Эфемерные ключи доступа, совместимые с AWS API
Эфемерные ключи доступа — это временные учетные данные для аутентификации аккаунтов на Яндексе, федеративных аккаунтов, локальных пользователей и сервисных аккаунтов.
Эфемерные ключи доступа в качестве способа аутентификации поддерживаются только в сервисе Yandex Object Storage.
Вы можете создать эфемерный ключ для текущего пользователя или для сервисного аккаунта, к которому у вас есть доступ.
Эфемерные ключи выпускаются на основании IAM-токена текущей сессии. Время жизни ключа — от 15 минут до 12 часов. Если время жизни не указано при создании, то оно ограничено сроком действия IAM-токена.
Важно
Отозвать эфемерный ключ нельзя. Он автоматически перестает действовать по истечении времени жизни.
Права доступа для ключа задаются с помощью политики доступа, описанной в формате JSON по специальной схеме.
Совет
Если сервисному аккаунту назначены роли в Object Storage на каталог, то пользователи с временными ключами получат доступ к просмотру бакетов в этом каталоге. Рекомендуем назначать сервисному аккаунту роли на конкретные бакеты, а не на каталог.
Формат эфемерного ключа
Эфемерные ключи состоят из трех частей:
- Идентификатор ключа.
- Секретный ключ.
- Токен сессии.
Все три части используются в запросах к AWS-совместимому API. Идентификатор ключа указывается в открытом виде. Секретным ключом подписывают параметры запроса. Токен сессии также передается в запросе для подтверждения временных учетных данных.
Идентификатор ключа
Состоит из 20 символов. Символами могут быть:
- буквы латинского алфавита;
- цифры.
Пример идентификатора ключа: abcdefg1234h********.
Секретный ключ
Состоит из 43 символов и всегда начинается с букв YC. Остальными символами могут быть:
- буквы латинского алфавита;
- цифры;
- символы
_и-.
Пример секретного ключа: YCabcdefg1234hi5678jk9AbCdEfG1234hI********.
Токен сессии
Токен сессии имеет переменную длину, около 285 символов, и используется для подтверждения временных учетных данных. Пример токена: s1.9muilY....