[Документация Yandex Cloud](../../index.md) > [Yandex Object Storage](../index.md) > [Управление доступом](overview.md) > Эфемерные ключи

# Эфемерные ключи доступа, совместимые с AWS API

Эфемерные ключи доступа — это временные учетные данные для аутентификации [аккаунтов на Яндексе](../../iam/concepts/users/accounts.md#passport), [федеративных аккаунтов](../../iam/concepts/users/accounts.md#saml-federation), [локальных пользователей](../../iam/concepts/users/accounts.md#local) и [сервисных аккаунтов](../../iam/concepts/users/service-accounts.md).

{% note info %}

Создание эфемерных ключей доступа для сервисных аккаунтов может быть запрещено [политиками авторизации](../../iam/concepts/access-control/access-policies.md) на уровне [каталога](../../resource-manager/concepts/resources-hierarchy.md#folder), [облака](../../resource-manager/concepts/resources-hierarchy.md#cloud) или [организации](../../organization/concepts/organization.md).

{% endnote %}

Эфемерные ключи доступа в качестве способа аутентификации поддерживаются только в сервисе [Yandex Object Storage](../index.md).

Вы можете [создать](../../iam/operations/authentication/manage-ephemeral-keys.md#create) эфемерный ключ для текущего пользователя или для сервисного аккаунта, к которому у вас есть доступ.

Эфемерные ключи выпускаются на основании [IAM-токена](../../iam/concepts/authorization/iam-token.md) текущей сессии. Время жизни ключа — от 15 минут до 12 часов. Если время жизни не указано при создании, то оно ограничено сроком действия IAM-токена.

{% note warning %}

Отозвать эфемерный ключ нельзя. Он автоматически перестает действовать по истечении времени жизни.

{% endnote %}

Права доступа для ключа задаются с помощью [политики доступа](policy.md), описанной в формате JSON по [специальной схеме](../s3/api-ref/policy/scheme.md).

{% note tip %}

Если сервисному аккаунту назначены роли в Object Storage на каталог, то пользователи с временными ключами получат доступ к просмотру бакетов в этом каталоге. Рекомендуем назначать сервисному аккаунту роли на конкретные бакеты, а не на каталог.

{% endnote %}


## Формат эфемерного ключа {#ephemeral-key-format}

Эфемерные ключи состоят из трех частей:

* Идентификатор ключа.
* Секретный ключ.
* Токен сессии.

Все три части используются в запросах к AWS-совместимому API. Идентификатор ключа указывается в открытом виде. Секретным ключом подписывают параметры запроса. Токен сессии также передается в запросе для подтверждения временных учетных данных.


### Идентификатор ключа {#key-id}

Состоит из 20 символов. Символами могут быть:

* буквы латинского алфавита;
* цифры.

Пример идентификатора ключа: `abcdefg1234h********`.


### Секретный ключ {#private-key}

Состоит из 43 символов и всегда начинается с букв `YC`. Остальными символами могут быть:

* буквы латинского алфавита;
* цифры;
* символы `_` и `-`.

Пример секретного ключа: `YCabcdefg1234hi5678jk9AbCdEfG1234hI********`.


### Токен сессии {#session-token}

Токен сессии имеет переменную длину, около 285 символов, и используется для подтверждения временных учетных данных. Пример токена: `s1.9muilY...`.


#### Полезные ссылки {#see-also}

* [Обзор способов управления доступом в Object Storage](overview.md)
* [Security Token Service](sts.md)
* [Доступ к бакету с помощью эфемерного ключа доступа](../operations/buckets/manage-ephemeral-keys.md)