[Документация Yandex Cloud](../../../index.md) > [Yandex Identity and Access Management](../../index.md) > [Концепции](../index.md) > [Аутентификация](index.md) > Эфемерные ключи

# Эфемерные ключи доступа, совместимые с AWS API

Эфемерные ключи доступа — это временные учетные данные для аутентификации [аккаунтов на Яндексе](../users/accounts.md#passport), [федеративных аккаунтов](../users/accounts.md#saml-federation), [локальных пользователей](../users/accounts.md#local) и [сервисных аккаунтов](../users/service-accounts.md).

{% note info %}

Создание эфемерных ключей доступа для сервисных аккаунтов может быть запрещено [политиками авторизации](../access-control/access-policies.md) на уровне [каталога](../../../resource-manager/concepts/resources-hierarchy.md#folder), [облака](../../../resource-manager/concepts/resources-hierarchy.md#cloud) или [организации](../../../organization/concepts/organization.md).

{% endnote %}

Эфемерные ключи доступа в качестве способа аутентификации поддерживаются только в сервисе [Yandex Object Storage](../../../storage/index.md).

Вы можете [создать](../../operations/authentication/manage-ephemeral-keys.md#create) эфемерный ключ для текущего пользователя или для сервисного аккаунта, к которому у вас есть доступ.

Эфемерные ключи выпускаются на основании [IAM-токена](iam-token.md) текущей сессии. Время жизни ключа — от 15 минут до 12 часов. Если время жизни не указано при создании, то оно ограничено сроком действия IAM-токена.

{% note warning %}

Отозвать эфемерный ключ нельзя. Он автоматически перестает действовать по истечении времени жизни.

{% endnote %}

Права доступа для ключа задаются с помощью [политики доступа](../../../storage/security/policy.md), описанной в формате JSON по [специальной схеме](../../../storage/s3/api-ref/policy/scheme.md).

{% note tip %}

Если сервисному аккаунту назначены роли в Object Storage на каталог, то пользователи с временными ключами получат доступ к просмотру бакетов в этом каталоге. Рекомендуем назначать сервисному аккаунту роли на конкретные бакеты, а не на каталог.

{% endnote %}


## Формат эфемерного ключа {#ephemeral-key-format}

Эфемерные ключи состоят из трех частей:

* Идентификатор ключа.
* Секретный ключ.
* Токен сессии.

Все три части используются в запросах к AWS-совместимому API. Идентификатор ключа указывается в открытом виде. Секретным ключом подписывают параметры запроса. Токен сессии также передается в запросе для подтверждения временных учетных данных.


### Идентификатор ключа {#key-id}

Состоит из 20 символов. Символами могут быть:

* буквы латинского алфавита;
* цифры.

Пример идентификатора ключа: `abcdefg1234h********`.


### Секретный ключ {#private-key}

Состоит из 43 символов и всегда начинается с букв `YC`. Остальными символами могут быть:

* буквы латинского алфавита;
* цифры;
* символы `_` и `-`.

Пример секретного ключа: `YCabcdefg1234hi5678jk9AbCdEfG1234hI********`.


### Токен сессии {#session-token}

Токен сессии имеет переменную длину, около 285 символов, и используется для подтверждения временных учетных данных. Пример токена: `s1.9muilY...`.


#### Полезные ссылки {#see-also}

* [Управление эфемерными ключами доступа](../../operations/authentication/manage-ephemeral-keys.md)
* [Загрузка объектов в бакет Yandex Object Storage с помощью эфемерного ключа доступа](../../tutorials/ephemeral-key-storage.md)
* [Как выбрать подходящий способ аутентификации в Yandex Cloud](index.md)
* [Статические ключи доступа, совместимые с AWS API](access-key.md)
* [Security Token Service](sts.md)