Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Обзор
    • Доступ сервисов к ресурсам пользователя
    • Федерации удостоверений
    • Федерации сервисных аккаунтов
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Статус сервиса
  • Сервисные агенты
  • Доступом каких сервисов можно управлять
  1. Концепции
  2. Доступ сервисов к ресурсам пользователя

Доступ сервисов к ресурсам пользователя

Статья создана
Yandex Cloud
Обновлена 9 июля 2025 г.
  • Статус сервиса
  • Сервисные агенты
  • Доступом каких сервисов можно управлять

Примечание

Функциональность находится на стадии Preview.

Платформа Yandex Cloud включает в себя набор сервисов. Некоторым сервисам для выполнения определенных задач необходим доступ к различным ресурсам в облаке пользователя. Например, сервису Yandex Connection Manager для управления подключениями к базам данных требуются права на создание секретов Yandex Lockbox в облаке пользователя, а также права на управление созданными секретами.

Yandex Identity and Access Management позволяет управлять доступом сервисов к ресурсам в облаке пользователя, при необходимости включая или выключая нужные сервисы.

Доступ сервиса — это совокупность прав доступа, необходимых для создания и функционирования ресурсов этого сервиса в облаке пользователя. Такие права доступа назначаются специальным сервисным аккаунтам — сервисным агентам, от имени которых сервис осуществляет доступ к ресурсам пользователя в облаке.

Статус сервисаСтатус сервиса

Сервисы в облаке Yandex Cloud могут иметь следующие статусы:

  • DEFAULT — статус по умолчанию.

    У сервиса нет сервисных агентов, но при попытке выполнить в сервисе операцию, требующую доступа к другим ресурсам в облаке пользователя (например, создать подключение в сервисе Yandex Connection Manager), сервисные агенты будут автоматически созданы, а статус сервиса изменится на ENABLED.

  • ENABLED — сервис включен. У сервиса есть сервисные агенты, сервис имеет доступ к ресурсам в облаке пользователя.

    Когда статус сервиса в облаке меняется на ENABLED, для этого сервиса в данном облаке автоматически создаются сервисные агенты, обладающие необходимыми правами на действия с ресурсами пользователя в этом облаке.

  • DISABLED — сервис выключен. У сервиса нет сервисных агентов, сервис не имеет доступа к ресурсам в облаке пользователя.

    Когда статус сервиса в облаке меняется на DISABLED, сервисные агенты этого сервиса в данном облаке автоматически удаляются.

Сервисные агентыСервисные агенты

Сервисные агенты — это специальные системные сервисные аккаунты, принадлежащие определенным сервисам в облаке пользователя и предоставляющие таким сервисам доступ к ресурсам в этом облаке. Количество сервисных агентов и конкретный набор доступов, выданных им, могут различаться в зависимости от сервиса, которому эти сервисные агенты принадлежат.

Примечание

В настоящее время нельзя просмотреть или изменить набор ролей, назначенных сервисным агентам по умолчанию. В будущем такая возможность появится.

Сервисные агенты создаются в особом системном каталоге в облаке пользователя. Этот каталог управляется системой и недоступен пользователю даже при наличии у него ролей администратора или владельца облака.

У сервисного агента есть права на действия с ресурсами только в том облаке, в котором этот сервисный агент создан.

Пользователь не может напрямую создавать, удалять или назначать роли отдельным сервисным агентам. Сервисные агенты в необходимом количестве и с нужными правами доступа автоматически создаются при включении сервисов и автоматически удаляются при их выключении. При повторном включении сервиса для него создаются новые сервисные агенты с новыми идентификаторами.

Если у сервиса есть ресурсы, использующие доступ к другим ресурсам в облаке пользователя, выключить этот сервис нельзя. Чтобы выключить такой сервис, предварительно удалите все ресурсы этого сервиса, использующие доступ к другим ресурсам в данном облаке пользователя.

Если в облаке пользователя выключить сервис, то такой сервис продолжит функционировать, но его ресурсы не смогут получать доступ к другим ресурсам в этом облаке.

Доступом каких сервисов можно управлятьДоступом каких сервисов можно управлять

В настоящий момент вы можете управлять доступом следующих сервисов:

Сервис Идентификатор
Yandex Compute Cloud — Шифрование дисков disk-encryption
Yandex DataSphere datasphere
Yandex MetaData Hub — Connection Manager connection-manager
Yandex Security Deck — Контроль данных (DSPM) dspm
Yandex WebSQL websql
Yandex Cloud Registry cloud-registry
Yandex Serverless Integrations — EventRouter serverless-eventrouter
SourceCraft src-integration

В будущем у администраторов облака появится возможность управлять доступами всех сервисов, требующих прав на действия с ресурсами в облаке Yandex Cloud. С помощью CLI вы можете получить актуальный список сервисов, доступом которых можно управлять.

Управлять доступом сервисов к ресурсам могут пользователи с ролью администратора или владельца облака.

См. такжеСм. также

  • Получение статусов сервисов
  • Включение и выключение сервиса

Была ли статья полезна?

Предыдущая
Refresh-токен
Следующая
Федерации удостоверений
Проект Яндекса
© 2025 ООО «Яндекс.Облако»