Аккаунты в Yandex Cloud
В Yandex Cloud используются аккаунты на Яндексе, сервисные аккаунты и федеративные аккаунты.
Примечание
Платежный аккаунт не используется для управления ресурсами в Yandex Cloud и не относится к сервису IAM. Подробнее читайте в разделе Платежный аккаунт документации по сервису Yandex Cloud Billing.
Аккаунт на Яндексе
Аккаунт на Яндексе — ваш аккаунт на Яндексе или в Яндекс 360. Используйте этот тип аккаунта:
- Если для ваших программ не надо настраивать права доступа. Иначе используйте сервисный аккаунт.
- Если у вас небольшая команда и в вашей организации не настроена федерация удостоверений (например, Active Directory или Google Workspace). Иначе используйте федеративные аккаунты.
Чтобы усилить защиту ваших ресурсов от несанкционированного доступа:
- Включите для своего аккаунта на Яндексе двухфакторную аутентификацию.
- Попросите всех пользователей, которых вы добавляете в организацию, также включить двухфакторную аутентификацию.
- В настройках безопасности организации включите требование двухфакторной аутентификации. Это позволит предоставить доступ к ресурсам только для тех пользователей, у кого включена двухфакторная аутентификация.
Примеры использования
Федеративный аккаунт
Федеративный аккаунт — это аккаунт пользователя из федерации удостоверений, например из Active Directory.
С помощью федераций удостоверений компания может настроить Single Sign-On — аутентификацию в Yandex Cloud через свой сервер. Тогда сотрудники компании смогут использовать свои корпоративные аккаунты для работы в Yandex Cloud.
Используйте федеративные аккаунты, если нужно предоставить доступ в Yandex Cloud множеству сотрудников.
Подробнее читайте в разделе SAML-совместимые федерации удостоверений.
Примеры использования
Локальный пользователь
Локальные пользователи привязаны только к домену, их учетные данные хранятся только в Yandex Cloud в рамках пула пользователей. Локальные пользователи создаются в пуле пользователей, существуют в рамках одной организации и не могут создать новую.
Примечание
Пулы пользователей находится на стадии Preview.
Локальные пользователи аутентифицируются в Yandex Cloud с помощью Login Discovery, не используя внешних провайдеров аутентификации.
Сервисный аккаунт
Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Yandex Cloud.
Сервисные аккаунты позволяют гибко настроить права доступа к ресурсам и предотвратить операции, которые могут быть выполнены из-за слишком широкого набора прав. Используйте такой тип аккаунта для ваших приложений, CLI, Terraform и API Yandex Cloud. Подробнее читайте в разделе Сервисные аккаунты.