Получение ID-токена сервисного аккаунта
Чтобы аутентифицироваться с помощью Yandex Identity and Access Management во внешней системе, поддерживающей аутентификацию по стандарту OIDC, необходим ID-токен. ID-токен можно получить только для сервисного аккаунта.
Чтобы получить ID-токен:
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды создания ID-токена:
yc iam create-id-token --help -
Получите идентификатор сервисного аккаунта, от имени которого вы хотите аутентифицироваться во внешней системе:
yc iam service-account listРезультат:
+----------------------+--------------+--------+---------------------+-----------------------+ | ID | NAME | LABELS | CREATED AT | LAST AUTHENTICATED AT | +----------------------+--------------+--------+---------------------+-----------------------+ | ajeg2b2et02f******** | my-robot | | 2024-09-08 18:59:45 | 2025-02-18 10:10:00 | | ajegtlf2q28a******** | account-name | | 2023-06-27 16:18:18 | 2025-02-18 10:20:00 | +----------------------+--------------+--------+---------------------+-----------------------+ -
Получите ID-токен для нужного сервисного аккаунта:
yc iam create-id-token \ --subject-id <идентификатор_сервисного_акканта> \ --audience <ресурс>Где:
--subject-id— идентификатор сервисного аккаунта, для которого необходимо создать ID-токен.--audience— ресурс, для которого будет предназначен получаемый токен. Необязательный параметр. Если значение параметра не задано, по умолчанию используется значение идентификатора сервисного аккаунта, заданного в параметреsubject-id.
В ответ команда выведет в стандартный поток вывода (
STDOUT) тело созданного ID-токена сервисного аккаунта.