Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Identity and Access Management
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Не давайте лишних прав доступа
  • Защитите свой аккаунт на Яндексе
  • Используйте сервисные аккаунты

Безопасное использование Yandex Cloud

Статья создана
Yandex Cloud
Обновлена 15 января 2025 г.
  • Не давайте лишних прав доступа
  • Защитите свой аккаунт на Яндексе
  • Используйте сервисные аккаунты

В разделе представлены рекомендации по использованию возможностей сервиса IAM для обеспечения безопасной работы с сервисами Yandex Cloud.

Не давайте лишних прав доступаНе давайте лишних прав доступа

Для критически важных ресурсов:

  • Назначайте минимально необходимые для работы роли. Например, чтобы в Compute Cloud разрешить использовать образы для создания виртуальных машин, назначьте роль compute.images.user, а не editor или выше.

  • Старайтесь назначать сервисные роли вместо примитивных (viewer, editor, admin). Примитивные роли действуют для ресурсов любого из сервисов Yandex Cloud.

    Используйте примитивные роли, если нет подходящей сервисной роли или вы хотите дать пользователю широкие полномочия.

  • Назначайте только роли, которые необходимы сейчас. Не назначайте роли, которые могут потребоваться только в будущем.

  • Помните, что когда вы назначаете роль на каталог, облако или организацию, разрешения этой роли унаследуют все вложенные ресурсы.

  • Назначайте роли администратора и владельца облака только тем, кто должен управлять доступом к ресурсам в вашем проекте.

    Администратор может лишить прав доступа другого администратора, а владелец — отозвать у другого владельца его роль. Еще эти роли включают все разрешения роли editor — они позволяют создавать, изменять и удалять ресурсы.

Защитите свой аккаунт на ЯндексеЗащитите свой аккаунт на Яндексе

  • Чтобы усилить защиту ваших ресурсов от несанкционированного доступа, включите для своего аккаунта Яндекс ID двухфакторную аутентификацию. Также попросите включить ее тех пользователей, которых вы добавляете в организацию.

  • Держите в секрете ваш OAuth-токен, с его помощью можно получить IAM-токен и выполнять любые операции в облаке от вашего имени.

    Если кто-то мог узнать ваш OAuth-токен, отзовите его и выпустите новый.

  • Старайтесь не использовать OAuth-токен для аутентификации, если можно использовать IAM-токен. OAuth-токен действует 1 год, а IAM-токен — 12 часов. Если ваш токен будет скомпрометирован, у злоумышленника будет ограниченное время, чтобы воспользоваться им.

Используйте сервисные аккаунтыИспользуйте сервисные аккаунты

Используйте сервисные аккаунты для автоматизации работы с Yandex Cloud и следуйте этим рекомендациям:

  • Контролируйте доступ к вашим сервисным аккаунтам. Роль editor на сервисный аккаунт позволит пользователю выполнять операции, разрешенные этому сервисному аккаунту. Если сервисный аккаунт — администратор в облаке, то пользователь сможет сделать себя администратором с его помощью.

  • Создавайте отдельные сервисные аккаунты для выполнения разных задач. Так вы сможете назначить им только те роли, которые необходимы. В любой момент вы сможете отозвать роли у сервисного аккаунта или удалить его, не затронув другие аккаунты.

  • Давайте сервисным аккаунтам имена, которые позволят понять, для чего аккаунт используется и какие разрешения он должен иметь.

  • Держите в секрете ключи сервисного аккаунта — с их помощью можно выполнять операции от имени сервисного аккаунта. Не храните ключи сервисного аккаунта в исходном коде.

    Периодически отзывайте старые ключи и выпускайте новые. Особенно если кто-то мог узнать ваш секретный ключ.

  • Не используйте ключи для аутентификации, если можно использовать IAM-токен. Срок жизни ключей неограничен, а IAM-токен действует 12 часов.

  • Если вы выполняете операции изнутри виртуальной машины, привяжите к ней сервисный аккаунт. Тогда для аутентификации не нужно хранить ключи сервисного аккаунта на виртуальной машине — IAM-токен будет доступен по ссылке на сервис метаданных.

Была ли статья полезна?

Предыдущая
Квоты и лимиты
Следующая
Управление доступом
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»