IBM Cloud Docs
Perguntas mais frequentes sobre autenticar-se com o IBM Cloudant

Perguntas mais frequentes sobre autenticar-se com o IBM Cloudant

IBM Cloud® Identity and Access Management (IAM) combina o gerenciamento de identidades de usuários, serviços e controle de acesso em uma abordagem. O IBM® Cloudant® for IBM Cloud® integra-se ao IBM Cloud Identity and Access Management.

Qual é a diferença entre os controles de acesso anteriores e do IAM do IBM Cloudant?

IBM Cloud IAM

  • Gerenciamento de acesso gerenciado centralmente em IBM Cloud.
  • Permite que um usuário ou serviço acesse muitos recursos diferentes usando o mesmo conjunto de credenciais (por exemplo, o mesmo nome do usuário e senha ou chave de API do IAM).
  • As chaves da API do IAM podem ter acesso concedido a funções de gerenciamento de contas, como criar novos bancos de dados.

IBM Cloudant anterior

  • Exclusivo para IBM Cloudant.
  • O acesso a cada instância de serviço requer seu próprio conjunto de credenciais.
  • Usa a autenticação básica HTTP com credenciais que não estejam ligadas a um usuário ou serviço individual.

Por que o modo Usar apenas o IAM é o preferencial?

O modo Usar apenas o IAM significa que apenas as credenciais do IAM são fornecidas por meio da ligação de serviços e da geração de credencial. Você ganha as vantagens a seguir quando usa o IBM Cloud IAM:

  • Gerenciamento do acesso ao IBM Cloudant com o conjunto de ferramentas padrão da IBM Cloud.
  • O uso de credenciais que podem ser revogadas e alternadas facilmente ao usar o IBM Cloud IAM.

Para obter mais informações sobre as vantagens e desvantagens entre esses modos, consulte Vantagens e desvantagens dos dois mecanismos de controle de acesso.

Como posso criar uma instância usando a linha de comandos?

Ao criar uma nova instância do IBM Cloudant a partir da linha de comandos, deve-se incluir a ferramenta ibmcloud usando o parâmetro -p. Esse parâmetro ativa ou desativa credenciais anteriores para uma conta transmitindo a opção no formato JSON. A opção é chamada de legacyCredentials.

Para criar uma instância como Usar apenas o IAM, execute o comando a seguir:

ibmcloud resource service-instance-create  "Instance Name" \
    cloudantnosqldb Standard us-south \
    -p '{"legacyCredentials": false}'

Se você não usar o modo Usar apenas o IAM com as funções de Leitor e Gravador do IAM, poderá ocorrer a concessão de credenciais anteriores aos usuários com mais permissões de acesso do que o desejado.

Como posso gerar credenciais de serviço?

É possível gerar credenciais de serviço na interface principal do IAM do IBM Cloud. Quando você seleciona Usar somente o IAM, as credenciais de serviço incluem apenas os valores do IAM. O JSON de credencial de serviço é semelhante ao exemplo a seguir:

{
  "apikey": "MxVp86XHkU82Wc97tdvDF8qM8B0Xdit2RqR1mGfVXPWz",
  "host": "2922d728-27c0-4c7f-aa80-1e59fbeb04d0-bluemix.cloudant.com",
  "iam_apikey_description": "Auto generated apikey during resource-key [...]",
  "iam_apikey_name": "auto-generated-apikey-050d21b5-5f[...]",
  "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
  "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::[...]",
  "url": "https://76838001-b883-444d-90d0-46f89e942a15-bluemix.cloudant.com",
  "username": "76838001-b883-444d-90d0-46f89e942a15-bluemix"
}

Os valores para o exemplo anterior estão descritos na lista a seguir:

apikey
Chave de API do IAM.
host
O DNS que resolve nomes de domínio com seus endereços IP correspondentes.
iam_apikey_description
Descrição da chave de API do IAM.
iam_apikey_name
ID da chave de API do IAM.
iam_role_crn
A função do IAM que a chave de API do IAM possui.
iam_serviceid_crn
O CRN do ID de serviço.
url
URL de serviço do IBM Cloudant.
username
O nome da conta interna do IBM Cloudant.

Para obter mais informações, consulte Chaves de API do IBM Cloud e Usar somente IAM.

Como girar minhas credenciais?

Na maioria dos casos, girar credenciais é um processo simples:

  1. Gerar uma credencial de serviço de substituição. Para obter mais informações, consulte Como é possível gerar credenciais de serviço?

  2. Substitua a credencial atual pela credencial recém-gerada.

  3. Exclua a credencial de serviço não mais usada.

No entanto, ao girar as credenciais para uma replicação, se você estiver usando credenciais legadas no documento de replicação, a replicação começará do início. Para garantir que as mudanças cheguem em tempo hábil, recomendamos que você crie uma nova replicação assim que ela eliminar a replicação anterior e a credencial de serviço associada. O processo é descrito nas seguintes etapas:

  1. Gerar uma credencial de serviço de substituição. Para obter mais informações, consulte Como é possível gerar credenciais de serviço?

  2. Crie uma replicação com as mesmas configurações, mas novas credenciais.

  3. Monitore a nova replicação usando Tarefas Ativasou _scheduler/jobs.

  4. Uma vez que o campo changes_pending para a nova replicação é um valor devidamente baixo para os seus requisitos, a replicação que usa as credenciais anteriores pode ser excluída.

  5. Exclua a credencial de serviço não mais usada.

As replicações que usam chaves de API do IAM podem ser atualizadas para usar uma nova chave de API diretamente, sem atrasar as mudanças que estão sendo replicadas.