Связаться с намиПодключиться

Создание статических ключей доступа

Статья создана
Обновлена 24 октября 2024 г.

Это инструкция по созданию статических ключей доступа для сервисного аккаунта при работе с сервисами, которые поддерживают такой способ авторизации.

Если у вас еще нет сервисного аккаунта, создайте его и назначьте ему роли.

Чтобы создать статический ключ доступа:

  1. В консоли управления перейдите в каталог, которому принадлежит сервисный аккаунт.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. Выберите сервисный аккаунт, для которого вы хотите создать статический ключ доступа.

  5. Нажмите кнопку Создать новый ключ на верхней панели.

  6. Выберите Создать статический ключ доступа.

  7. Задайте описание ключа и нажмите кнопку Создать.

  8. Сохраните идентификатор и секретный ключ.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды создания статического ключа доступа:

    yc iam access-key create --help

  2. Выберите сервисный аккаунт, например my-robot:

    yc iam service-account list

    Результат:

    +----------------------+------------------+-------------------------------+
|          ID          |       NAME       |          DESCRIPTION          |
+----------------------+------------------+-------------------------------+
| aje6o61dvog2******** | my-robot         |                               |
| aje9sda1ufvq******** | account_name     | account_description           |
+----------------------+------------------+-------------------------------+

  3. Создайте ключ доступа для сервисного аккаунта my-robot:

    yc iam access-key create --service-account-name my-robot

    Результат:

    access_key:
  id: aje6t3vsbj8l********
  service_account_id: ajepg0mjt06s********
  created_at: "2018-11-22T14:37:51Z"
  key_id: 0n8X6WY6S24N********
secret: JyTRFdqw8t1kh2-OJNz4JX5ZTz9Dj1rI********

  4. Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова будет невозможно.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_iam_service_account_static_access_key" "sa-static-key" {
 service_account_id = "<идентификатор_сервисного_аккаунта>"
 description        = "<описание_ключа>"
 pgp_key            = "keybase:keybaseusername"
 }

    Где:

    • service_account_id — идентификатор сервисного аккаунта. Обязательный параметр.
    • description — описание ключа. Необязательный параметр.
    • pgp_key — дополнительный PGP-ключ для шифрования закрытого ключа. Необязательный параметр. Указывается публичная часть ключа в кодировке base64, либо в виде keybase:keybaseusername.

    Более подробную информацию о параметрах ресурса yandex_iam_service_account_static_access_key в Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание статического ключа доступа: введите в терминал слово yes и нажмите Enter.

      Если при создании ключа возникли ошибки, Terraform на них укажет.
      При успешном создании ключа Terraform запишет его в свою конфигурацию, но не покажет пользователю. В терминал будет выведен только id созданного ключа.

      Проверить появление ключа у сервисного аккаунта можно в консоли управления или с помощью команды CLI:

      yc iam access-key list --service-account-name=<имя_сервисного_аккаунта>

Чтобы создать ключ доступа, воспользуйтесь методом REST API create для ресурса AccessKey или вызовом gRPC API AccessKeyService/Create.

Примеры

Добавить описание при создании

Добавьте описание при создании ключа доступа.

yc iam access-key create --service-account-name my-robot \
  --description "this key is for my bucket"

resource "yandex_iam_service_account_static_access_key" "sa-static-key" {
service_account_id = "<идентификатор_сервисного_аккаунта>"
description        = "this key is for my bucket"
pgp_key            = "BIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+x....."
}

curl \
  --request POST \
  --header 'Content-Type: application/json' \
  --header "Authorization: Bearer <IAM-токен>" \
  --data '{
      "serviceAccountId": "<идентификатор_сервисного_аккаунта>",
      "description": "this key is for my bucket"
  }' \
  https://iam.api.cloud.yandex.net/iam/aws-compatibility/v1/accessKeys

См. также

Предыдущая
Отзыв IAM-токена
Следующая
Удаление статического ключа доступа