使用基于上下文的限制保护Code Engine资源

基于上下文的限制使账户所有者和管理员能够根据访问请求的上下文定义和执行对IBM Cloud®资源的访问限制。 对IBM Cloud® Code Engine资源的访问可通过基于上下文的限制以及身份和访问管理策略进行控制。

这些限制与基于身份的传统 IAM 策略配合使用，可提供额外的保护层。 与 IAM 策略不同，基于上下文的限制不会分配访问权限。 基于上下文的限制会检查访问请求是否来自您配置的允许上下文。 由于 IAM 访问和基于上下文的限制都会强制执行访问，因此即使凭证被泄露或管理不善，基于上下文的限制也能提供保护。 更多信息，请参阅 什么是基于上下文的限制。

您必须在服务上拥有 "Administrator 角色，才能创建、更新或删除规则。 此外，您必须拥有“Editor 或”Administrator 角色才能创建、更新或删除网络区域。

使用基于上下文的限制和专用端点保护 Code Engine 资源时，除了限制谁可以管理 Code Engine 资源（如部署或更新应用程序和机密）外，还可以 限制连接到应用程序或功能的入站流量。

生成的任何“IBM Cloud Activity Tracker或审计日志事件都来自基于上下文的限制服务，而不是”Code Engine。 有关详细信息，请参阅 监控基于上下文的限制。

要开始使用基于上下文的限制来保护Code Engine资源，请参阅 创建基于上下文的限制。

基于上下文的Code Engine限制可针对位置（区域）、项目或资源组。 您还可以限制从Code Engine 访问哪些服务。