Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Обзор
      • Обзор
      • Сервисные аккаунты
    • Доступ сервисов к ресурсам пользователя
    • Федерации удостоверений
    • Федерации сервисных аккаунтов
    • Квоты и лимиты
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Зачем нужны сервисные аккаунты
  • Чем отличается сервисный аккаунт от других аккаунтов
  • Ключи сервисного аккаунта
  • Примеры использования
  1. Концепции
  2. Аккаунты в Yandex Cloud
  3. Сервисные аккаунты

Сервисные аккаунты

Статья создана
Yandex Cloud
Обновлена 15 мая 2025 г.
  • Зачем нужны сервисные аккаунты
  • Чем отличается сервисный аккаунт от других аккаунтов
  • Ключи сервисного аккаунта
  • Примеры использования

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Yandex Cloud.

Зачем нужны сервисные аккаунтыЗачем нужны сервисные аккаунты

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ.

Например, вы написали приложение, которое отслеживает статусы виртуальных машин. Для этого ей достаточно иметь права на просмотр (роль viewer), но программа работает от вашего имени, а у вас есть права на удаление виртуальных машин.

Чтобы защититься от случайного удаления виртуальной машины вашей программой, создайте сервисный аккаунт и дайте ему доступ только на просмотр.

Имя сервисного аккаунта должно быть уникальным в рамках облака.

В консоли управления на странице с информацией о сервисном аккаунте отображаются дата и время его последней аутентификации. Эта информация позволяет отслеживать случаи несанкционированного использования сервисных аккаунтов.

Чем отличается сервисный аккаунт от других аккаунтовЧем отличается сервисный аккаунт от других аккаунтов

  • Сейчас сервисные аккаунты нельзя использовать для входа в консоль управления. Подразумевается, что операции от имени сервисного аккаунта будут выполнять программы, а не люди.

  • Сервисный аккаунт — это ресурс. Вы можете назначать и отзывать роли на сервисный аккаунт у других пользователей. Например, чтобы разрешить использовать этот сервисный аккаунт для работы с Yandex Cloud. Чтобы назначить роль на сервисный аккаунт, нужна роль iam.serviceAccounts.admin.

  • Для сервисного аккаунта можно создать ключи, используемые для аутентификации в Yandex Cloud через API, CLI и другие инструменты. Эти ключи будут удалены при удалении сервисного аккаунта.

  • Сервисный аккаунт можно привязывать к виртуальным машинам и функциям, в которых запускается ваша программа.

    Это упрощает масштабирование приложений, работающих с Yandex Cloud:

    • Вам не надо изменять код программы, чтобы она заработала на новой виртуальной машине или функции. IAM-токен для аутентификации уже доступен изнутри.
    • Чтобы разрешить и запретить всем запущенным экземплярам программы выполнять какие-либо операции в Yandex Cloud, вы назначаете или отзываете роли у одного сервисного аккаунта.

Ключи сервисного аккаунтаКлючи сервисного аккаунта

Для аутентификации сервисного аккаунта в Yandex Cloud используются:

  • авторизованные ключи — используются при получении IAM-токена;
  • API-ключи — используются в некоторых сервисах для упрощенной аутентификации вместо IAM-токена;
  • статические ключи доступа — используются в сервисах с AWS-совместимым API.

Созданные ключи принадлежат сервисному аккаунту и разрешения на управление ключами наследуются от сервисного аккаунта. Например, если у вас есть роль viewer на сервисный аккаунт, то вы сможете посмотреть список ключей, принадлежащих этому аккаунту, но не сможете их удалить или создать новые ключи.

Чтобы обеспечивать безопасность и контроль над доступом к ресурсам, отслеживать случаи несанкционированного использования ключей, а также удалять неиспользуемые ключи без риска нарушить работу сервисов Yandex Cloud, вы можете отслеживать даты последнего использования ключей доступа сервисных аккаунтов. Информация доступна на странице сервисного аккаунта в консоли управления, а также в поле last_used_at при вызове методов управления ключами доступа через API.

Примеры использованияПримеры использования

  • Начало работы с Terraform
  • Поиск событий Yandex Cloud в Yandex Query
  • Резервное копирование кластера Managed Service for Kubernetes в Object Storage
  • Получение значения секрета Yandex Lockbox на стороне GitHub
  • Получение значения секрета Yandex Lockbox на стороне GitLab
  • Получение значения секрета Yandex Lockbox на стороне Kubernetes

См. такжеСм. также

  • Как начать работать с сервисными аккаунтами
  • Авторизация от имени сервисного аккаунта

Была ли статья полезна?

Предыдущая
Обзор
Следующая
Обзор
Проект Яндекса
© 2025 ООО «Яндекс.Облако»