Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Обзор
      • Как выбрать правильный способ аутентификации
      • IAM-токен
      • API-ключ
      • Статический ключ доступа
      • Security Token Service
      • Авторизованный ключ
      • OAuth-токен
      • ID-токен
      • Cookie
      • Refresh-токен
    • Доступ сервисов к ресурсам пользователя
    • Федерации удостоверений
    • Федерации сервисных аккаунтов
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Срок жизни refresh-токенов
  • Включение возможности использования refresh-токенов в Yandex Cloud CLI
  • Защита refresh-токенов с помощью DPoP в Yandex Cloud CLI
  • Инициализация DPoP-защиты refresh-токенов в Yandex Cloud CLI
  1. Концепции
  2. Аутентификация
  3. Refresh-токен

Refresh-токен

Статья создана
Yandex Cloud
Обновлена 6 марта 2025 г.
  • Срок жизни refresh-токенов
  • Включение возможности использования refresh-токенов в Yandex Cloud CLI
  • Защита refresh-токенов с помощью DPoP в Yandex Cloud CLI
    • Инициализация DPoP-защиты refresh-токенов в Yandex Cloud CLI

Refresh-токен — это тип учетных данных, позволяющий OAuth-приложению при истечении срока действия IAM-токена пользователя автоматически получать новый IAM-токен. Refresh-токен выпускается для пользователя и передается в OAuth-приложение, которое выполняет аутентификацию пользователя в Yandex Cloud.

Одним из OAuth-приложений, поддерживающих использование refresh-токенов, является Yandex Cloud CLI. При этом refresh-токены могут выпускаться только для федеративных пользователей организации Yandex Cloud Organization.

С помощью Yandex Cloud CLI и API вы можете просматривать список выпущенных для пользователя refresh-токенов и отзывать такие токены.

Срок жизни refresh-токеновСрок жизни refresh-токенов

Срок жизни refresh-токена составляет 31 день. Refresh-токен автоматически перевыпускается при его использовании для получения IAM-токена, если до окончания срока действия refresh-токена остается менее семи дней.

Если срок действия refresh-токена истек, необходимо получить новый refresh-токен. Новый refresh-токен будет создан автоматически при следующем получении IAM-токена. При этом пользователю придется повторно выполнить аутентификацию в браузере.

Refresh-токены автоматически удаляются через семь дней после истечения срока их действия.

Включение возможности использования refresh-токенов в Yandex Cloud CLIВключение возможности использования refresh-токенов в Yandex Cloud CLI

Чтобы использовать refresh-токены в Yandex Cloud CLI, эту функциональность необходимо включить на уровне организации Cloud Organization. Для этого:

Интерфейс Cloud Center
  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    При необходимости переключитесь на нужную организацию.

  2. На панели слева выберите Настройки безопасности.

  3. В блоке Настройки аутентификации включите опцию Разрешить использовать refresh-токены.

  4. (Опционально) Если вы хотите использовать усиленную защиту refresh-токенов с помощью DPoP-ключей с обязательным их сохранением на устройстве YubiKey, включите опцию Разрешить хранение DPoP-ключей только на устройствах YubiKey.

    Если эта опция отключена, для защиты refresh-токенов можно можно будет использовать DPoP-ключи, сохраненные как на устройстве YubiKey, так и в файловой системе на компьютере пользователя.

Чтобы федеративные пользователи могли использовать refresh-токены в Yandex Cloud CLI, после включения этой функциональности на уровне организации каждый пользователь должен выполнить инициализацию DPoP-защиты.

Защита refresh-токенов с помощью DPoP в Yandex Cloud CLIЗащита refresh-токенов с помощью DPoP в Yandex Cloud CLI

Чтобы подтвердить подлинность запроса на получение IAM-токена с помощью refresh-токена, используется механизм DPoP. Верификация выполняется с помощью специального DPoP-ключа, который создается на стороне пользовательского устройства и позволяет подтвердить подлинность пользователя, выполняющего запрос, и устройства, с которого этот запрос выполняется.

Если опция Разрешить хранение DPoP-ключей только на устройствах YubiKey в настройках организации отключена, для защиты refresh-токенов можно будет использовать DPoP-ключи, сохраненные как на устройстве YubiKey, так и в файловой системе на компьютере пользователя (менее безопасно).

Включите опцию Разрешить хранение DPoP-ключей только на устройствах YubiKey, чтобы повысить степень защиты refresh-токенов и оставить возможность использовать только DPoP-ключи, сохраненные на специализированном устройстве YubiKey, которое обеспечивает неизвлекаемость ключей.

Инициализация DPoP-защиты refresh-токенов в Yandex Cloud CLIИнициализация DPoP-защиты refresh-токенов в Yandex Cloud CLI

DPoP-ключ, подтверждающий подлинность пользователя и устройства, которые отправляют запрос на получение IAM-токена, должен быть создан на стороне пользовательского устройства. Механизм создания, хранения и использования такого DPoP-ключа должен быть реализован внутри OAuth-приложения, использующего refresh-токены.

Чтобы инициализировать DPoP-защиту refresh-токенов федеративного пользователя в Yandex Cloud CLI:

  1. Убедитесь, что на уровне вашей организации Cloud Organization включена возможность использования refresh-токенов.

  2. Инициализируйте DPoP-защиту refresh-токенов на устройстве пользователя:

    Yandex Cloud CLI
    1. Создайте профиль CLI федеративного пользователя и аутентифицируйтесь от его имени в Yandex Cloud.

    2. Запустите инициализацию DPoP-защиты:

      yc init --dpop
      

      Yandex Cloud CLI предложит вам пройти процедуру конфигурации DPoP-защиты:

      Welcome! This command will take you through the configuration process.
      Do you want to initialize file system auth keys? [y/N]
      
    3. Пройдите процедуру конфигурации. Для этого введите y и нажмите ENTER.

      Следуйте инструкциям конфигуратора, чтобы сгенерировать и сохранить DPoP-ключ в файловой системе компьютера или на устройстве YubiKey.

После выполнения инициализации при следующем получении нового IAM-токена для пользователя будет создан refresh-токен. В дальнейшем Yandex Cloud CLI станет самостоятельно обновлять IAM-токены данного федеративного пользователя без необходимости регулярно выполнять аутентификацию в браузере.

При хранении DPoP-ключа в файловой системе IAM-токен перевыпускается сразу. При использовании устройства YubiKey перевыпуск IAM-токена выполняется только после подтверждения действия на устройстве YubiKey.

Была ли статья полезна?

Предыдущая
Cookie
Следующая
Доступ сервисов к ресурсам пользователя
Проект Яндекса
© 2025 ООО «Яндекс.Облако»