Как выбрать подходящий способ аутентификации в Yandex Cloud
Пользователи и сервисные аккаунты получают разрешения на выполнение действий с ресурсами Yandex Cloud вместе с ролями на эти ресурсы. Сервис Identity and Access Management проверяет наличие необходимых разрешений, когда пользователь или сервисный аккаунт выполняет операцию с ресурсом Yandex Cloud.
Подробнее о назначении ролей и проверке списка разрешений читайте в разделе Как устроено управление доступом в Yandex Cloud.
Для аутентификации используйте подходящий тип учетных данных:
-
IAM-токен — рекомендуемый и наиболее безопасный тип. Подходит для большинства операций, например для создания виртуальной машины. Не работает для сервисов с AWS-совместимым API.
Для федеративных пользователей можно настроить автоматический перевыпуск IAM-токенов с помощью refresh-токенов. Это позволит федеративным пользователям организации использовать Yandex Cloud CLI без необходимости повторно аутентифицироваться в браузере по истечении срока жизни IAM-токена.
-
API-ключ — применяется для сервисов, которые не поддерживают аутентификацию с помощью IAM-токенов. API-ключ можно ограничить по сроку и области действия.
-
Статический ключ доступа — подходит для аутентификации в сервисах с AWS-совместимым API, например в Yandex Object Storage и Yandex Managed Service for YDB. На основе статического ключа можно создать временный ключ доступа к бакетам Object Storage.
-
Авторизованный ключ — применяется в сценариях, где нужно контролировать все этапы получения IAM-токена. Это может потребоваться при получении IAM-токена для сервисного аккаунта. Авторизованный ключ используется непосредственно для аутентификации только приложениями из Yandex Cloud Marketplace.
-
OAuth-токен — используется для получения IAM-токена от имени пользователя с аккаунтом на Яндексе.
-
ID-токен — используется для аутентификации сервисного аккаунта Yandex Cloud в сторонних системах с поддержкой OIDC. Не подходит для аутентификации внутри Yandex Cloud.
-
Cookie — используется только для служебных целей.