создавать сервисные аккаунты, но не могут назначать роли, поэтому не смогут разрешить сервисному аккаунту выполнение операций в Yandex.Cloud.

Вы научитесь:

  • Создавать сервисные аккаунты и назначать им роли.
  • Выполнять операции в CLI.
  • Удалять сервисные аккаунты.

Перед началом

  1. Если вы еще не зарегистрированы в Yandex.Cloud, перейдите в консоль управления.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Создайте сервисный аккаунт

Чтобы создать сервисный аккаунт и назначить ему роли:

  1. Войдите в консоль управления.

  2. Нажмите на строку с именем каталога, в котором вы хотите создать сервисный аккаунт.

  3. Выберите вкладку Сервисные аккаунты.

  4. Нажмите кнопку Создать сервисный аккаунт.

  5. Введите имя сервисного аккаунта.

  6. Чтобы назначить сервисному аккаунту роль на текущий каталог, нажмите Добавить роль и выберите роль, например editor.

    Чтобы назначить роль на другой ресурс, воспользуйтесь CLI или API по инструкции Назначение роли сервисному аккаунту.

  7. Нажмите кнопку Создать.

Настройте CLI для работы от имени сервисного аккаунта

От имени сервисного аккаунта вы можете выполнять операции через API, CLI и другие инструменты, которые поддерживают аутентификацию с сервисным аккаунтом. В консоль управления войти с помощью сервисного аккаунта нельзя.

Настройте CLI для работы от имени сервисного аккаунта:

  1. Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

  2. Создайте авторизованный ключ для вашего сервисного аккаунта и запишите его файл:

    yc iam key create --service-account-name my-robot --output key.json
    

    Если вы получили ошибку ERROR: service account with name "my-robot" not found, значит в каталоге по умолчанию нет сервисного аккаунта с таким именем. Если имя правильное, то выполните одну из команд:

    • Укажите каталог с сервисным аккаунтом с помощью параметра --folder-name или --folder-id:
      yc iam key create --folder-name my-folder --service-account-name my-robot --output key.json
      
    • Укажите сервисный аккаунт по идентификатору с помощью параметра --service-account-id:
      yc iam key create --service-account-id b1gnbfd11bq5g5vnjgr4 --output key.json
      
  3. Создайте профиль, который будет использоваться для выполнения операций от имени сервисного аккаунта:

    yc config profile create my-robot-profile
    
  4. Укажите в конфигурации профиля авторизованный ключ сервисного аккаунта:

    yc config set service-account-key key.json
    

Теперь вы можете выполнять операции от имени сервисного аккаунта, например посмотреть список каталогов, доступных этому аккаунту:

yc resource-manager folder list

Удалите сервисный аккаунт

Если сервисный аккаунт больше не нужен, удалите его:

  1. Перейдите в каталог, которому принадлежит сервисный аккаунт.
  2. Выберите вкладку Сервисные аккаунты.
  3. Нажмите значок напротив сервисного аккаунта и выберите Удалить сервисный аккаунт.
  4. Подтвердите удаление.

Что дальше

  • Пошаговые инструкции помогут вам решить конкретные задачи, возникающие при использовании Identity and Access Management.
  • Подробнее про сервисные аккаунты написано в концепциях.
  • Посмотрите рекомендации по безопасному использованию сервисных аккаунтов.
В этой статье:
  • Перед началом
  • Создайте сервисный аккаунт
  • Настройте CLI для работы от имени сервисного аккаунта
  • Удалите сервисный аккаунт
  • Что дальше
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»