Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Политики авторизации

Статья создана
Обновлена 12 февраля 2026 г.

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

Политики авторизации (политики) — это механизм контроля доступа Yandex Identity and Access Management, который позволяет управлять разрешениями на выполнение определенных операций с ресурсами Yandex Cloud. Политики дополняют систему ролей и позволяют сделать управление доступом более гибким.

Взаимосвязь политик авторизации и ролей

Политики авторизации работают по принципу явного запрета (в отличие от ролей, которые работают по принципу явных разрешений). При этом политики и роли взаимосвязаны следующим образом:

  • Политики авторизации имеют приоритет над ролями. Если политика авторизации запрещает операцию, то эта операция будет заблокирована, даже если у пользователя есть роль, разрешающая эту операцию.

    Проверка прав доступа выполняется в следующей последовательности:

    1. Система проверяет наличие явного запрета на выполнение операции в политиках авторизации. Если запрет найден, то операция блокируется, а дальнейшие проверки не выполняются.
    2. Если запретов нет, то проверяется наличие роли, необходимой для выполнения операции. При наличии такой роли операция выполняется, в противном случае — отклоняется.

  • Политики авторизации не заменяют роли, а дополняют их. Независимо от заданных политик авторизации, для выполнения операций требуются соответствующие роли.

  • Управлять политиками авторизации может пользователь, которому назначена одна из следующих ролей:

Ресурсы, на которые назначается политика

Политики авторизации, назначенные на верхних уровнях иерархии ресурсов Yandex Cloud, наследуются нижестоящими уровнями.

Политики авторизации можно назначить на следующие ресурсы:

  • организация — политика применяется к ресурсам во всех облаках и каталогах в пределах организации;
  • облако — политика применяется к ресурсам во всех каталогах в пределах облака;
  • каталог — политика применяется только к ресурсам в определенном каталоге.

На один ресурс можно назначить одновременно несколько политик.

Поддерживаемые политики

В настоящее время сервис Identity and Access Management поддерживает следующие политики авторизации:

Идентификатор политики

Вводимые ограничения

iam.denyServiceAccountCreation

Запрещает создавать сервисные аккаунты.

iam.denyServiceAccountAccessKeysCreation

Запрещает создавать статические ключи доступа сервисных аккаунтов.

iam.denyServiceAccountApiKeysCreation

Запрещает создавать API-ключи сервисных аккаунтов.

iam.denyServiceAccountAuthorizedKeysCreation

Запрещает создавать авторизованные ключи сервисных аккаунтов.

iam.denyServiceAccountFederatedCredentialsCreation

Запрещает привязывать сервисные аккаунты к федерациям сервисных аккаунтов.

iam.denyServiceAccountCredentialsCreation

iam.denyServiceAccountImpersonation

Запрещает использовать имперсонацию.

organization.denyMemberInvitation

Запрещает отправлять новым пользователям с аккаунтом на Яндексе приглашения в организацию. Политика должна быть назначена на организацию.

organization.denyUserListing

Запрещает просматривать список пользователей организации. Политика должна быть назначена на организацию.

См. также

Предыдущая
Обзор
Следующая
Роли