管理计算资源中应用程序的访问权

本教程将指导您完成以下步骤: 集中管理计算资源中运行的所有应用程序的细颗粒度授权，而不创建服务标识或管理应用程序的 API 密钥生命周期。通过完成本教程，您将了解如何创建可信概要文件，根据特定属性与计算资源建立信任，以及定义策略以分配对资源的访问权。

通过使用可信概要文件，可以为在计算资源上运行的应用程序建立一种灵活，安全的方法来访问其他 IBM Cloud® 资源。共享特定属性 (例如，名称，名称空间，标记或位置) 的所有计算资源实例都映射到公共概要文件，并且可以共享对 IBM Cloud 资源的访问权。这种公共身份使各种计算资源中的应用程序可以一次性访问外部资源，而不是逐个集群地访问。

必须在 Kubernetes 集群上启用 服务帐户令牌卷投影 以应用可信概要文件身份。有关更多信息，请参阅使用 IAM 可信概要文件授权集群中的 pod 使用 IBM Cloud 服务

假设您是计划在 IBM Cloud® Kubernetes Service 集群上运行新聊天机器人应用程序的团队项目的主要开发者。您希望应用程序有权访问启用 IAM 的服务，但不将凭证存储在代码中。您的经理已授予您帐户中的管理员访问权，以创建可信概要文件，并授予运行时环境对构建聊天机器人应用程序所需的资源的访问权。

准备工作

本教程可能会发生成本。使用“成本估算器”根据您的预计使用量生成成本估算。
确保您拥有以下访问权限：
- 帐户中用于创建可信概要文件的管理员角色
- 对要向其分配访问权的特定资源的管理员角色
创建运行 IBM Cloud Kubernetes Service V 1.21 或更高版本的集群。有关创建群集的信息，请参阅开始使用 IBM Cloud Kubernetes Service。

创建可信概要文件

首先，创建可信概要文件:

转至 IBM Cloud 控制台中的管理 > 访问权 (IAM)，然后选择 可信概要文件。
单击创建个人资料。
将概要文件命名为 Chatbot Project。
在描述中，列出要分配给概要文件的访问级别。这可帮助您从可信概要文件列表中快速识别不同的概要文件。则在此例中：
1. 写入者
2. 管理者
单击继续。

请确保您的概要文件名称简短且便于阅读。对于计算资源，需要概要文件的名称来获取计算资源令牌，因此简单的名称更容易让开发者在程序中使用。

建立与 Kubernetes 集群的信任

现在，您已创建可信概要文件，想要使用为项目创建的 Kubernetes 集群建立信任:

对于信任实体类型，请选择 计算资源。
对于计算服务，请从列表中选择 Kubernetes。
选择 特定资源 以建立与一个或多个现有计算资源实例的信任。
单击添加另一个资源。
选择您为此教程创建的集群。
输入 namespace 和 service account 字段的值。

您输入的 Kubernetes 名称空间和服务帐户名称不必存在。任何将来具有这些名称的名称空间或服务帐户都可以建立信任。要列出现有名称空间，请登录到集群并运行 kubectl get ns。要列出现有服务帐户，请登录到集群并运行 kubectl get sa -n <namespace>。您还可以为这两者输入 default。
单击继续。

分配对其他 IBM Cloud 服务的访问权

现在，您可以创建访问策略，以授予计算资源实例对团队聊天机器人项目所需的其他 IBM Cloud 服务的访问权。

选择 访问策略。
从服务列表中选择 Watson Assistant。确保您对要在此 profile.Click 下一步。
根据所选属性确定对 特定资源 的访问范围。
选择 服务实例 并输入服务实例名称以授予对特定实例的许可权。单击下一步。
选择“写程序”和“管理者”角色以定义访问权范围，然后单击复审。
单击添加以将策略配置添加到策略摘要。
单击分配。

后续步骤

要了解有关使用 Kubernetes 群集建立信任的更多信息，请参阅在 Kubernetes 和 OpenShift 群集中使用受信任配置文件。要了解如何在 VPC 虚拟服务器实例中使用受信任配置文件，请参阅 Introducing Trusted Profiles for VPC Virtual Server Instances。

现在，您已了解了如何创建可信概要文件的基本知识，可以继续使用其他计算资源来建立信任。有关更多信息，请参阅更新可信概要文件。

您还可以使用 Activity Tracker 来监视哪些联合用户和计算资源应用可信概要文件。有关更多信息，请参阅监视可信概要文件的登录会话。