API-ключ
API-ключ — секретный ключ, используемый только для упрощенной авторизации сервисных аккаунтов в API Yandex Cloud.
Используйте API-ключи, если у вас нет возможности автоматически запрашивать IAM-токен.
Внимание
Если кто-то мог узнать ваш секретный ключ, удалите его и создайте новый.
Пользователь самостоятельно хранит API-ключ. Yandex Cloud предоставляет доступ к API-ключу только в процессе его создания. Если ключ утрачен или поврежден, восстановить его нельзя. В этом случае вы можете перевыпустить ключ или создать новый.
Чтобы обеспечивать безопасность и контроль над доступом к ресурсам, отслеживать случаи несанкционированного использования ключей, а также удалять неиспользуемые ключи без риска нарушить работу сервисов Yandex Cloud, вы можете отслеживать даты последнего использования ключей доступа сервисных аккаунтов. Информация доступна на странице сервисного аккаунта в консоли управления, а также в поле last_used_at при вызове методов управления ключами доступа через API.
API-ключи с ограничениями области и срока действия
Вы можете создавать API-ключи с ограниченным сроком и областью действия.
Область действия — совокупность разрешенных сервисному аккаунту действий с ресурсами сервиса. В сервисе может быть больше одной области действия. API-ключ с заданной областью действия нельзя использовать в других сервисах или областях действия.
Область действия ограничивает применение API-ключей в дополнение к собственным правам доступа пользователя. Настройка ограничений области и срока действия позволит снизить риск несанкционированного использования ключей.
Внимание
Если не выбрать область применения, то API-ключ позволит аутентифицироваться во всех сервисах, кроме тех, которые поддерживают ограничение области действия. В будущем все сервисы, поддерживающие аутентификацию по API-ключам, будут иметь собственные области действия.
Доступные области действия:
yc.postbox.send— для отправки писем через API Yandex Cloud Postbox.yc.ydb.tables.manage— для работы с YDB в режиме совместимости с PostgreSQL.yc.ydb.topics.manage— для работы с Kafka API в Yandex Data Streams.
Использование API-ключа
Полученный API-ключ указывайте при обращении к ресурсам Yandex Cloud через API. Передавайте API-ключ в заголовке Authorization в следующем формате:
Authorization: Api-Key <API-ключ>
Сервисы, поддерживающие этот способ аутентификации
API-ключи в качестве способа аутентификации поддерживаются в следующих сервисах:
- Yandex Cloud Functions
- Yandex DataSphere
- Yandex Monitoring
- Yandex Cloud Postbox
- Yandex Search API
- Yandex Serverless Containers
- Yandex SpeechKit
- Yandex SpeechSense
- Yandex Translate
- Yandex Vision OCR
- Yandex Data Streams — Kafka API
- Yandex Managed Service for YDB — только в режиме совместимости с PostgreSQL. Для других режимов работы используйте соответствующий способ аутентификации.
- Yandex MetaData Hub — в рамках Yandex Schema Registry.