Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Загрузка объектов в бакет Yandex Object Storage с помощью эфемерного ключа доступа

Статья создана
Улучшена
Обновлена 25 февраля 2026 г.

Эфемерные ключи доступа — это временные ключи с ограниченным сроком действия, которые предоставляют безопасный способ доступа к ресурсам Yandex Object Storage без необходимости хранить статические ключи. В этом руководстве вы научитесь создавать эфемерные ключи с помощью скрипта и использовать их для создания бакетов и загрузки объектов с помощью AWS CLI.

Чтобы загрузить объекты в бакет Object Storage с помощью эфемерного ключа доступа:

  1. Подготовьте облако к работе.
  2. Создайте сервисный аккаунт.
  3. Подготовьте скрипт для создания эфемерного ключа доступа.
  4. Настройте AWS CLI.
  5. Создайте бакет.
  6. Загрузите объект в бакет.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры входит:

Настройте окружение

Создайте сервисный аккаунт

Создайте сервисный аккаунт, от имени которого вы будете создавать бакет и загружать объекты. Назначьте ему роль storage.editor на каталог.

  1. В консоли управления выберите сервис Identity and Access Management.
  2. Нажмите Создать сервисный аккаунт.
  3. В поле Имя укажите ephemeral-sa.
  4. Нажмите Добавить роль и выберите роль storage.editor.
  5. Нажмите Создать.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте сервисный аккаунт:

    yc iam service-account create \
  --name ephemeral-sa

    Результат:

    id: ajeab0cnib1p********
folder_id: b0g12ga82bcv********
created_at: "2025-10-03T09:44:35.989446Z"
name: ephemeral-sa

  2. Назначьте сервисному аккаунту роль storage.editor на каталог:

    yc resource-manager folder add-access-binding <имя_каталога> \
  --service-account-name ephemeral-sa \
  --role storage.editor

    Результат:

    effective_deltas:
  - action: ADD
    access_binding:
      role_id: storage.editor
      subject:
        id: ajeab0cnib1p********
        type: serviceAccount
  1. Создайте сервисный аккаунт ephemeral-sa. Для этого воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create.
  2. Назначьте сервисному аккаунту в текущем каталоге роль storage.editor. Для этого воспользуйтесь методом REST API setAccessBindings для ресурса Folder или вызовом gRPC API FolderService/SetAccessBindings.

Чтобы управлять доступом к бакету, у сервисного аккаунта должна быть роль storage.admin.

Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:

  • kms.keys.encrypter — для чтения ключа, шифрования и загрузки объектов;
  • kms.keys.decrypter — для чтения ключа, расшифровки и скачивания объектов;
  • kms.keys.encrypterDecrypter — включает разрешения, предоставляемые ролями kms.keys.encrypter и kms.keys.decrypter.

Подробнее см. Сервисные роли Key Management Service.

Подготовьте скрипт для создания эфемерного ключа доступа

Скрипт позволяет избежать необходимости обновлять эфемерный ключ в профиле AWS CLI после истечения срока действия ключа. Как управлять эфемерными ключами вручную — см. в документе Управление эфемерными ключами доступа.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Получите идентификатор сервисного аккаунта ephemeral-sa:

    yc iam service-account get --name ephemeral-sa --format json | jq -r .id

  2. Создайте файл, например issue-ephemeral-script.sh, и вставьте в него код:

    #!/bin/sh
yc iam access-key issue-ephemeral \
  --subject-id <идентификатор_сервисного_аккаунта> \
  --session-name ephemeral-sa-1 \
  --jq '{Version: 1, AccessKeyId: .access_key_id, SecretAccessKey: .secret, SessionToken: .session_token, ExpiresAt: .expires_at}'

    Где:

    • --subject-id — идентификатор сервисного аккаунта ephemeral-sa.
    • --session-name — имя сессии длиной от 1 до 64 символов. Необходимо для идентификации сессии в случае, если сервисный аккаунт имперсонирован для нескольких пользователей.
    • --jq — jq-шаблон форматирования вывода. Позволяет преобразовать результат в требуемую AWS CLI структуру.

  3. Сделайте файл исполняемым:

    sudo chmod +x issue-ephemeral-script.sh

Настройте AWS CLI

Настройте AWS CLI для работы с эфемерным ключом доступа.

  1. Добавьте новый профиль ephemeral-profile в ~/.aws/credentials:

    [ephemeral-profile]
region = ru-central1
endpoint_url = https://storage.yandexcloud.net
credential_process = <путь_к_файлу>

    В параметре credential_process укажите абсолютный путь к файлу, созданному при подготовке скрипта, например /home/yc-user/issue-ephemeral-script.sh.

  2. Проверьте конфигурацию профиля:

    aws s3 ls --profile ephemeral-profile

    Если конфигурация выполнена правильно, команда выполнится без ошибок.

Создайте бакет

Создайте бакет для хранения объектов.

Выполните команду, указав имя бакета:

aws s3 mb s3://<имя_бакета> \
  --profile ephemeral-profile

Результат:

make_bucket: my-bucket

Подробности см. в документе Создание бакета.

Загрузите объект в бакет

Загрузите объект в созданный бакет.

  1. Создайте тестовый файл:

    echo "Hello, Yandex Cloud!" > test-file.txt

  2. Выполните команду для загрузки файла, указав путь к локальному файлу, имя вашего бакета и ключ, по которому объект будет храниться в бакете:

    aws s3 cp test-file.txt \
  s3://<имя_бакета>/test-file.txt \
  --profile ephemeral-profile

    Результат:

    upload: ./test-file.txt to s3://my-bucket/test-file.txt

  3. Проверьте, что объект успешно загружен:

    aws s3 ls s3://<имя_бакета>/ \
  --profile ephemeral-profile

    Результат:

    2025-10-03 09:45:12         23 test-file.txt

Подробности см. в документе Загрузка объекта.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

См. также

Предыдущая
Получение сведений для запроса на включение ресурса в белый список Минцифры
Следующая
Все руководства