Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Обзор
      • Как выбрать правильный способ аутентификации
      • IAM-токен
      • API-ключ
      • Статический ключ доступа
      • Security Token Service
      • Авторизованный ключ
      • OAuth-токен
      • ID-токен
      • Cookie
      • Refresh-токен
    • Доступ сервисов к ресурсам пользователя
    • Федерации удостоверений
    • Федерации сервисных аккаунтов
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Использование токена
  • Время жизни
  • Отзыв IAM-токена
  • Представление токена
  • Примеры использования
  1. Концепции
  2. Аутентификация
  3. IAM-токен

IAM-токен

Статья создана
Yandex Cloud
Улучшена
Dmitry A.
Обновлена 15 мая 2025 г.
  • Использование токена
  • Время жизни
  • Отзыв IAM-токена
  • Представление токена
  • Примеры использования

IAM-токен — уникальная последовательность символов, которая выдается пользователю после прохождения аутентификации. Это предпочтительный способ аутентификации как для пользователей, так и для программ (с помощью сервисных аккаунтов). Получить IAM-токен можно с помощью CLI или API.

Аутентификацию с помощью IAM-токена поддерживают все сервисы, кроме сервисов с AWS-совместимым API и сервисов, поддерживающих аутентификацию с помощью API-ключа.

Использование токенаИспользование токена

IAM-токены используются в сервисах Yandex Cloud для аутентификации. IAM-токен выдается для аккаунтов на Яндексе, сервисных аккаунтов и федеративных аккаунтов.

Также IAM-токены используются для аутентификации клиентов Docker и Helm в Yandex Container Registry.

Если вы работаете через консоль управления или интерфейс командной строки (CLI), то получение и использование токена будет незаметным.

Вы можете использовать IAM-токены для аутентификации при вызовах API к сервисам Yandex Cloud. Полученный IAM-токен указывайте при обращении к ресурсам Yandex Cloud через API в заголовке Authorization в следующем формате:

Authorization: Bearer <IAM-токен>

Для работы с Terraform добавьте IAM-токен в переменные окружения или укажите его в конфигурационном файле с настройками провайдера:

provider "yandex" {
  token = "<IAM-токен>"
}

Время жизниВремя жизни

IAM-токен действует не больше 12 часов. Время жизни токена содержится в ответе сервиса, который вернул токен, например, сервис метаданных ВМ.

Чтобы не возникла ситуация, когда токен прекратил действовать, а новый вы еще не получили, запрашивайте токен заранее.

Если вы создадите новый IAM-токен, старый продолжит действовать, пока не закончится его время жизни или вы не отзовете его.

Если токен создан с использованием cookie (например, при аутентификации с помощью федерации), то его время жизни ограничено временем жизни cookie. Если отозвать cookie (например, пользователь разлогинится), то все токены, которые были созданы для cookie, будут аннулированы.

API сервиса IAM может вернуть один и тот же токен на разные запросы, если его время жизни еще велико.

Отзыв IAM-токенаОтзыв IAM-токена

В случае, если IAM-токен оказался скомпрометирован, или в целях безопасности вы хотите прекратить действие старого IAM-токена при выпуске нового, IAM-токен можно отозвать до истечения срока его жизни.

Отозвать IAM-токен может любой аутентифицированный пользователь с помощью CLI или API.

Представление токенаПредставление токена

Следующее регулярное выражение описывает токен:

t1\.[A-Z0-9a-z_-]+[=]{0,2}\.[A-Z0-9a-z_-]{86}[=]{0,2}

С осторожностью используйте регулярное выражение, так как со временем сервис может обновить формат токена. В документации это изменение может отразиться с задержкой.

Совет

Если формат токена изменится, изменится префикс — станет не t1..

Пример токена:

t1.7euelSbPyceKx87JqpuRl1qZiY-Ryi3rnpWaksrKaZqUppnLncmDnpeajZvl8_dZNAFl-e8ENXMH_t3z9xljfmT57wQ1cwf-.-LErty1vRh4S__VEp-aDnM5huB5MEfm_Iu1u2IzNgyrn0emiWDYA6rSQXDvzjE0O3HBbUlqoDeCmXYYInzZ6Cg

Примеры использованияПримеры использования

  • Получение значения секрета Yandex Lockbox на стороне Kubernetes
  • Использование Yandex Object Storage в Yandex Data Processing
  • Создание интерактивного serverless-приложения с использованием WebSocket

См. такжеСм. также

  • Получение IAM-токена для аккаунта на Яндексе
  • Получение IAM-токена для сервисного аккаунта
  • Получение IAM-токена для федеративного аккаунта
  • Работа с Yandex Cloud изнутри виртуальной машины
  • Получение IAM-токена сервисного аккаунта с помощью функции
  • Как выбрать подходящий способ аутентификации в Yandex Cloud
  • Отзыв IAM-токена

Была ли статья полезна?

Предыдущая
Как выбрать правильный способ аутентификации
Следующая
API-ключ
Проект Яндекса
© 2025 ООО «Яндекс.Облако»