IAM トークンの制限の設定
アカウント所有者または ID サービスの管理者役割を割り当てられたユーザーは、トークンのカスタム有効期限値を設定することで、セキュリティー要件を満たすことができます。 Identity and Access Management (IAM) のアクセス・トークンとリフレッシュ・トークンは、どちらもカスタマイズしてトークンの制限を設定できます。
トークンの有効期限設定は、接続されたログイン・セッションがない場合にのみ適用されます。 詳しくは、セッションの作成日時の判別を参照してください。
開始前に
以下のアクセス権限がある場合は、トークンの有効期限の設定を更新できます。
- アカウント所有者
- すべてのアカウント管理サービスに対するオペレーター役割または管理者役割
- IAM Identity サービスに対するオペレーター役割または管理者役割
アクセス権限について詳しくは、アカウント管理サービスのアクションおよび役割を参照してください。
アクセス・トークンの有効期限の管理
IAM アクセス・トークンを使用して、さまざまな IBM Cloud API を呼び出すことができます。 これは、認証の結果である一時的な資格情報です。 取得したアクセス・トークンの有効期限が切れると、リフレッシュ・トークンを使用して新しいアクセス・トークンが取得されるため、引き続き IBM Cloud やサービス API を呼び出すことができます。
アクセス・トークンの有効期限設定を更新するには、以下のステップを実行します。
- IBM Cloud® コンソールで**「管理」** > **「アクセス (IAM)」をクリックし、「設定」**を選択します。
- 「ログイン・セッション」セクションで、「アクセス・トークン」タイルの 「編集」 アイコン
をクリックします。 - 制限時間を分単位で入力します。 アクセス・トークンは、最大 60 分間有効にすることができます。
- 保存 をクリックします。
リフレッシュ・トークンの有効期限の管理
使用可能な場合、この資格情報は、再認証なしで新しいアクセス・トークンを取得するために使用されます。 このトークンは API に送信されず、新しいアクセス・トークンを取得するためにのみ使用されます。
リフレッシュ・トークンの有効期限設定を更新するには、以下のステップを実行します。
- IBM Cloud® コンソールで**「管理」** > **「アクセス (IAM)」をクリックし、「設定」**を選択します。
- 「ログイン・セッション」セクションで、「リフレッシュ・トークン」タイルの 「編集」 アイコン をクリックします。
- 制限時間を時間単位で入力します。 リフレッシュトークンは最大72時間(3日間)有効です。
- 保存 をクリックします。
セッションの作成日時の判別
セッションは、ユーザーが IBM Cloud® CLI または IBM Cloud® コンソールにログインしたときに作成されます。 例えば、ユーザー API キーを作成し、それを IBM Cloud® CLI に使用すると、ログイン・セッションが生成されます。 ただし、同じ API キーを使用して API 呼び出しのトークンを作成した場合 (ユーザーまたはサービス ID の IAM アクセス・トークンの作成など)、セッションは生成されません。
トークンの有効期限設定は、接続されたログイン・セッションがない場合にのみ適用されます。 ログイン・セッションが作成された場合、ログイン・セッションの制限が適用されます。 以下の表を使用して、各設定が適用される条件を確認することができます。
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール |  |
|
| IBM Cloud® CLI | |
|
| API 呼び出し |
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール | |
|
| IBM Cloud® CLI | |
|
| API 呼び出し |
| ログイン・タイプ | セッション数 | リフレッシュ・トークン |
|---|---|---|
| IBM Cloud® コンソール | 該当なし | 該当なし |
| IBM Cloud® CLI | |
|
| API 呼び出し |
次のステップ
IAM アクセス・トークンの使用について詳しくは、以下のトピックを参照してください。