Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Политики авторизации

Статья создана
Обновлена 14 марта 2026 г.

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

Политики авторизации (политики) — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики дополняют систему ролей и позволяют сделать управление доступом более гибким.

Политики авторизации создаются для ресурсов на основе шаблонов политик авторизации.

Взаимосвязь политик авторизации и ролей

Политики авторизации работают по принципу явного запрета (в отличие от ролей, которые работают по принципу явных разрешений). При этом политики и роли взаимосвязаны следующим образом:

  • Чтобы операция могла быть выполнена, она должна быть одновременно разрешена ролью и не запрещена политикой авторизации. При этом проверка прав доступа выполняется в следующей последовательности:

    1. Система проверяет наличие роли, необходимой для выполнения операции. Если такая роль отсутствует, то операция блокируется, а дальнейшие проверки не выполняются.
    2. Если необходимая роль найдена, то проверяется наличие явного запрета на выполнение операции в политиках авторизации. Если запрет найден, то операция блокируется, в противном случае — выполняется.

  • Политики авторизации не заменяют роли, а дополняют их. Независимо от заданных политик авторизации, для выполнения операций требуются соответствующие роли.

  • Управлять политиками авторизации может пользователь, которому назначена одна из следующих ролей:

Ресурсы, для которых создаются политики авторизации

Политики авторизации можно создать для следующих ресурсов:

  • организация — политика применяется к ресурсам во всех облаках и каталогах в пределах организации;
  • облако — политика применяется к ресурсам во всех каталогах в пределах облака;
  • каталог — политика применяется только к ресурсам в определенном каталоге.

Политики авторизации, созданные на верхних уровнях иерархии ресурсов Yandex Cloud, наследуются нижестоящими уровнями.

Для одного ресурса можно создать одновременно несколько политик.

Шаблоны политик авторизации

Одни шаблоны политик авторизации при их назначении на ресурс требуют указания дополнительных параметров, другие — не требуют.

Шаблоны без дополнительных параметров

Следующие шаблоны политик авторизации не содержат дополнительных параметров и вводят безусловные ограничения на соответствующие действия:

iam.denyServiceAccountCreation

Политика запрещает создавать сервисные аккаунты.

iam.denyServiceAccountAccessKeysCreation

Политика запрещает создавать статические ключи доступа сервисных аккаунтов.

iam.denyServiceAccountApiKeysCreation

Политика запрещает создавать API-ключи сервисных аккаунтов.

iam.denyServiceAccountAuthorizedKeysCreation

Политика запрещает создавать авторизованные ключи сервисных аккаунтов.

iam.denyServiceAccountFederatedCredentialsCreation

Политика запрещает привязывать сервисные аккаунты к федерациям сервисных аккаунтов.

iam.denyServiceAccountCredentialsCreation

Политика запрещает:

iam.denyServiceAccountImpersonation

Политика запрещает использовать имперсонацию.

organization.denyMemberInvitation

Политика запрещает отправлять новым пользователям с аккаунтом на Яндексе приглашения в организацию. Политика может быть создана только для организации.

organization.denyUserListing

Политика запрещает просматривать список пользователей организации. Политика может быть создана только для организации.

Шаблоны с дополнительными параметрами

Следующие шаблоны политик авторизации позволяют изменять вводимые ограничения с помощью дополнительных параметров:

serverless.restrictPrivateNetworkInvocation

Примечание

Политика serverless.restrictPrivateNetworkInvocation работает только при настроенном сервисном подключении из Yandex Cloud Functions и Yandex Serverless Containers в Yandex Virtual Private Cloud.

Политика ограничивает возможность вызова функций и контейнеров с внутренних IP-адресов Yandex Virtual Private Cloud заданными явно облачными сетями или определенными IP-адресами в них.

К функции/контейнеру должна быть привязана облачная сеть из списка, заданного в параметрах политики.

Дополнительные параметры:

  • allowed_vpc_network_ids — список облачных сетей, в которых с любых внутренних IP-адресов разрешен вызов функций/контейнеров.

    Параметр allowed_vpc_network_ids имеет приоритет над другими параметрами: если для него задано ненулевое значение, то значения параметров src_ip_restricted_network_ids и allowed_src_ips будут игнорироваться политикой.

  • src_ip_restricted_network_ids — список облачных сетей, в которых вызов функций/контейнеров разрешен только с внутренних IP-адресов, заданных в параметре allowed_src_ips.

  • allowed_src_ips — список внутренних IP-адресов или диапазонов IP-адресов в нотации CIDR, которые относятся к сетям, заданным в параметре src_ip_restricted_network_ids, и с которых разрешен вызов функций и контейнеров.

См. также примеры назначения шаблона политики.

serverless.restrictPublicInvocation

Политика serverless.restrictPublicInvocation ограничивает возможность вызова функций и контейнеров с публичных IP-адресов.

Дополнительные параметры:

  • allowed_src_ip — список публичных IP-адресов или диапазонов IP-адресов в нотации CIDR, с которых разрешен вызов функций и контейнеров.

См. также пример назначения шаблона политики.

См. также

Предыдущая
Роли
Следующая
Системные группы