Обзор Yandex Identity and Access Management
Сервис IAM контролирует доступ к ресурсам и предоставляет функциональность для настройки прав доступа. Вы определяете, кто и какие права имеет на ресурс, а IAM предоставляет доступ в соответствии с назначенными правами.
С помощью IAM вы сможете:
- предоставить доступ к ресурсам;
- управлять аккаунтами в Yandex Cloud;
- управлять ключами для аутентификации;
- авторизоваться в Yandex Cloud.
Доступ к ресурсам
Чтобы предоставить пользователю доступ к ресурсу, вы назначаете ему роли на ресурс. Каждая роль состоит из набора разрешений, описывающих допустимые операции с ресурсом.
Перед тем как выполнить операцию с ресурсом, например создать виртуальную машину, Yandex Cloud отправляет в IAM запрос на проверку, разрешена ли эта операция. IAM сравнивает список необходимых разрешений со списком разрешений пользователя, выполняющего операцию. Если какого-то из разрешений у пользователя нет, операция не будет выполнена и Yandex Cloud вернет ошибку. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Аккаунты в Yandex Cloud
Для идентификации пользователей, выполняющих операции с ресурсами, используются различные типы аккаунтов. Подробнее читайте в разделе Аккаунты в Yandex Cloud.
Ключи для аутентификации
Для аутентификации в Yandex Cloud используются следующие типы ключей:
- API-ключи — для упрощенной авторизации вместо IAM-токена;
- Авторизованные ключи — для получения IAM-токена для сервисного аккаунта;
- Статические ключи доступа — для авторизации в сервисах с AWS-совместимым API.
Сейчас все эти ключи используются только для сервисных аккаунтов.
Авторизация
Чтобы IAM смог авторизовать пользователя (проверить, обладает ли пользователь необходимыми правами), пользователь должен аутентифицироваться. Аутентификация происходит по-разному в зависимости от типа аккаунта и используемого интерфейса. Подробнее читайте в разделе Как выбрать подходящий способ аутентификации в Yandex Cloud.