Сервисные подключения SourceCraft
Сервисные подключения — это безопасный способ интеграции ваших проектов SourceCraft с ресурсами Yandex Cloud.
Сервисные подключения позволяют изнутри процессов СI/CD вашего репозитория SourceCraft получить доступ к API Yandex Cloud. Например, вы можете запросить секрет из Yandex Lockbox, загрузить файлы в бакет Yandex Object Storage, развернуть виртуальную машину в Yandex Compute Cloud и прочее.
При этом вам не требуется хранить в секретах репозитория и тем более в коде каких-либо долгоживущих токенов или ключей доступа. Аутентификация в Yandex Cloud осуществляется с помощью короткоживущего IAM-токена Yandex Identity and Access Management, который запрашивается внутри каждого конкретного задания CI/CD.
Сервисные подключения базируются на функциональности федерации сервисных аккаунтов Identity and Access Management, доступ к ресурсам Yandex Cloud осуществляется от имени сервисных аккаунтов.
Федерация сервисных аккаунтов заводится в Identity and Access Management автоматически при создании сервисного подключения.
Несколько сервисных подключений позволяют гранулярно разграничить доступ к ресурсам Yandex Cloud. Например, для разных репозиториев или веток вы можете настроить доступ к разным облакам и каталогам с сервисными аккаунтами, которым назначены различные роли. Таким образом, можно, например, разделить тестовое и production-окружение.
Подробнее см. на странице Настроить в SourceCraft сервисное подключение к Yandex Cloud.