Подключить сервисный аккаунт к ВМ
Для автоматизации работы с Yandex Cloud изнутри ВМ рекомендуется использовать сервисные аккаунты. Это безопаснее — вам не надо сохранять свой OAuth-токен на ВМ и вы можете ограничить права доступа для сервисного аккаунта.
Если у вас еще нет сервисного аккаунта, создайте его и настройте права доступа для него.
Примечание
К виртуальной машине можно привязать только один сервисный аккаунт.
Чтобы привязать сервисный аккаунт к ВМ, необходимо иметь разрешение на использование этого аккаунта. Это разрешение входит в роли iam.serviceAccounts.user, editor и выше.
К существующей ВМ
- В консоли управления выберите каталог, которому принадлежит ВМ.
- В списке сервисов выберите Compute Cloud.
- Нажмите на имя нужной ВМ.
- В правом верхнем углу страницы нажмите Изменить ВМ.
- В блоке Дополнительно выберите один из существующих сервисных аккаунтов или создайте новый.
- Нажмите Сохранить изменения.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
Обновите параметры ВМ, указав сервисный аккаунт с помощью опции --service-account-name или --service-account-id:
yc compute instance update my-instance --service-account-name test
Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Откройте конфигурационный файл Terraform, в котором описана ВМ, к которой вы хотите подключить сервисный аккаунт. См. пример конфигурационного файла ВМ.
-
В блок с описанием ресурса
yandex_compute_instanceдобавьте параметрservice_account_idи укажите идентификатор сервисного аккаунта:resource "yandex_compute_instance" "vm-1" { ... service_account_id = "<идентификатор_сервисного_аккаунта>" ... } -
Примените изменения:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
Terraform изменит все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления.
-
Более подробную информацию о параметрах ресурса yandex_compute_instance см. в документации провайдера.
Воспользуйтесь методом REST API update для ресурса Instance или вызовом gRPC API InstanceService/Update. В запросе укажите идентификатор сервисного аккаунта.
К создаваемой ВМ
В консоли управления вы можете привязать к виртуальной машине сервисный аккаунт, расположенный в том же каталоге, в котором создается ВМ. Если сервисный аккаунт расположен в другом каталоге, воспользуйтесь CLI или API.
Чтобы привязать сервисный аккаунт к ВМ, выберите его в блоке Дополнительно в поле Сервисный аккаунт при создании ВМ. Вы можете выбрать один из существующих сервисных аккаунтов или создать новый.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
Создайте ВМ, указав сервисный аккаунт с помощью опции --service-account-name или --service-account-id:
yc compute instance create \
--name my-instance \
--network-interface subnet-name=default,nat-ip-version=ipv4 \
--ssh-key ~/.ssh/id_ed25519.pub \
--service-account-name my-robot
-
Откройте конфигурационный файл Terraform, в котором описана ВМ, к которой вы хотите подключить сервисный аккаунт. См. пример конфигурационного файла ВМ.
-
В блок с описанием ресурса
yandex_compute_instanceдобавьте параметрservice_account_idи укажите идентификатор сервисного аккаунта:resource "yandex_compute_instance" "vm-1" { ... service_account_id = "<идентификатор_сервисного_аккаунта>" ... } -
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов можно в консоли управления.
-
Более подробную информацию о параметрах ресурса yandex_compute_instance см. в документации провайдера.
Воспользуйтесь методом REST API create для ресурса Instance или вызовом gRPC API InstanceService/Create. В запросе укажите идентификатор сервисного аккаунта.