Inicio de sesión como una identidad de recurso de cálculo de instancia de servidor virtual
Puede utilizar un perfil de confianza para configurar una autorización precisa para las aplicaciones que se ejecutan en recursos de cálculo. Como resultado, no es necesario crear ID de servicio ni claves de API para los recursos de cálculo. La CLI de IBM Cloud admite el inicio de sesión y la autenticación en IBM Cloud mediante una instancia de servidor virtual (VSI) de IBM Cloud para el recurso informático VPC.
Para obtener más información sobre la gestión de perfiles de confianza y el establecimiento de confianza con recursos de cálculo, consulte Establecimiento de confianza con recursos de cálculo.
Utilización de la CLI para iniciar sesión
Para utilizar la instancia de servidor virtual de la CLI de IBM Cloud para la característica de inicio de sesión de identidad de recurso de cálculo de VPC, debe habilitar el servicio de metadatos de instancia para el servicio de VPC en la VSI y enlazar la instancia a un perfil de confianza. Para obtener más información sobre cómo habilitar el servicio de metadatos de instancia, consulte Acerca de los metadatos de instancia para VPC. Una vez habilitado y vinculado el VSI a un perfil de confianza, la CLI puede utilizar el Servicio de token de identidad de instancia para adquirir un token web JSON e intercambiarlo por un token de IAM.
Algunos mandatos de la CLI de IBM Cloud Kubernetes Service no están soportados actualmente cuando se inicia sesión como un recurso de cálculo de VPC, incluido ibmcloud ks cluster config.
Iniciar sesión con la CLI
Cuando utilice la opción VPC VSI para iniciar sesión, puede especificar opcionalmente el parámetro de perfil de confianza para entrar en el inicio de sesión. Si se proporciona, la CLI utiliza este perfil de confianza para autenticarse en IBM Cloud. En caso contrario, se utiliza el perfil de confianza vinculado por defecto de la VSI que se vincula durante el aprovisionamiento de instancias.
Puede iniciar sesión como recurso informático VSI utilizando la CLI de cualquiera de las siguientes formas:
-
Proporcione un perfil de confianza por parámetro:
- Especifique la opción
--vpc-cricon el mandatoibmcloud login. - Especifique la opción
--profilecon el mandatoibmcloud loginy proporcione el ID o CRN del perfil de IAM de confianza al que está enlazada la instancia.
ibmcloud login --vpc-cri --profile <profile_id_or_crn_string> - Especifique la opción
-
Proporcione un perfil de confianza utilizando la variable de entorno
IBMCLOUD_CR_PROFILE.Puede proporcionar un perfil de confianza estableciendo la variable de entorno en el sistema. Por ejemplo, establezca
IBMCLOUD_CR_PROFILE=profile_id_or_crn, dondeprofile_id_or_crnes el ID o CRN del perfil de confianza de IAM al que está enlazada la VSI. Después de establecer la variable de entorno, simplemente puede especificaribmcloud login --vpc-cridesde la CLI. -
Utilice el perfil de confianza enlazado predeterminado de la instancia del servicio virtual:
- Especifique la opción
--vpc-cricon el mandatoibmcloud login.
ibmcloud login --vpc-cri - Especifique la opción
Si su servicio de metadatos de instancia de VPC está configurado para acceso seguro, anule el valor predeterminado URL para el servicio antes de iniciar sesión estableciendo la variable de entorno
IBMCLOUD_CR_VPC_URL=https://api.metadata.cloud.ibm.com.
Si desea iniciar sesión como recurso informático de VSI utilizando puntos finales privados para VPC, también debe proporcionar el indicador --vpc y establecer el punto final de la API en private.cloud.ibm.com. En
el ejemplo, el perfil de confianza se ha proporcionado configurando la variable de entorno IBMCLOUD_CR_PROFILE=profile_id_or_crn:
ibmcloud login --vpc-cri --vpc -a private.cloud.ibm.com
Para obtener más información sobre el inicio de sesión en la CLI con un punto final privado, consulte Inicio de sesión en la CLI con un punto final privado. Para obtener información sobre cómo configurar una conexión de VPC para usar un punto final de API privado, consulte Configuración de una puerta de enlace de punto final privado(necesario para el uso de VPC).
La sesión de inicio de sesión resultante es válida durante 60 minutos.