IBM Cloud CLI 使用時の接続の保護
IBM Cloud® コマンド・ライン・インターフェースを使用している状況でデータに対する制御とセキュリティーを向上させるには、IBM Cloud エンドポイントへの接続にプライベート経路を使用するという方法があります。 インターネットからは、プライベート・ルートにアクセスすることも到達することもできません。 IBM Cloud のプライベート・エンドポイント機能を使用することで、パブリック・ネットワークの脅威からデータを保護し、プライベート・ネットワークを論理的に拡張できます。
CLI は、IBM Cloud プラットフォームによって提供されているプライベート・エンドポイントのサポートを使用します。 IAM などのコア CLI で使用されているプラットフォーム・サービスは、プライベート・エンドポイントのサポートを提供しています。
デプロイメントで IBM Cloudの VPC 環境を使用する場合、プライベート・エンドポイントはグローバル・エンドポイントを介して公開されます。 デプロイメントでクラシック環境を使用する場合は、限られた数の CLI コマンドに対して地域サポートが提供されます。 以下の地域では、クラシック環境でプライベート・エンドポイントをサポートします:
us-southus-east
Virtual Routing and Forwarding の有効化
まず、アカウントでバーチャル・ルーティングとフォワーディングを有効にし、IBM Cloud プライベート・サービス・エンドポイントの使用を有効にします。 プライベート接続オプションをサポートするためにアカウントをセットアップする方法について詳しくは、VRF エンドポイントおよびサービス・エンドポイントの有効化を参照してください。
IBM Cloud でのプライベート接続について詳しくは、サービス・エンドポイントを使用したサービスへの安全なアクセスを参照してください。
プライベート・エンドポイントを使用した CLI へのログイン
クラシックまたは VPC のいずれかのプライベート・エンドポイントにログインできます。 クラシック・インフラストラクチャーを使用してログインするには、以下のコマンドでCLI を使用してプライベート・エンドポイントに ログイン します:
ibmcloud login -a private.cloud.ibm.com
VPC インフラストラクチャーを使用して ログインするには、コマンドに --vpc フラグを追加します:
ibmcloud login -a private.cloud.ibm.com --vpc
サポートされる地域をターゲットにする(クラシック使用の場合は必須)
クラシック環境でデプロイメントにプライベート・エンドポイントを使用するには、 IBM Cloud CLI でプライベート・エンドポイントが設定されているときに、地域をターゲットにする必要があります。
サポートされる地域を ターゲット するには、以下のコマンドを使用します:
ibmcloud target -r [region]
プライベート・エンドポイント・ゲートウェイの作成(VPCの利用には必須)
VPC 環境での展開にプライベート・エンドポイントを使用するには、仮想プライベート・エンドポイント・ゲートウェイを作成する必要があります。 詳しくは、仮想プライベート・エンドポイント・ゲートウェイについてを参照してください。
仮想プライベート・エンドポイント・ゲートウェイを介して構成可能なすべての IBM Cloud サービスのリストは、 VPE サポート対象サービスにあります。
プライベート・エンドポイントに対して基本的な CLI 機能を確保するには、以下のサービスを組み込むようにゲートウェイを構成する必要があります:
- アカウント管理:エンドポイントURL
(https://private.accounts.cloud.ibm.com) - Cloud Object Storage (
directを使用): エンドポイント URL - Identity and Access Management: エンドポイント URL
- グローバル・カタログ:エンドポイント URL
- グローバル検索:エンドポイント URL
- グローバル・タグ付け:エンドポイント URL
- 使用量計量:エンドポイント URL
- エンタープライズ管理:エンドポイント URL
- リソース・コントローラー:エンドポイント URL
- ユーザー管理:エンドポイント URL
プライベート・エンドポイントをサポートする CLI プラグインの判別
ibmcloud plugin list コマンドは、インストールされている CLI プラグインがプライベートエンドポイントをサポートしているかどうかを報告します。 その報告で、使用するプラグインでプライベート・エンドポイントがサポートされていることが示されない場合は、API でそのプラグインをパブリック・エンドポイント
cloud.ibm.com に設定して引き続き使用する必要があります。
プライベート接続を介した CLI プラグインのインストール
プライベート接続を介してプラグインをインストールするように CLI を構成するには、CLI の API をセットアップする必要があります。 ログイン手順 に従って API をセットアップし、必要に応じて VPC を指定します。
プライベート・エンドポイントをサポートするコマンドの判別
以下のコマンドは、プライベート・エンドポイントをサポートしています。
apilogintargetlogout
以下の名前空間にあるコマンドのほとんどは、プライベート・エンドポイントを使用している場合に実行可能です。
accountbillingiamresourcecatalog
CLI がプライベート・エンドポイントにアクセスするように設定されている場合に、まだプライベート・エンドポイントをサポートしていないコマンドやプラグインを実行しようとすると、エラーが表示される可能性があります。
以下のコア・コマンドは、まだプライベート・エンドポイントをサポートしていません。
account
billing
org-usage
catalog
template-run
sl
all commands
app (deprecated)
all commands
service (deprecated)
all commands