Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Доступ к бакету с помощью эфемерного ключа доступа

Статья создана
Улучшена
Обновлена 26 мая 2026 г.

Эфемерные ключи доступа — это временные ключи с ограниченным сроком действия, которые предоставляют безопасный способ доступа к ресурсам Yandex Object Storage без необходимости хранить статические ключи. В этом руководстве вы научитесь создавать эфемерные ключи с помощью скрипта и использовать их для создания бакетов и загрузки объектов с помощью AWS CLI.

Чтобы загрузить объекты в бакет Object Storage с помощью эфемерного ключа доступа:

  1. Подготовьте облако к работе.
  2. Создайте сервисный аккаунт.
  3. Подготовьте скрипт для создания эфемерного ключа доступа.
  4. Настройте AWS CLI.
  5. Создайте бакет.
  6. Загрузите объект в бакет.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры входит:

Настройте окружение

Создайте сервисный аккаунт

Создайте сервисный аккаунт, от имени которого вы будете создавать бакет и загружать объекты. Назначьте ему роль storage.editor на каталог.

  1. Откройте консоль управления.
  2. Перейдите в сервис Identity and Access Management.
  3. Нажмите Создать сервисный аккаунт.
  4. В поле Имя укажите ephemeral-sa.
  5. Нажмите Добавить роль и выберите роль storage.editor.
  6. Нажмите Создать.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Создайте сервисный аккаунт:

    yc iam service-account create \
  --name ephemeral-sa

    Результат:

    id: ajeab0cnib1p********
folder_id: b0g12ga82bcv********
created_at: "2025-10-03T09:44:35.989446Z"
name: ephemeral-sa

  2. Назначьте сервисному аккаунту роль storage.editor на каталог:

    yc resource-manager folder add-access-binding <имя_каталога> \
  --service-account-name ephemeral-sa \
  --role storage.editor

    Результат:

    effective_deltas:
  - action: ADD
    access_binding:
      role_id: storage.editor
      subject:
        id: ajeab0cnib1p********
        type: serviceAccount
  1. Создайте сервисный аккаунт ephemeral-sa. Для этого воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create.
  2. Назначьте сервисному аккаунту в текущем каталоге роль storage.editor. Для этого воспользуйтесь методом REST API setAccessBindings для ресурса Folder или вызовом gRPC API FolderService/SetAccessBindings.

Чтобы управлять доступом к бакету, у сервисного аккаунта должна быть роль storage.admin.

Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:

  • kms.keys.encrypter — для чтения ключа, шифрования и загрузки объектов;
  • kms.keys.decrypter — для чтения ключа, расшифровки и скачивания объектов;
  • kms.keys.encrypterDecrypter — включает разрешения, предоставляемые ролями kms.keys.encrypter и kms.keys.decrypter.

Подробнее см. Сервисные роли Key Management Service.

Подготовьте скрипт для создания эфемерного ключа доступа

Скрипт позволяет избежать необходимости обновлять эфемерный ключ в профиле AWS CLI после истечения срока действия ключа. Как управлять эфемерными ключами вручную — см. в документе Управление эфемерными ключами доступа.

Чтобы создать эфемерный ключ доступа, пользователю необходима роль iam.serviceAccounts.ephemeralAccessKeyAdmin или выше на каталог.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Получите идентификатор сервисного аккаунта ephemeral-sa:

    yc iam service-account get --name ephemeral-sa --format json | jq -r .id

  2. Создайте файл, например issue-ephemeral-script.sh, и вставьте в него код:

    #!/bin/sh
yc iam access-key issue-ephemeral \
  --subject-id <идентификатор_сервисного_аккаунта> \
  --session-name ephemeral-sa-1 \
  --jq '{Version: 1, AccessKeyId: .access_key_id, SecretAccessKey: .secret, SessionToken: .session_token, ExpiresAt: .expires_at}'

    Где:

    • --subject-id — идентификатор сервисного аккаунта ephemeral-sa.
    • --session-name — имя сессии длиной от 1 до 64 символов. Необходимо для идентификации сессии в случае, если сервисный аккаунт имперсонирован для нескольких пользователей.
    • --jq — jq-шаблон форматирования вывода. Позволяет преобразовать результат в требуемую AWS CLI структуру.

  3. Сделайте файл исполняемым:

    sudo chmod +x issue-ephemeral-script.sh

Настройте AWS CLI

Настройте AWS CLI для работы с эфемерным ключом доступа.

  1. Добавьте новый профиль ephemeral-profile в ~/.aws/credentials:

    [ephemeral-profile]
region = kz1
endpoint_url = https://storage.yandexcloud.kz
credential_process = <путь_к_файлу>

    В параметре credential_process укажите абсолютный путь к файлу, созданному при подготовке скрипта, например /home/yc-user/issue-ephemeral-script.sh.

  2. Проверьте конфигурацию профиля:

    aws s3 ls --profile ephemeral-profile

    Если конфигурация выполнена правильно, команда выполнится без ошибок.

Создайте бакет

Создайте бакет для хранения объектов.

Выполните команду, указав имя бакета:

aws s3 mb s3://<имя_бакета> \
  --profile ephemeral-profile

Результат:

make_bucket: my-bucket

Подробности см. в документе Создание бакета.

Загрузите объект в бакет

Загрузите объект в созданный бакет.

  1. Создайте тестовый файл:

    echo "Hello, Yandex Cloud!" > test-file.txt

  2. Выполните команду для загрузки файла, указав путь к локальному файлу, имя вашего бакета и ключ, по которому объект будет храниться в бакете:

    aws s3 cp test-file.txt \
  s3://<имя_бакета>/test-file.txt \
  --profile ephemeral-profile

    Результат:

    upload: ./test-file.txt to s3://my-bucket/test-file.txt

  3. Проверьте, что объект успешно загружен:

    aws s3 ls s3://<имя_бакета>/ \
  --profile ephemeral-profile

    Результат:

    2025-10-03 09:45:12         23 test-file.txt

Подробности см. в документе Загрузка объекта.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

См. также

Предыдущая
Доступ в бакет с помощью Security Token Service
Следующая
Доступ в бакет с помощью сервисного подключения из VPC