[Документация Yandex Cloud](../../index.md) > [Yandex Identity and Access Management](../index.md) > Безопасное использование Yandex Cloud

# Безопасное использование Yandex Cloud

В разделе представлены рекомендации по использованию возможностей сервиса IAM для обеспечения безопасной работы с сервисами Yandex Cloud.

## Не давайте лишних прав доступа {#restrict-access}

Для критически важных ресурсов:

* Назначайте минимально необходимые для работы [роли](../concepts/access-control/roles.md). Например, чтобы в Compute Cloud разрешить использовать образы для создания виртуальных машин, [назначьте роль](../operations/roles/grant.md) `compute.images.user`, а не `editor` или выше.
* Старайтесь назначать сервисные роли вместо примитивных (`viewer`, `editor`, `admin`). Примитивные роли действуют для ресурсов любого из сервисов Yandex Cloud.

    Используйте примитивные роли, если нет подходящей сервисной роли или вы хотите дать пользователю широкие полномочия.
* Назначайте только роли, которые необходимы сейчас. Не назначайте роли, которые могут потребоваться только в будущем.
* Помните, что когда вы назначаете роль на каталог, облако или организацию, разрешения этой роли [унаследуют все вложенные ресурсы](../concepts/access-control/index.md#inheritance).
* Назначайте роли [администратора](../roles-reference.md#admin) и [владельца облака](../../resource-manager/security/index.md#resource-manager-clouds-owner) только тем, кто должен управлять доступом к ресурсам в вашем проекте.

    Администратор может лишить прав доступа другого администратора, а владелец — отозвать у другого владельца его роль. Еще эти роли включают все разрешения роли `editor` — они позволяют создавать, изменять и удалять ресурсы.

## Защитите свой аккаунт на Яндексе {#protect-account}

Чтобы усилить защиту ваших ресурсов от несанкционированного доступа:

1. Включите для своего аккаунта на Яндексе [двухфакторную аутентификацию](https://yandex.ru/support/passport/authorization/twofa.html).
1. Попросите всех пользователей, которых вы добавляете в организацию, также включить двухфакторную аутентификацию.
1. В настройках безопасности организации [включите требование двухфакторной аутентификации](../../organization/operations/enable-2fa-access.md). Это позволит предоставить доступ к ресурсам только для тех пользователей, у кого включена двухфакторная аутентификация.

## Используйте сервисные аккаунты {#use-sa}

Используйте [сервисные аккаунты](../concepts/users/service-accounts.md) для автоматизации работы с Yandex Cloud и следуйте этим рекомендациям:

* Контролируйте доступ к вашим сервисным аккаунтам. Роль `editor` на сервисный аккаунт позволит пользователю выполнять операции, разрешенные этому сервисному аккаунту. Если сервисный аккаунт — администратор в облаке, то пользователь сможет сделать себя администратором с его помощью.
* Создавайте отдельные сервисные аккаунты для выполнения разных задач. Так вы сможете назначить им только те роли, которые необходимы. В любой момент вы сможете отозвать роли у сервисного аккаунта или удалить его, не затронув другие аккаунты.
* Давайте сервисным аккаунтам имена, которые позволят понять, для чего аккаунт используется и какие разрешения он должен иметь.
* Держите в секрете [ключи сервисного аккаунта](../concepts/users/service-accounts.md#sa-key) — с их помощью можно выполнять операции от имени сервисного аккаунта. Не храните ключи сервисного аккаунта в исходном коде.

    Периодически отзывайте старые ключи и выпускайте новые. Особенно если кто-то мог узнать ваш секретный ключ.
* Не используйте ключи для аутентификации, если можно использовать [IAM-токен](../concepts/authorization/iam-token.md). Срок жизни ключей неограничен, а IAM-токен действует 12 часов.
* Если вы выполняете операции изнутри виртуальной машины, [привяжите к ней сервисный аккаунт](../../compute/operations/vm-connect/auth-inside-vm.md). Тогда для аутентификации не нужно хранить ключи сервисного аккаунта на виртуальной машине — IAM-токен будет доступен [по ссылке на сервис метаданных](../../compute/operations/vm-connect/auth-inside-vm.md#auth-inside-vm).