Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управление ключевыми парами электронной подписи

Статья создана
Улучшена
Обновлена 3 марта 2026 г.

С помощью Key Management Service вы можете создавать, изменять и удалять ключевые пары электронной подписи.

Создать ключевую пару электронной подписи

Чтобы создать новую ключевую пару электронной подписи:

  1. В консоли управления выберите каталог, в котором будет создана ключевая пара.
  2. Перейдите в сервис Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. В правом верхнем углу нажмите кнопку Создать ключ. В открывшемся окне:
    1. Укажите имя и при необходимости описание в свободной форме.
    2. В поле Тип выберите Подпись.
    3. В поле Алгоритм выберите нужный алгоритм подписи.
    4. При необходимости включите защиту от удаления.
    5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания ключевой пары электронной подписи:

    yc kms asymmetric-signature-key create --help

  2. Получите идентификатор каталога, в котором нужно создать ключевую пару.

  3. Создайте ключевую пару электронной подписи:

    yc kms asymmetric-signature-key create \
  --name <имя_ключевой_пары> \
  --folder-id <идентификатор_каталога> \
  --signature-algorithm <алгоритм_подписи>

    Где:

    • --name — имя ключевой пары электронной подписи.

    • --folder-id — идентификатор каталога, в котором будет создана ключевая пара.

    • --signature-algorithm — алгоритм электронной подписи. Доступны следующие алгоритмы ECDSA и RSA:

      • rsa-2048-sign-pss-sha-256
      • rsa-2048-sign-pss-sha-384
      • rsa-2048-sign-pss-sha-512
      • rsa-3072-sign-pss-sha-256
      • rsa-3072-sign-pss-sha-384
      • rsa-3072-sign-pss-sha-512
      • rsa-4096-sign-pss-sha-256
      • rsa-4096-sign-pss-sha-384
      • rsa-4096-sign-pss-sha-512
      • ecdsa-nist-p256-sha-256
      • ecdsa-nist-p384-sha-384
      • ecdsa-nist-p521-sha-512
      • ecdsa-secp256-k1-sha-256

    Результат:

    id: abj9g2dil5sj********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T09:06:57Z"
name: sample-signature-key
status: ACTIVE
signature_algorithm: RSA_2048_SIGN_PSS_SHA_512

Изменить ключевую пару электронной подписи

После создания ключевой пары вы можете изменить ее имя, описание, метки, а также включить или выключить защиту от удаления.

Чтобы изменить ключевую пару электронной подписи:

  1. В консоли управления выберите каталог, в котором находится нужная ключевая пара.
  2. Перейдите в сервис Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. Перейдите на вкладку Подпись.
  5. В строке с нужной ключевой парой нажмите значок и выберите Редактировать. В открывшемся окне:
    1. Измените необходимые атрибуты ключевой пары.
    2. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для изменения ключевой пары электронной подписи:

    yc kms asymmetric-signature-key update --help

  2. Получите идентификатор каталога, в котором находится ключевая пара.

  3. Получите идентификатор нужной ключевой пары электронной подписи, указав идентификатор каталога:

    yc kms asymmetric-signature-key list \
  --folder-id <идентификатор_каталога>

    Результат:

    +----------------------+----------------------+---------------------------+---------------------+--------+
|          ID          |         NAME         |    SIGNATURE ALGORITHM    |     CREATED AT      | STATUS |
+----------------------+----------------------+---------------------------+---------------------+--------+
| abj9g2dil5sj******** | sample-signature-key | RSA_2048_SIGN_PSS_SHA_512 | 2023-08-16 09:06:57 | ACTIVE |
+----------------------+----------------------+---------------------------+---------------------+--------+

  4. Измените ключевую пару электронной подписи:

    yc kms asymmetric-signature-key update \
  --id <идентификатор_ключевой_пары> \
  --new-name <новое_имя_ключевой_пары> \
  --deletion-protection

    Где:

    • --id — идентификатор ключевой пары электронной подписи.
    • --new-name — новое имя ключевой пары.
    • --deletion-protection — флаг включения защиты от удаления. Чтобы отключить защиту ключевой пары от удаления, используйте флаг --no-deletion-protection.

    Результат:

    id: abj9g2dil5sj********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T09:06:57Z"
name: sample-new-key
status: ACTIVE
signature_algorithm: RSA_2048_SIGN_PSS_SHA_512
deletion_protection: true

    Команда изменила имя ключевой пары электронной подписи и включила защиту от удаления.

Удалить ключевую пару электронной подписи

Чтобы удалить ключевую пару электронной подписи:

  1. В консоли управления выберите каталог, в котором находится нужная ключевая пара.
  2. Перейдите в сервис Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. Перейдите на вкладку Подпись.
  5. В строке с нужной ключевой парой нажмите значок и выберите Удалить.
  6. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для удаления ключевой пары подписи:

    yc kms asymmetric-signature-key delete --help

  2. Получите идентификатор каталога, в котором находится ключевая пара.

  3. Получите идентификатор нужной ключевой пары электронной подписи, указав идентификатор каталога:

    yc kms asymmetric-signature-key list \
  --folder-id <идентификатор_каталога>

    Результат:

    +----------------------+----------------------+---------------------------+---------------------+--------+
|          ID          |         NAME         |    SIGNATURE ALGORITHM    |     CREATED AT      | STATUS |
+----------------------+----------------------+---------------------------+---------------------+--------+
| abj9g2dil5sj******** | sample-signature-key | RSA_2048_SIGN_PSS_SHA_512 | 2023-08-16 09:06:57 | ACTIVE |
+----------------------+----------------------+---------------------------+---------------------+--------+

  4. Удалите ключевую пару электронной подписи, указав ее идентификатор:

    yc kms asymmetric-signature-key delete \
  --id <идентификатор_ключевой_пары>

    Результат:

    done (1s)
id: abj9g2dil5sj********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T09:06:57Z"
name: sample-new-key
signature_algorithm: RSA_2048_SIGN_PSS_SHA_512
Предыдущая
Права доступа к асимметричной ключевой паре
Следующая
Права доступа к ключевой паре электронной подписи