ID-токен сервисного аккаунта

ID-токен — специальный короткоживущий токен, выдаваемый сервисному аккаунту и необходимый для аутентификации от имени этого сервисного аккаунта в сторонней системе, поддерживающей аутентификацию по стандарту OIDC.

ID-токен создается на стороне Yandex Cloud и используется для обмена на токен доступа во внешней системе. Срок действия ID-токена составляет один час. Использовать ID-токен для аутентификации при обращении к API Yandex Cloud нельзя.

Формат ID-токенаФормат ID-токена

ID-токен представляет собой JSON Web Token (JWT) и состоит из трех частей, разделенных точкой: <заголовок>.<тело>.<подпись>.

Заголовок ID-токена содержит следующие атрибуты:

• kid — идентификатор публичного ключа подписи, который необходимо использовать для проверки подписи токена.
• alg — алгоритм подписи.

Тело ID-токена содержит следующие атрибуты:

• iss — URL OIDC-провайдера Yandex Cloud: https://auth.cloud.yandex.ru.
• sub — идентификатор сервисного аккаунта, передаваемый в параметре subject-id при создании ID-токена.
• aud — ресурс, для которого будет предназначен токен. Передается в параметре audience при создании ID-токена. Если при создании токена это значение не задано, по умолчанию подставляется значение идентификатора сервисного аккаунта, заданного в параметре subject-id.
• exp — срок действия ID-токена в формате Unix Time. Время жизни ID-токена с момента создания составляет один час.
• iat — время выпуска ID-токена в формате Unix Time.
• jti — уникальный идентификатор ID-токена, позволяющий не допустить его повторного использования.

Подпись ID-токена позволяет убедиться, что токен не был изменен. Проверять подпись необходимо с помощью публичного ключа, получив его в Yandex Cloud по идентификатору, указанному в поле kid заголовка токена.

Выдать ID-токен сервисному аккаунту можно с помощью Yandex Cloud CLI.