Связаться с намиПодключиться

Экспортировать SSH-сертификат

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Чтобы пользователь или (с помощью сервисного аккаунта) сторонний инструмент, такой как Terraform или Ansible, мог подключиться по протоколу SSH к виртуальным машинам или отдельным узлам в группе узлов Kubernetes с включенным доступом по OS Login, можно использовать SSH-сертификат пользователя организации или сервисного аккаунта. Для этого необходимо локально экспортировать SSH-сертификат и использовать его для доступа к ВМ или узлу Kubernetes с помощью стандартного SSH-клиента. Экспортированный сертификат действителен один час.

Чтобы экспортировать SSH-сертификат пользователя организации Cloud Organization или сервисного аккаунта на локальный компьютер:

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для экспорта SSH-сертификата в локальную директорию:

    yc compute ssh certificate export --help

  2. Получите идентификатор организации, в которой находится нужный профиль OS Login пользователя или сервисного аккаунта:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization1    | Organization 1          |
| bpf2c65rqcl8******** | sample-organization2    | Organization 2          |
| bpf6dne49ue8******** | sample-organization3    | Organization 3          |
+----------------------+-------------------------+-------------------------+

  3. Получите список логинов в профилях OS Login пользователей и сервисных аккаунтов нужной организации, указав ее идентификатор:

    yc organization-manager os-login profile list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------------------+-----------+----------------------+----------------------+------------+
|          ID          |        LOGIN         |    UID    |   ORGANIZATION ID    |      SUBJECT ID      | IS DEFAULT |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+
| aje1eb5qm7jb******** | yc-sa-my-service-acc | 487816044 | bpfaidqca8vd******** | ajevnu4u2q3m******** | true       |
| ajegs81t2k9s******** | user1                | 760684761 | bpfaidqca8vd******** | aje7b4u65nb6******** | true       |
| ajej57b2kf0t******** | user2                |      1011 | bpfaidqca8vd******** | ajei280a73vc******** | true       |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+

    Сохраните значение поля LOGIN для нужного пользователя или сервисного аккаунта — оно понадобится позднее.

    Примечание

    Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Cloud Organization.

  4. Экспортируйте сертификат:

    yc compute ssh certificate export \
    --login <логин_пользователя_или_сервисного_аккаунта> \
    --organization-id <идентификатор_организации> \
    --directory <путь_к_директории>

    Где:

    • --login — полученный ранее логин пользователя или сервисного аккаунта, заданный в профиле OS Login. Необязательный параметр. Если параметр не задан, SSH-сертификат будет выгружен для пользователя или сервисного аккаунта, авторизованного в текущий момент в профиле Yandex Cloud CLI.
    • --organization-id — полученный ранее идентификатор организации, из которой нужно экспортировать SSH-сертификат. Необязательный параметр. Если параметр не задан, сертификат будет выгружен из организации, к которой относится каталог по умолчанию.
    • --directory — путь к локальной директории, в которой будет сохранен экспортированный SSH-сертификат. Необязательный параметр. Если параметр не задан, сертификат будет по умолчанию сохранен в директории .ssh в домашней директории текущего пользователя компьютера (~/.ssh/).

    Результат:

    Identity: /home/user1/.ssh/yc-cloud-id-b1gia87mbaom********-<логин_в_профиле_OS_Login>
Certificate: /home/user1/.ssh/yc-cloud-id-b1gia87mbaom********-<логин_в_профиле_OS_Login>-cert.pub

    При сохранении экспортированного сертификата в директорию, отличную от директории по умолчанию, убедитесь что доступ к сохраненным файлам сертификата разрешен только текущему пользователю. При необходимости измените разрешения с помощью команды chmod в Linux и macOS или на вкладке Безопасность свойств файлов в Проводнике Windows.

С помощью экспортированного SSH-сертификата вы можете подключиться к виртуальной машине или узлу Kubernetes, для которых настроен доступ по OS Login.

См. также

Предыдущая
Настроить OS Login на существующей ВМ
Следующая
Подключиться к ВМ по OS Login