Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Настройка прав доступа к секрету, созданному Yandex Connection Manager, для пользователя Yandex Managed Service for PostgreSQL

Статья создана
Обновлена 10 марта 2026 г.

Вы можете получить пароль пользователя Managed Service for PostgreSQL из секрета Yandex Lockbox. Это можно сделать через Yandex Cloud CLI. Для этого сервисному аккаунту, под которым вы авторизованы в Yandex Cloud CLI, нужно настроить права доступа к секрету пользователя. Информацию о секрете, необходимую для настройки прав, можно получить из подключения Connection Manager.

Чтобы настроить права доступа к секрету пользователя:

  1. Создайте необходимую инфраструктуру и настройте права доступа к секрету пользователя.
  2. Получите пароль пользователя из секрета.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

  • Кластер Managed Service for PostgreSQL: использование выделенных хостам вычислительных ресурсов, объем хранилища и резервных копий (см. тарифы Managed Service for PostgreSQL).
  • Публичные IP-адреса, если для хостов кластера включен публичный доступ (см. тарифы Virtual Private Cloud).

Использование Connection Manager, а также секретов Yandex Lockbox, созданных с его помощью, не тарифицируется.

Настройте права доступа к секрету пользователя Managed Service for PostgreSQL

  1. Если у вас еще нет Terraform, установите его.

  2. Получите данные для аутентификации. Вы можете добавить их в переменные окружения или указать далее в файле с настройками провайдера.

  3. Настройте и инициализируйте провайдер. Чтобы не создавать конфигурационный файл с настройками провайдера вручную, скачайте его.

    Важно

    Требуется провайдер Yandex версии не ниже 0.160.0. Если в конфигурации версия провайдера не указана явно, Terraform автоматически загрузит последнюю совместимую версию.

  4. Поместите конфигурационный файл в отдельную рабочую директорию и укажите значения параметров. Если данные для аутентификации не были добавлены в переменные окружения, укажите их в конфигурационном файле.

  5. Скачайте в ту же рабочую директорию файл конфигурации conn-man-secret-access.tf.

    В этом файле описаны:

    • кластер Managed Service for PostgreSQL;
    • настройка прав сервисного аккаунта для доступа к секрету пользователя Managed Service for PostgreSQL;
    • получение идентификатора подключения и идентификатора секрета.

  6. Укажите в конфигурационном файле следующие параметры:

    • network_id — идентификатор сети для кластера;
    • subnet_id — идентификатор подсети в зоне доступности ru-central1-a для кластера;
    • pg_cluster_version — версия PostgreSQL;
    • pg_cluster_name — имя кластера;
    • pg_cluster_db — имя базы данных в кластере;
    • pg_cluster_username — имя пользователя в кластере;
    • pg_cluster_password — пароль пользователя;
    • lockbox_sa_id — идентификатор сервисного аккаунта, для которого будет настроен доступ к секрету.

  7. Проверьте корректность файлов конфигурации Terraform с помощью команды:

    terraform validate

    Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  8. Создайте необходимую инфраструктуру:

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

    В указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления.

  9. После применения конфигурации Terraform выведет идентификаторы подключения и секрета.

    Пример вывода:

    Outputs:

connection_id = "a59v09bb8907********"
connection_info = "e6q2rjghh9bc********"

    Сохраните идентификатор секрета connection_info, он понадобится для получения пароля пользователя.

Получите пароль пользователя из секрета Yandex Lockbox

  1. Аутентифицируйтесь в Yandex Cloud CLI от имени сервисного аккаунта с помощью авторизованного ключа.

  2. Получите пароль пользователя из секрета и сохраните его в переменную PASSWORD:

    PASSWORD=$(yc lockbox payload get <идентификатор_секрета> \
  --format json \
  | jq -r '.entries[] | select(.key=="postgresql_password") | .text_value')

  3. Чтобы посмотреть сохраненный пароль, выполните команду:

    echo "$PASSWORD"

Удалите созданные ресурсы

Некоторые ресурсы платные. Чтобы за них не списывалась плата, удалите ресурсы, которые вы больше не будете использовать:

  1. В терминале перейдите в директорию с планом инфраструктуры.

    Важно

    Убедитесь, что в директории нет Terraform-манифестов с ресурсами, которые вы хотите сохранить. Terraform удаляет все ресурсы, которые были созданы с помощью манифестов в текущей директории.

  2. Удалите ресурсы:

    1. Выполните команду:

      terraform destroy

    2. Подтвердите удаление ресурсов и дождитесь завершения операции.

    Все ресурсы, которые были описаны в Terraform-манифестах, будут удалены.

Предыдущая
Запись данных с устройства в базу данных
Следующая
Логическая репликация PostgreSQL