Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Настроить ограничение в Object Storage для доступа только из сервисных подключений

Статья создана
Улучшена
Обновлена 17 февраля 2026 г.

Вы можете ограничить доступ в бакет на уровне сервиса, тогда доступ к бакету будет возможен только из сервисных подключений VPC.

Важно

После включения данной опции доступ в бакет из публичной сети будет невозможен. Доступ в бакет с помощью консоли управления можно включить отдельной опцией. См. также Особенности копирования объектов на стороне сервера (Server Side Copy).

Разрешить доступ в бакет только из сервисных подключений VPC на уровне сервиса

  1. В консоли управления выберите каталог, в котором вы настроили сервисное подключение VPC.
  2. Перейдите в сервис Object Storage.
  3. Выберите бакет в списке.
  4. На панели слева выберите Настройки.
  5. В блоке Строгий режим активируйте опцию Доступ только через сервисные подключения VPC.
  6. В поле Сервисные подключения VPC укажите идентификатор созданного сервисного подключения.
  7. (Опционально) Активируйте опцию Доступ из консоли управления. Опция позволяет при включенном доступе только через сервисные подключения VPC работать с бакетом с помощью консоли управления. При отключенной опции доступ к бакету остается только через API и CLI.
  8. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте дополнительные ресурсные записи в DNS для переопределения публичного FQDN сервиса, к которому создается подключение. Для этого включите специальный параметр сервисного подключения VPC:

    yc vpc private-endpoint update \
  --id <идентификатор_сервисного_подключения> \
  --private-dns-records-enabled

  2. Измените настройки бакета, указав параметры для включения доступа только из сервисных подключений VPC:

    yc storage bucket update \
  --name <имя_бакета> \
  --enable-private-endpoints true \
  --private-endpoints <идентификатор_сервисного_подключения> \
  --private-endpoints-force-cloudconsole-access true

    Где:

    • --name — имя бакета.

    • --enable-private-endpoints — параметр для включения доступа к бакету только из сервисных подключений VPC. Если параметр не указан, доступ к бакету будет возможен как из публичной сети, так и из сервисных подключений VPC.

    • --private-endpoints — список идентификаторов сервисных подключений VPC, доступ из которых будет разрешен.

      Важно

      Если идентификаторы сервисных подключений VPC не указаны, доступ к бакету будет невозможен отовсюду. Однако останется возможность выключить ограничения на доступ только из сервисных подключений VPC.

    • --private-endpoints-force-cloudconsole-access — (опционально) параметр для включения доступа к бакету с помощью консоли управления при включенном доступе только через сервисные подключения VPC. При отключенной опции доступ в бакет остается только через API и CLI.

Чтобы разрешить доступ в бакет только из сервисных подключений VPC на уровне сервиса, воспользуйтесь методом REST API update для ресурса Bucket или вызовом gRPC API Bucket/Update.

Восстановить доступ к бакету из публичной сети

  1. В консоли управления выберите каталог, в котором вы настроили сервисное подключение VPC.
  2. Перейдите в сервис Object Storage.
  3. Выберите бакет в списке.
  4. На панели слева выберите Настройки.
  5. В блоке Строгий режим деактивируйте опцию Доступ только через сервисные подключения VPC.
  6. Нажмите Сохранить.

Измените настройки бакета:

yc storage bucket update \
  --name <имя_бакета> \
  --enable-private-endpoints false

Где:

  • --name — имя бакета.

  • --enable-private-endpoints — параметр для включения доступа к бакету только из сервисных подключений VPC.

    Совет

    После того как ограничение на доступ только из сервисных подключений VPC снято, список сервисных подключений, переданный ранее в параметре --private-endpoints, сохраняется в настройках бакета. При повторном ограничении доступа нет необходимости передавать список еще раз.

Чтобы разрешить доступ в бакет только из сервисных подключений VPC на уровне сервиса, воспользуйтесь методом REST API update для ресурса Bucket или вызовом gRPC API Bucket/Update.

Копирование объектов на стороне сервера (Server Side Copy)

Особенности копирования объектов на стороне сервера (Server Side Copy) в бакетах с включенным доступом только из сервисных подключений VPC приведены в таблице:

Бакет-источник Бакет-приемник Условие для запуска копирования на стороне сервера1
Доступ только из сервисных подключений VPC Доступ только из сервисных подключений VPC Запрос из сервисного подключения, которое указано в списке разрешенных для обоих бакетов
Доступ только из сервисных подключений VPC Доступ из публичной сети Запрос из сервисного подключения, которое указано в списке разрешенных для бакета-источника
Доступ из публичной сети Доступ только из сервисных подключений VPC Запрос из сервисного подключения, которое указано в списке разрешенных для бакета-приемника
Доступ из публичной сети Доступ из публичной сети Запрос из публичной сети или из сервисного подключения

1 При наличии у клиента прав на чтение из бакета-источника и запись в бакет-приемник.

Предыдущая
Назначить политику доступа в Object Storage для сервисного подключения
Следующая
Удалить сервисное подключение