Связаться с намиПодключиться

Аутентификация в YTsaurus

Статья создана
Обновлена 22 сентября 2025 г.

Примечание

Сервис находится на стадии Preview.

Доступ к ресурсам сервиса Managed Service for YTsaurus возможен:

Доступ к ресурсам Managed Service for YTsaurus контролируется сервисом Yandex Identity and Access Management, подробнее см. в разделе Управление доступом.

Аутентификация пользователей в YTsaurus

Для доступа в веб-интерфейс YTsaurus пользователь должен иметь роль не ниже managed-ytsaurus.user на каталог с кластером Managed Service for YTsaurus.

При первой успешной аутентификации автоматически создается новый пользователь YTsaurus с именем, совпадающим с идентификатором пользователя в Yandex Cloud. Изменить имя пользователя YTsaurus нельзя. Создать нового пользователя YTsaurus средствами самого сервиса невозможно.

Группы пользователей YTsaurus

В YTsaurus есть две группы пользователей: users и managers.

В группу users автоматически добавляются все пользователи после первой авторизации в веб-интерфейсе YTsaurus.

В группу managers автоматически добавляются пользователи из группы users, имеющие роль не ниже managed-ytsaurus.editor. Обновление списка пользователей в группе может занимать до 15 минут.

Редактировать группы пользователей YTsaurus средствами самого сервиса невозможно.

Аутентификация сервисных аккаунтов в Managed Service for YTsaurus

Для доступа к YTsaurus сервисный аккаунт должен иметь роль не ниже managed-ytsaurus.user на каталог с кластером Managed Service for YTsaurus.

Сервисные аккаунты могут использовать для доступа к YTsaurus:

  • IAM-токен — подходит для выполнения краткосрочных операций; время жизни IAM-токена составляет 12 часов.
  • API-ключ — подходит для выполнения длительных операций, если автоматически запрашивать новый IAM-токен невозможно.

При первой успешной аутентификации сервисного аккаунта автоматически создается новый пользователь YTsaurus с именем, совпадающим с идентификатором сервисного аккаунта. Изменить имя пользователя YTsaurus невозможно.

Особенности использования API-ключей в Managed Service for YTsaurus

API-ключ нужно передавать вместо IAM-токена.

При создании API-ключа укажите область действия yc.managed-ytsaurus.cluster.use.

Пример команды создания API-ключа для доступа к YTsaurus:

yc iam api-key create \
   --service-account-name <имя_сервисного_аккаунта> \
   --scopes yc.managed-ytsaurus.cluster.use \
   --expires-at <дата_и_время> \
   > api_key.yaml
Предыдущая
Удаление кластера
Следующая
Квоты и лимиты