コンテキスト・ベースの制約事項 CLI プラグイン
IBM Cloud® コンテキストベースの制限コマンドラインインターフェイス (CLI) は、コンテキストベースの制限のための追加機能を提供します。 この CLI プラグインを使用して、アクセス要求のネットワーク・ロケーションに基づいて IBM Cloud® リソースのアクセス制限を管理できます。
開始前に
- IBM Cloud CLI をインストールします。 詳しくは、IBM Cloud CLI の概要を参照してください。 IBM Cloud CLI を使用してコマンドを実行するための接頭部は、
ibmcloudです。 - コマンドを実行する前に、
ibmcloud loginコマンドで IBM Cloud にログインし、アクセス・トークンを生成してセッションを認証してください。
コンテキストベース制限プラグインのインストール
コンテキストベースの制限プラグインをインストールするには、次のコマンドを実行します
ibmcloud plugin install cbr
コマンドラインでは、 ibmcloud CLI および cbr CLI プラグインのアップデートが利用可能になると通知されます。 使用可能なすべてのコマンドおよびフラグを使用できるように、CLI を最新の状態に保つようにしてください。
cbr CLI プラグインの現在のバージョンを確認するには、 ibmcloud plugin list を実行してください。
ゾーン
ネットワーク・ゾーンでの操作。
ibmcloud cbr zone-create
この操作により、指定されたアカウントのネットワーク・ゾーンが作成されます。
ibmcloud cbr zone-create [--name NAME] [--description DESCRIPTION] [--addresses ADDRESSES] [--vpc VPC] [--service-ref SERVICEREF] [--excluded EXCLUDED] [--empty-address-list] [--file FILE]
例
ibmcloud cbr zone-create --name example-zone --description "Example zone description" --addresses 192.0.2.1,3ffe:1900:fe21:4545::,192.2.3.5-192.2.3.10,3ffe:1900:fe21:4547::-3ffe:1900:fe21:6767:
ibmcloud cbr zone-create --name example-zone-with-service-ref --service-ref service_name=kms,location=us-south
ibmcloud cbr zone-create --name example-zone-with-vpc --vpc crn:v1:staging:public:is:us-south:a/12ab34cd56ef78ab90cd12ef34ab56cd::vpc:r123-abc456de-f789-abc1-23de-f456abc789ab
出力例
id 9adc34f2867a43452a517b3c2de78b95
crn crn:v1:bluemix:public:cbr:global:a/0123456789::zone:9adc34f2867a43452a517b3c2de78b95
address_count 7
excluded_count 0
name test
account_id 0123456789
description
Addresses 1 IP Address, 1 IP Range, 1 Subnet, 2 VPCs, 2 Service References
Excluded No addresses
href https://cbr.cloud.ibm.com/v1/zones/9adc34f2867a43452a517b3c2de78b95
created_at 2024-03-06T22:20:25.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-06T22:20:25.000Z
last_modified_by_id iam-ServiceId-0123456789
コマンド・オプション
--name(文字列)- ゾーンの名前。
--description(文字列)- ゾーンの説明。
--addresses(文字列)- ゾーン内のアドレスのリスト。 カンマ区切りのフォーマットで許可されるのは、
ipAddress、ipRange、subnetのタイプのアドレスのみです。 IPv4 および IPv6 がサポートされます。 --service-ref(文字列)- サービス参照はゾーン内にあります。
service_name=VALUE,service_name=VALUE,...の形式で入力します。 - 使用可能なサービス参照のリストを見つけるには、
ibmcloud cbr service-ref-targetsコマンド を実行します。 --vpc(文字列)- ゾーンで許可されている VPC。
value,value,...の形式で入力します。 --excluded(文字列)- ゾーン内の除外アドレスのリスト。 カンマ区切りのフォーマットで許可されるのは、
ipAddress、ipRange、subnetのタイプのアドレスのみです。 --empty-address-list(bool)- ゾーンがアドレスを持たないことを明示的に指定する。
addresses、service-ref、vpc、excludedのフラグと併用することはできない。 --file(文字列)- 提供されたファイルは、ゾーンを作成するために使用されます。 このフラグは固有であり、他のフラグと一緒に使用することはできません。 このファイルは、ゾーン作成 API の JSON スキーマに従う必要があります。 詳しくは、 コンテキスト・ベースの制限 APIを参照してください。
ibmcloud cbr zones
この操作は、指定されたアカウント内のネットワーク・ゾーンをリストします。
ibmcloud cbr zones [--name NAME] [--sort SORT]
例
ibmcloud cbr zones
出力例
id name address_count excluded_count
9adc34f2867a43452a517b3c2de78b95 test 7 0
12ab34cd56ef78ab90cd12ef34ab56cd example 2 0
コマンド・オプション
--name(文字列)- ゾーンの名前。
--sort(文字列)- 有効なソート・フィールドを使用して結果をソートします。 詳しくは、 ソート を参照してください。
ibmcloud cbr zone
この操作は、指定されたゾーン ID で識別されるネットワーク・ゾーンを取得します。
ibmcloud cbr zone ZONE-ID
例
ibmcloud cbr zone 9adc34f2867a43452a517b3c2de78b95
出力例
id 9adc34f2867a43452a517b3c2de78b95
crn crn:v1:bluemix:public:cbr:global:a/0123456789::zone:9adc34f2867a43452a517b3c2de78b95
address_count 7
excluded_count 0
name test
account_id 0123456789
description
Addresses 1 IP Address, 1 IP Range, 1 Subnet, 2 VPCs, 2 Service References
Excluded No addresses
href https://cbr.cloud.ibm.com/v1/zones/9adc34f2867a43452a517b3c2de78b95
created_at 2024-03-06T22:20:25.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-06T22:20:25.000Z
last_modified_by_id iam-ServiceId-0123456789
ibmcloud cbr zone-update
この操作は、指定されたゾーン ID で識別されるネットワーク・ゾーンを置き換えます。 部分的な更新はサポートされておらず、ネットワーク・ゾーン・オブジェクト全体が置き換えられます。
ibmcloud cbr zone-update ZONE-ID [--name NAME] [--description DESCRIPTION] [--addresses ADDRESSES] [--vpc VPC] [--service-ref SERVICEREF] [--excluded EXCLUDED] [--empty-address-list] [--file FILE]
例
ibmcloud cbr zone-update 9adc34f2867a43452a517b3c2de78b95 --name 'Example Zone Name' --addresses 166.22.23.0-166.22.23.108,3ffe:1900:fe21:4545:: --excluded 166.22.23.100
ibmcloud cbr zone-update 9adc34f2867a43452a517b3c2de78b95 --name example-zone-with-service-ref --service-ref service_name=kms,location=us-south
ibmcloud cbr zone-update 9adc34f2867a43452a517b3c2de78b95 --name example-zone-with-vpc --vpc crn:v1:staging:public:is:us-south:a/12ab34cd56ef78ab90cd12ef34ab56cd::vpc:r123-abc456de-f789-abc1-23de-f456abc789ab
出力例
id 9adc34f2867a43452a517b3c2de78b95
crn crn:v1:bluemix:public:cbr:global:a/0123456789::zone:9adc34f2867a43452a517b3c2de78b95
address_count 7
excluded_count 0
name test update
account_id 0123456789
description
Addresses 1 IP Address, 1 IP Range, 1 Subnet, 2 VPCs, 2 Service References
Excluded No addresses
href https://cbr.cloud.ibm.com/v1/zones/9adc34f2867a43452a517b3c2de78b95
created_at 2024-03-06T22:20:25.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-06T22:29:19.000Z
last_modified_by_id iam-ServiceId-0123456789
コマンド・オプション
--name(文字列)- ゾーンの名前。
--description(文字列)- ゾーンの説明。
--addresses(文字列)- ゾーン内のアドレスのリスト。 カンマ区切りのフォーマットで許可されるのは、
ipAddress、ipRange、subnetのタイプのアドレスのみです。 IPv4 および IPv6 がサポートされます。 --service-ref(文字列)- サービス参照はゾーン内にあります。
name=value,name=value,...の形式で入力します。 --vpc(文字列)- ゾーンで許可されている VPC。
value,value,...の形式で入力します。 --excluded(文字列)- ゾーン内の除外アドレスのリスト。 カンマ区切りのフォーマットで許可されるのは、
ipAddress、ipRange、subnetのタイプのアドレスのみです。 --empty-address-list(bool)- ゾーンがアドレスを持たないことを明示的に指定する。
addresses、service-ref、vpc、excludedのフラグと併用することはできない。 --file(文字列)- 提供されたファイルは、ゾーンを更新するために使用されます。 このフラグは固有であり、他のフラグと一緒に使用することはできません。 このファイルは、ゾーン更新 API の JSON スキーマに従う必要があります。 詳しくは、 コンテキスト・ベースの制限 APIを参照してください。
ibmcloud cbr zone-patch
この操作は、指定されたゾーンIDで識別されるネットワークゾーンの 部分更新を実行する。
ibmcloud cbr zone-patch ZONE-ID [--name NAME] [--description DESCRIPTION]
例
ibmcloud cbr zone-patch 9adc34f2867a43452a517b3c2de78b95 --name 'Example Zone Name' --description updated
出力例
id 9adc34f2867a43452a517b3c2de78b95
crn crn:v1:bluemix:public:cbr:global:a/0123456789::zone:9adc34f2867a43452a517b3c2de78b95
address_count 7
excluded_count 0
name test update
account_id 0123456789
description updated
Addresses 1 IP Address, 1 IP Range, 1 Subnet, 2 VPCs, 2 Service References
Excluded No addresses
href https://cbr.cloud.ibm.com/v1/zones/9adc34f2867a43452a517b3c2de78b95
created_at 2024-03-06T22:20:25.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-06T22:29:19.000Z
last_modified_by_id iam-ServiceId-0123456789
コマンド・オプション
--name(文字列)- ゾーンの名前。
--description(文字列)- ゾーンの説明。
ibmcloud cbr zone-delete
この操作は、指定されたゾーン ID で識別されるネットワーク・ゾーンを削除します。
ibmcloud cbr zone-delete ZONE-ID
例
ibmcloud cbr zone-delete 65810ac762004f22ac19f8f8edf70a34
ibmcloud cbr service-ref-targets
この操作は、使用可能なすべてのサービス参照ターゲットをリストします。
ibmcloud cbr service-ref-targets [--type TYPE]
例
ibmcloud cbr service-ref-targets
出力例
service_name service_type locations
ace - -
apprapp - na, us, dal
apprapp-dev - na, us, dal
cloud-object-storage - na, us, sjc
cloudantnosqldb - ap, au, syd, +27
codeengine - ap, au, syd, +6
compliance platform_service na, us, dal, +1
containers-kubernetes - na, us, dal
directlink - -
event-notifications - na, us, dal
globalcatalog-collection - -
iam-groups platform_service -
is - eu, es, mad, +4
kms - -
logdna - ap, au, syd, +17
logdnaat - ap, au, syd, +17
messagehub - eu, uk, lon, +3
messagehub-vnext-integration - eu, uk, lon, +3
schematics - eu, de, fra, +6
secrets-manager - -
server-protect - eu, es, mad, +4
sysdig-monitor - eu, uk, lon, +3
sysdig-secure - eu, uk, lon, +3
toolchain - ap, au, syd, +6
user-management platform_service -
コマンド・オプション
--type(文字列)- 取得するサービスのタイプを指定します。 デフォルト値は
allです。 許容値は、all、platform_serviceです。
ibmcloud cbr service-ref-target
この操作は、指定されたサービス名のサービス参照ターゲットを取得します。
ibmcloud cbr service-ref-target SERVICE-NAME
例
ibmcloud cbr service-ref-target compliance
出力例
Service Name compliance
Service Type: platform_service
Locations:
Name Display Name Kind
na North America geography
us United States country
dal Dallas metro
wdc Washington DC metro
Rules
コンテキスト・ベースの制限ルールに対する操作。
ibmcloud cbr rule-create
この操作により、指定されたアカウントのルールが作成されます。
ibmcloud cbr rule-create [--description DESCRIPTION] [--resource-attributes RESOURCES] [--context-attributes CONTEXTS] [--api-types API-TYPES] [--enforcement-mode ENFORCEMENT-MODE] [--service-name SERVICE-NAME] [--service-group-id SERVICE-GROUP-ID] [--service-instance SERVICE-INSTANCE] [--region REGION] [--resource-type RESOURCE-TYPE] [--resource RESOURCE] [--resource-group-id RESOURCE-GROUP-ID] [--tags TAGS] [--zone-id ZONE-ID] [--empty-context-list] [--file FILE]
例
ibmcloud cbr rule-create --description 'Example Rule Description' --service-name kms --context-attributes endpointType=private --zone-id 93de8d3f588ab2c457ff576c364d1145
ibmcloud cbr rule-create --service-name example-service --context-attributes mfa=LEVEL2,endpointType=public,networkZoneId=12ab34cd56ef78ab90cd12ef34ab56cd
出力例
id 2c54cb0fefb0050c88f72d68c400fbec
crn crn:v1:bluemix:public:cbr:global:a/0123456789::rule:2c54cb0fefb0050c88f72d68c400fbec
description test
operations 1 API Type
contexts 1 Context
resources
serviceInstance 1234567891234
serviceName cloud-object-storage
href https://cbr.cloud.ibm.com/v1/rules/2c54cb0fefb0050c88f72d68c400fbec
created_at 2024-03-07T15:36:52.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-07T15:36:52.000Z
last_modified_by_id iam-ServiceId-0123456789
enforcement_mode enabled
コマンド・オプション
--description(文字列)- ルールの説明。
--resource-attributes(文字列)- この規則が適用されるリソース属性 (
name=value,name=value,...の形式)。 --context-attributes(文字列)- このルールが適用されるコンテキスト属性 (
name=value,name=value,...の形式)。 --api-types(文字列)- ルールが適用されるAPI。 サポートされているサービスAPIタイプについては、リソース上で
api-types。 --enforcement-mode(文字列)- ルールの適用方法。 CLI は、値
enabled(デフォルト)、disabled、およびreportを受け入れます。 エンフォースメントの詳細については、 規則エンフォースメント を参照のこと。 --service-name(文字列)- IBM Cloud リソース属性
serviceNameを作成するための省略表現。 --service-group-id(文字列)service_group_idリソース属性。--service-instance(文字列)- サービス・インスタンスの GUID。 このオプションは --fileと排他的です。
--region(文字列)- IBM Cloud リソース属性
regionを作成するための省略表現。 サポート対象地域については、ibmcloud regionsを実行してください。 --resource-type(文字列)- IBM Cloud リソース属性
resourceTypeを作成するための省略表現。 --resource(文字列)- IBM Cloud リソース属性
resourceを作成するための省略表現。 --resource-group-id(文字列)- IBM Cloud リソース属性
resourceGroupIdを作成するための省略表現。 --tags(文字列)- リソースのアクセス・タグ (
name:value,name:value,...の形式)。 --zone-id(文字列)- 最初のコンテキストにコンテキスト属性
networkZoneIdを追加するための省略表現。 --empty-context-list(bool)- ルールがコンテキストを持たないことを明示的に指定する。 これは、
context-attributesまたはzone-idフラグと併用することはできない。 --file(文字列)- 提供されたファイルは、ルールの作成に使用されます。 このフラグは固有であり、他のフラグと一緒に使用することはできません。 このファイルは、ルール作成 API の JSON スキーマに従う必要があります。 詳しくは、 コンテキスト・ベースの制限 APIを参照してください。
ibmcloud cbr rules
この操作は、指定されたアカウント内のルールをリストします。
ibmcloud cbr rules [--enforcement-mode ENFORCEMENT-MODE] [--service-name SERVICE-NAME] [--service-group-id SERVICE-GROUP-ID] [--service-instance SERVICE-INSTANCE] [--region REGION] [--resource-type RESOURCE-TYPE] [--resource RESOURCE] [--zone-id ZONE-ID] [--sort SORT]
例
ibmcloud cbr rules
出力例
id service_name enforcement description
2c54cb0fefb0050c88f72d68c400fbec cloud-object-storage enabled test
a4135a90bb507bf6d96cf4c6f009d151 kms disabled example
コマンド・オプション
--enforcement-mode(文字列)- ルールの適用方法。 CLI は、値
enabled(デフォルト)、disabled、およびreportを受け入れます。 エンフォースメントの詳細については、 規則エンフォースメント を参照のこと。 --region(文字列)regionリソース属性。--resource(文字列)resourceリソース属性。--resource-type(文字列)resourceTypeリソース属性。--service-instance(文字列)- サービスインスタンスのGUID。
--service-name(文字列)serviceNameリソース属性。--service-group-id(文字列)service_group_idリソース属性。--zone-id(文字列)- ゾーンのグローバルに一意なID。
--sort(文字列)- 有効なソート・フィールドを使用して結果をソートします。 詳しくは、 ソート を参照してください。
ibmcloud cbr rule
この操作は、指定されたルール ID で識別されるルールを取得します。
ibmcloud cbr rule RULE-ID
例
ibmcloud cbr rule 30fd58c9b75f40e854b89c432318b4a2
出力例
id 2c54cb0fefb0050c88f72d68c400fbec
crn crn:v1:bluemix:public:cbr:global:a/0123456789::rule:2c54cb0fefb0050c88f72d68c400fbec
description test
operations 1 API Type
contexts 1 Context
resources
serviceInstance 1234567891234
serviceName cloud-object-storage
href https://cbr.cloud.ibm.com/v1/rules/2c54cb0fefb0050c88f72d68c400fbec
created_at 2024-03-07T15:36:52.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-07T15:36:52.000Z
last_modified_by_id iam-ServiceId-0123456789
enforcement_mode enabled
ibmcloud cbr rule-update
この操作は、指定されたルール ID で識別されるルールを置き換えます。 部分的な更新はサポートされておらず、ルール・オブジェクト全体が置き換えられます。
ibmcloud cbr rule-update RULE-ID [--description DESCRIPTION] [--resource-attributes RESOURCES] [--context-attributes CONTEXTS] [--api-types API-TYPES] [--enforcement-mode ENFORCEMENT-MODE] [--service-name SERVICE-NAME] [--service-instance SERVICE-INSTANCE] [--region REGION] [--resource-type RESOURCE-TYPE] [--resource RESOURCE] [--resource-group-id RESOURCE-GROUP-ID] [--tags TAGS] [--zone-id ZONE-ID] [--empty-context-list] [--file FILE]
例
ibmcloud cbr rule-update 30fd58c9b75f40e854b89c432318b4a2 --description 'Example rule description' --service-name kms --context-attributes endpointType=private --zone-id 93de8d3f588ab2c457ff576c364d1145
出力例
id 2c54cb0fefb0050c88f72d68c400fbec
crn crn:v1:bluemix:public:cbr:global:a/0123456789::rule:2c54cb0fefb0050c88f72d68c400fbec
description updated
operations 1 API Type
contexts 1 Context
resources
serviceInstance 1234567891234
serviceName cloud-object-storage
href https://cbr.cloud.ibm.com/v1/rules/2c54cb0fefb0050c88f72d68c400fbec
created_at 2024-03-07T15:36:52.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-07T15:41:18.000Z
last_modified_by_id iam-ServiceId-0123456789
enforcement_mode enabled
コマンド・オプション
--description(文字列)- ルールの説明。
--resource-attributes(文字列)- この規則が適用されるリソース属性 (
name=value,name=value,...の形式)。 --context-attributes(文字列)- このルールが適用されるコンテキスト属性 (
name=value,name=value,...の形式)。 --api-types(文字列)- ルールが適用されるAPI。 サポートされているサービスAPIタイプについては、リソース上で
api-types。 --enforcement-mode(文字列)- ルールの適用方法。 CLI は、値
enabled(デフォルト)、disabled、およびreportを受け入れます。 エンフォースメントの詳細については、 規則エンフォースメント を参照のこと。 --service-name(文字列)- IBM Cloud リソース属性
serviceNameを作成するための省略表現。 --service-group-id(文字列)service_group_idリソース属性。--service-instance(文字列)- サービス・インスタンスの GUID。 このオプションは --fileと排他的です。
--region(文字列)- IBM Cloud リソース属性
regionを作成するための省略表現。 サポート対象地域については、ibmcloud regionsを実行してください。 --resource-type(文字列)- IBM Cloud リソース属性
resourceTypeを作成するための省略表現。 --resource(文字列)- IBM Cloud リソース属性
resourceを作成するための省略表現。 --resource-group-id(文字列)- IBM Cloud リソース属性
resourceGroupIdを作成するための省略表現。 --tags(文字列)- リソースのアクセス・タグ (
name:value,name:value,...の形式)。 --zone-id(文字列)- 最初のコンテキストにコンテキスト属性
networkZoneIdを追加するための省略表現。 --empty-context-list(bool)- ルールがコンテキストを持たないことを明示的に指定する。 これは、
context-attributesまたはzone-idフラグと併用することはできない。 --file(文字列)- 添付ファイルは、ルールを更新するために使用されます。 このフラグは固有であり、他のフラグと一緒に使用することはできません。 ファイルは、ルール更新API用のJSONスキーマに従う必要があります。 詳しくは、 コンテキスト・ベースの制限 APIを参照してください。
- 提供されたファイルは、ルールの作成に使用されます。 このフラグは固有であり、他のフラグと一緒に使用することはできません。 このファイルは、ルール作成 API の JSON スキーマに従う必要があります。 詳しくは、 コンテキスト・ベースの制限 APIを参照してください。
ibmcloud cbr rule-patch
この操作は、指定されたルールIDで識別されるルールの部分更新を実行する。
ibmcloud cbr rule-patch RULE-ID [--description DESCRIPTION] [--enforcement-mode ENFORCEMENT-MODE]
例
ibmcloud cbr rule-patch 30fd58c9b75f40e854b89c432318b4a2 --description 'Example rule description' --enforcement-mode disabled
出力例
id 2c54cb0fefb0050c88f72d68c400fbec
crn crn:v1:bluemix:public:cbr:global:a/0123456789::rule:2c54cb0fefb0050c88f72d68c400fbec
description updated
operations 1 API Type
contexts 1 Context
resources
serviceInstance 1234567891234
serviceName cloud-object-storage
href https://cbr.cloud.ibm.com/v1/rules/2c54cb0fefb0050c88f72d68c400fbec
created_at 2024-03-07T15:36:52.000Z
created_by_id iam-ServiceId-0123456789
last_modified_at 2024-03-07T15:41:18.000Z
last_modified_by_id iam-ServiceId-0123456789
enforcement_mode enabled
コマンド・オプション
--description(文字列)- ルールの説明。
--enforcement-mode(文字列)- ルールの適用方法。 CLI は、値
enabled(デフォルト)、disabled、およびreportを受け入れます。 エンフォースメントの詳細については、 規則エンフォースメント を参照のこと。
ibmcloud cbr rule-delete
この操作は、指定されたルール ID で識別されるルールを削除します。
ibmcloud cbr rule-delete RULE-ID
例
ibmcloud cbr rule-delete 30fd58c9b75f40e854b89c432318b4a2