IBM Cloud Docs
ユーザーによる API キーの作成操作の制限

ユーザーによる API キーの作成操作の制限

デフォルトでは、アカウントのすべてのメンバーが IBM Cloud® API キーを作成できます。 ただし、「API キーの作成 (API key creation)」設定を使用することによって、適切なアクセス権限を持つメンバーだけがこれらのユーザー API キーを作成できるように、その作成権限を制限できます。

アカウントに属するユーザーのログインを常に対話式に行うようにする場合、つまり、ユーザーが API キーを使用して自動的にログインできる自動化スクリプトを実行させないようにする場合は、API キーを作成する機能を制限することには意味があります。 API キーについて詳しくは、ユーザー API キーの管理を参照してください。

APIキーの作成が enterprise-managed である場合、enterprise-managed設定がより厳密でないか削除されていれば、アカウントレベルで定義された設定が適用される。

コンソールでのAPIキー作成を制限する

ユーザーによるユーザー API キーの作成操作を制限する設定をオンにするには、以下のアクセス権限が割り当てられている必要があります。

  • AdministratorIAM Identity サービスOperatorでのEditor、またはの役割が設定された IAM ポリシー。

APIキーの作成を制限する設定をオンにすると、アカウント所有者を含め、アカウント内のユーザーがAPIキーを作成するために特定のアクセスが必要になります。 API キーを作成できるユーザーを制限するには、以下の手順を使用します。

この設定を有効にしたときに影響があるのは、ユーザー API キーの作成のみです。 サービス ID の API キーには影響しません。

  1. IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「設定」**を選択します。
  2. 「アカウント」セクションで、**「API キーの作成の制限 (Restrict API key creation)」**設定を有効にします。
  3. **「はい」**をクリックして確認します。

ユーザーによる API キーの作成操作を制限する設定が有効になったので、特定のユーザーが引き続きユーザー API キーを作成できるように、必要なアクセス権限を割り当てることができます。 この明示的なアクセス権限は、アカウント所有者にも割り当てる必要があることを忘れないでください。

Terraformを使ってAPIキー作成を制限する

「API キーの作成 (API key creation)」設定をオンにした場合、そのアカウントに属するユーザー (アカウント所有者を含む) が API キーを作成するためには、特定のアクセス権限が必要です。

ユーザーによるユーザー API キーの作成操作を制限する設定をオンにするには、以下のアクセス権限が割り当てられている必要があります。

  • AdministratorIAM Identity サービスOperatorでのEditor、またはの役割が設定された IAM ポリシー。

Terraform を使用してログイン・セッションの制限を設定する前に、以下を完了していることを確認してください。

  • Terraform CLI をインストールし、Terraform 用の IBM Cloud プロバイダー・プラグインを構成します。 詳しくは、 IBM Cloud® のチュートリアルを参照してください。 このプラグインは、以下のタスクを実行するために使用される IBM Cloud API を抽象化します。
  • main.tfという名前の Terraform 構成ファイルを作成します。 このファイルでは、 HashiCorp 構成言語を使用してリソースを定義します。 詳しくは Terraformのドキュメントを参照。

API キーを作成できるユーザーを制限するには、以下の手順を使用します。

この設定を有効にしたときに影響があるのは、ユーザー API キーの作成のみです。 サービス ID の API キーには影響しません。

  1. main.tf ファイルに引数を作成します。 以下の例では、 ibm_iam_account_settings リソースと iam_account_settings_instance リソースを使用して API キーの作成設定を有効にします。

  2. プラットフォーム API キーの作成がアクセス制御されるかどうかを定義します。 サポートされる有効な値は以下のとおりです。

    • RESTRICTED-アクセス制御の適用
    • NOT_RESTRICTED-アクセス制御を除去する
    • NOT_SET-前の設定値を設定解除します。
    resource "ibm_iam_account_settings" "iam_account_settings_instance" {
    restrict_create_platform_apikey  = "RESTRICTED"
    }
    
  3. main.tf ファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。

    1. terraform plan を実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。

      terraform plan
      
    2. terraform apply を実行して、計画に定義されているリソースを作成します。

      terraform apply
      

詳しくは、Terraform の資料を参照してください。

ユーザーによる API キーの作成操作を制限する設定が有効になったので、特定のユーザーが引き続きユーザー API キーを作成できるように、必要なアクセス権限を割り当てることができます。 この明示的なアクセス権限は、アカウント所有者にも割り当てる必要があることを忘れないでください。

制限が有効になっている場合に API キーの作成権限を割り当てる

API キーの作成設定が有効になっている場合、 IAM Identity Service で User API key creator ロールが割り当てられている、アカウント所有者を含むユーザーのみが API キーを作成できる。

API キーを作成するために必要なアクセス権限をユーザーのグループに割り当てる最も迅速な方法は、アクセス・グループを作成し、そのグループに必要な役割を割り当てるという方法です。 アクセス・ポリシーの割り当てに関して詳しくは、アクセス・グループのセットアップを参照してください。