Загрузка объектов в бакет Yandex Object Storage с помощью эфемерного ключа доступа
Эфемерные ключи доступа — это временные ключи с ограниченным сроком действия, которые предоставляют безопасный способ доступа к ресурсам Yandex Object Storage без необходимости хранить статические ключи. В этом руководстве вы научитесь создавать эфемерные ключи с помощью скрипта и использовать их для создания бакетов и загрузки объектов с помощью AWS CLI.
Чтобы загрузить объекты в бакет Object Storage с помощью эфемерного ключа доступа:
- Подготовьте облако к работе.
- Создайте сервисный аккаунт.
- Подготовьте скрипт для создания эфемерного ключа доступа.
- Настройте AWS CLI.
- Создайте бакет.
- Загрузите объект в бакет.
Если созданные ресурсы вам больше не нужны, удалите их.
Подготовьте облако к работе
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
- На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки инфраструктуры входит:
- плата за хранение данных в бакете (см. тарифы Object Storage);
- плата за операции с данными (см. тарифы Object Storage).
Настройте окружение
-
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
- Установите и настройте интерфейс командной строки AWS CLI.
- Скачайте и установите утилиту jq.
Создайте сервисный аккаунт
Создайте сервисный аккаунт, от имени которого вы будете создавать бакет и загружать объекты. Назначьте ему роль storage.editor на каталог.
- Откройте консоль управления.
- Перейдите в сервис Identity and Access Management.
- Нажмите Создать сервисный аккаунт.
- В поле Имя укажите
ephemeral-sa. - Нажмите Добавить роль и выберите роль
storage.editor. - Нажмите Создать.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.
-
Создайте сервисный аккаунт:
yc iam service-account create \ --name ephemeral-saРезультат:
id: ajeab0cnib1p******** folder_id: b0g12ga82bcv******** created_at: "2025-10-03T09:44:35.989446Z" name: ephemeral-sa -
Назначьте сервисному аккаунту роль
storage.editorна каталог:yc resource-manager folder add-access-binding <имя_каталога> \ --service-account-name ephemeral-sa \ --role storage.editorРезультат:
effective_deltas: - action: ADD access_binding: role_id: storage.editor subject: id: ajeab0cnib1p******** type: serviceAccount
- Создайте сервисный аккаунт
ephemeral-sa. Для этого воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create. - Назначьте сервисному аккаунту в текущем каталоге роль
storage.editor. Для этого воспользуйтесь методом REST API setAccessBindings для ресурса Folder или вызовом gRPC API FolderService/SetAccessBindings.
Чтобы управлять доступом к бакету, у сервисного аккаунта должна быть роль storage.admin.
Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:
kms.keys.encrypter— для чтения ключа, шифрования и загрузки объектов;kms.keys.decrypter— для чтения ключа, расшифровки и скачивания объектов;kms.keys.encrypterDecrypter— включает разрешения, предоставляемые ролямиkms.keys.encrypterиkms.keys.decrypter.
Подробнее см. Сервисные роли Key Management Service.
Подготовьте скрипт для создания эфемерного ключа доступа
Скрипт позволяет избежать необходимости обновлять эфемерный ключ в профиле AWS CLI после истечения срока действия ключа. Как управлять эфемерными ключами вручную — см. в документе Управление эфемерными ключами доступа.
Чтобы создать эфемерный ключ доступа, пользователю необходима роль iam.serviceAccounts.ephemeralAccessKeyAdmin или выше на каталог.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.
-
Получите идентификатор сервисного аккаунта
ephemeral-sa:yc iam service-account get --name ephemeral-sa --format json | jq -r .id -
Создайте файл, например
issue-ephemeral-script.sh, и вставьте в него код:#!/bin/sh yc iam access-key issue-ephemeral \ --subject-id <идентификатор_сервисного_аккаунта> \ --session-name ephemeral-sa-1 \ --jq '{Version: 1, AccessKeyId: .access_key_id, SecretAccessKey: .secret, SessionToken: .session_token, ExpiresAt: .expires_at}'Где:
--subject-id— идентификатор сервисного аккаунтаephemeral-sa.--session-name— имя сессии длиной от 1 до 64 символов. Необходимо для идентификации сессии в случае, если сервисный аккаунт имперсонирован для нескольких пользователей.--jq— jq-шаблон форматирования вывода. Позволяет преобразовать результат в требуемую AWS CLI структуру.
-
Сделайте файл исполняемым:
sudo chmod +x issue-ephemeral-script.sh
Настройте AWS CLI
Настройте AWS CLI для работы с эфемерным ключом доступа.
-
Добавьте новый профиль
ephemeral-profileв~/.aws/credentials:[ephemeral-profile] region = kz1 endpoint_url = https://storage.yandexcloud.kz credential_process = <путь_к_файлу>В параметре
credential_processукажите абсолютный путь к файлу, созданному при подготовке скрипта, например/home/yc-user/issue-ephemeral-script.sh. -
Проверьте конфигурацию профиля:
aws s3 ls --profile ephemeral-profileЕсли конфигурация выполнена правильно, команда выполнится без ошибок.
Создайте бакет
Создайте бакет для хранения объектов.
Выполните команду, указав имя бакета:
aws s3 mb s3://<имя_бакета> \
--profile ephemeral-profile
Результат:
make_bucket: my-bucket
Подробности см. в документе Создание бакета.
Загрузите объект в бакет
Загрузите объект в созданный бакет.
-
Создайте тестовый файл:
echo "Hello, Yandex Cloud!" > test-file.txt -
Выполните команду для загрузки файла, указав путь к локальному файлу, имя вашего бакета и ключ, по которому объект будет храниться в бакете:
aws s3 cp test-file.txt \ s3://<имя_бакета>/test-file.txt \ --profile ephemeral-profileРезультат:
upload: ./test-file.txt to s3://my-bucket/test-file.txt -
Проверьте, что объект успешно загружен:
aws s3 ls s3://<имя_бакета>/ \ --profile ephemeral-profileРезультат:
2025-10-03 09:45:12 23 test-file.txt
Подробности см. в документе Загрузка объекта.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы:
- удалите объекты из бакета;
- удалите бакет.