Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Identity and Access Management
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
      • Управление статическими ключами доступа
      • Управление API-ключами
      • Управление авторизованными ключами
      • Создание временного ключа доступа с помощью Security Token Service
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Создать статический ключ доступа
  • Примеры
  • Удалить статический ключ доступа
  1. Пошаговые инструкции
  2. Аутентификация
  3. Управление статическими ключами доступа

Управление статическими ключами доступа

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 28 апреля 2025 г.
  • Создать статический ключ доступа
    • Примеры
  • Удалить статический ключ доступа

Часть сервисов Yandex Cloud поддерживает аутентификацию с помощью статических ключей доступа.

Статические ключи доступа создаются для сервисных аккаунтов. Если у вас еще нет сервисного аккаунта, создайте его и назначьте ему роли.

Создать статический ключ доступаСоздать статический ключ доступа

Чтобы создать статический ключ доступа сервисного аккаунта:

Консоль управления
CLI
Terraform
API
  1. В консоли управления перейдите в каталог, которому принадлежит сервисный аккаунт.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. Выберите сервисный аккаунт, для которого вы хотите создать статический ключ доступа.

  5. На панели сверху нажмите кнопку Создать новый ключ и выберите Создать статический ключ доступа.

  6. Задайте описание ключа и нажмите кнопку Создать.

  7. Сохраните идентификатор и секретный ключ.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды создания статического ключа доступа:

    yc iam access-key create --help
    
  2. Выберите сервисный аккаунт, например my-robot:

    yc iam service-account list
    

    Результат:

    +----------------------+------------------+-------------------------------+
    |          ID          |       NAME       |          DESCRIPTION          |
    +----------------------+------------------+-------------------------------+
    | aje6o61dvog2******** | my-robot         |                               |
    | aje9sda1ufvq******** | account_name     | account_description           |
    +----------------------+------------------+-------------------------------+
    
  3. Создайте ключ доступа для сервисного аккаунта my-robot:

    yc iam access-key create --service-account-name my-robot
    

    Результат:

    access_key:
      id: aje6t3vsbj8l********
      service_account_id: ajepg0mjt06s********
      created_at: "2018-11-22T14:37:51Z"
      key_id: 0n8X6WY6S24N********
    secret: JyTRFdqw8t1kh2-OJNz4JX5ZTz9Dj1rI********
    
  4. Сохраните идентификатор key_id и секретный ключ secret. Повторно получить значение ключа будет невозможно.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_iam_service_account_static_access_key" "sa-static-key" {
      service_account_id = "<идентификатор_сервисного_аккаунта>"
      description        = "<описание_ключа>"
      pgp_key            = "keybase:keybaseusername"
      output_to_lockbox  {
        secret_id             = "<идентификатор_секрета_Lockbox>"
        entry_for_access_key  = "<ключ_секрета_для_идентификатора_статического_ключа>"
        entry_for_secret_key  = "<ключ_секрета_для_секретного_ключа>"
      }
    }
    

    Где:

    • service_account_id — идентификатор сервисного аккаунта. Обязательный параметр.

    • description — описание ключа. Необязательный параметр.

    • pgp_key — дополнительный PGP-ключ для шифрования закрытого ключа. Необязательный параметр. Указывается публичная часть ключа в кодировке base64, либо в виде keybase:keybaseusername.

    • output_to_lockbox — описание секрета Yandex Lockbox, в который будут сохранены секретные значения ключа, во избежание их возможной утечки через файл состояния terraform.tfstate. Необязательный параметр. Вложенные параметры:

      • secret_id — идентификатор секрета Yandex Lockbox, в который будут сохранены идентификатор ключа и секретный ключ. Секрет должен быть пользовательского типа.
      • entry_for_access_key — ключ секрета, который будет присвоен сохраняемому значению идентификатора статического ключа доступа.
      • entry_for_secret_key — ключ секрета, который будет присвоен сохраняемому значению секретного ключа.

    Более подробную информацию о параметрах ресурса yandex_iam_service_account_static_access_key в Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание статического ключа доступа: введите в терминал слово yes и нажмите Enter.

      Если при создании ключа возникли ошибки, Terraform на них укажет.
      При успешном создании ключа Terraform запишет его в свою конфигурацию, но не покажет пользователю. В терминал будет выведен только id созданного ключа.

      Проверить появление ключа у сервисного аккаунта можно в консоли управления или с помощью команды CLI:

      yc iam access-key list --service-account-name=<имя_сервисного_аккаунта>
      

Воспользуйтесь методом REST API create для ресурса AccessKey или вызовом gRPC API AccessKeyService/Create.

ПримерыПримеры

Добавить описание при созданииДобавить описание при создании

Добавьте описание при создании ключа доступа.

CLI
Terraform
API
yc iam access-key create \
  --service-account-name my-robot \
  --description "this key is for my bucket"
resource "yandex_iam_service_account_static_access_key" "sa-static-key" {
  service_account_id = "<идентификатор_сервисного_аккаунта>"
  description        = "this key is for my bucket"
  pgp_key            = "BIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+x....."
}
curl \
  --request POST \
  --header 'Content-Type: application/json' \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '{
      "serviceAccountId": "<идентификатор_сервисного_аккаунта>",
      "description": "this key is for my bucket"
  }' \
  https://iam.api.cloud.yandex.net/iam/aws-compatibility/v1/accessKeys

Удалить статический ключ доступаУдалить статический ключ доступа

Чтобы удалить статический ключ доступа сервисного аккаунта:

Консоль управления
CLI
Terraform
API
  1. В консоли управления перейдите в каталог, которому принадлежит сервисный аккаунт.
  2. В списке сервисов выберите Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты и выберите нужный сервисный аккаунт.
  4. В блоке Статические ключи доступа в строке с ключом, который нужно удалить, нажмите значок и выберите Удалить.
  5. В открывшемся окне нажмите кнопку Удалить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите список статических ключей доступа сервисного аккаунта, указав его имя:

    yc iam access-key list \
      --service-account-name <имя_сервисного_аккаунта>
    

    Результат:

    +----------------------+----------------------+----------------------+
    |          ID          |  SERVICE ACCOUNT ID  |        KEY ID        |
    +----------------------+----------------------+----------------------+
    | aje8bdtqec6l******** | ajeedllrkjma******** | R9JK04o1Dfaf******** |
    | ajegqpa91bta******** | ajeedllrkjma******** | cWXGkDoBRho5******** |
    +----------------------+----------------------+----------------------+
    
  2. Удалите статический ключ доступа, указав его идентификатор:

    yc iam access-key delete <идентификатор_ключа>
    

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Откройте файл конфигурации Terraform и удалите секцию с описанием статического ключа доступа.

    Пример описания статического ключа доступа в конфигурации Terraform:

    resource "yandex_iam_service_account_static_access_key" "sa-static-key" {
      service_account_id = "<идентификатор_сервисного_аккаунта>"
      description        = "<описание_ключа>"
      pgp_key            = "keybase:keybaseusername"
      output_to_lockbox  {
        secret_id             = "<идентификатор_секрета_Lockbox>"
        entry_for_access_key  = "<ключ_секрета_для_идентификатора_статического_ключа>"
        entry_for_secret_key  = "<ключ_секрета_для_секретного_ключа>"
      }
    }
    

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание или удаление ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы или удалены все требуемые ресурсы. Проверить появление ресурсов и их настройки или удаление ресурсов можно в консоли управления, а также с помощью команды CLI:

    yc iam access-key list --service-account-id <идентификатор_сервисного_аккаунта>
    

Воспользуйтесь методом REST API delete для ресурса AccessKey или вызовом gRPC API AccessKeyService/Delete.

См. такжеСм. также

  • Статические ключи доступа, совместимые с AWS API
  • Настройка инструментов для работы с Object Storage
  • Назначение роли сервисному аккаунту
  • Использование секрета Yandex Lockbox для хранения статического ключа доступа

Была ли статья полезна?

Предыдущая
Отзыв refresh-токена
Следующая
Управление API-ключами
Проект Яндекса
© 2025 ООО «Яндекс.Облако»