在 Code Engine 中使用受信任的配置文件访问 IBM Cloud 服务
您可以配置 Code Engine 组件(应用程序、作业或功能),以便使用 IAM 受信任配置文件授权 Code Engine 组件和访问 IBM Cloud® 服务,而无需管理单独的凭据。 受信任的配置文件不需要存储和管理秘密凭证。 无需维护或证书轮换。
在启用应用程序、任务或功能访问 IBM Cloud 服务以使用受信任配置文件之前,您需要一个 IBM Cloud® Identity and Access Management (IAM) 受信任配置文件。 在 IAM 中创建信任配置文件,将 Code Engine 组件作为计算资源加以信任,并授予对目标服务的访问权限。 请参阅 IAM 文档 创建您的受信任配置文件。
然后,Code Engine 应用程序、作业或功能需要访问计算资源令牌,以便识别自己的身份并验证为 Code Engine 组件的 IAM。 该令牌可对 Code Engine 组件允许通信的服务进行验证。 受托配置文件可控制 Code Engine 组件可与之通信的特定服务。
您可以通过 Code Engine 控制台或 CLI 启用 Code Engine,向应用程序、任务或功能提供此令牌,以便在 Code Engine 中提供全面的可信配置文件支持。
使用控制台配置 Code Engine 以支持受信任配置文件
以下步骤说明了如何定位现有的 Code Engine 应用程序、任务或功能,然后启用可信配置文件支持。 创建新应用程序、工作或功能时,可以使用可选设置 > 服务访问部分,在创建过程中启用受信任的配置文件。
配置 Code Engine 应用程序以使用受信任的配置文件
- 从 Code Engine 控制台的项目页面选择项目。
- 单击项目名称,打开“概览”页面。
- 单击应用程序,打开应用程序列表。 单击应用程序名称,打开其应用程序页面。
- 单击服务访问 > 受信任的配置文件。
- 将启用受信任的配置文件选项设置为已启用。 启用此应用程序的受信任配置文件后,Code Engine 会提供一个令牌,应用程序的代码可使用该令牌按项目或应用程序名称匹配受信任配置文件。
- 使您的应用程序代码能够验证受信任的配置文件。
配置 Code Engine 作业以使用受信任的配置文件
- 从 Code Engine 控制台的项目页面选择项目。
- 单击项目名称,打开“概览”页面。
- 单击“工作”打开工作列表。 单击工作名称,打开工作页面。
- 单击服务访问 > 受信任的配置文件。
- 将启用受信任的配置文件选项设置为已启用。 启用此任务的受信任配置文件时,Code Engine 会提供一个令牌,任务代码可使用该令牌按项目或任务名称匹配受信任配置文件。
- 启用工作代码以验证受信任的配置文件。
配置 Code Engine 功能以使用受信任的配置文件
- 从 Code Engine 控制台的项目页面选择项目。
- 单击项目名称,打开“概览”页面。
- 单击功能打开功能列表。 点击功能名称,打开功能页面。
- 单击服务访问 > 受信任的配置文件。
- 将启用受信任的配置文件选项设置为已启用。 为受信任的配置文件启用该功能后,Code Engine 将提供一个令牌,函数代码可使用该令牌按项目或函数名称匹配受信任的配置文件。
- 启用功能代码以验证受信任的配置文件。
使用 CLI 配置 Code Engine 以支持受信任配置文件
配置 Code Engine 应用程序以使用受信任的配置文件
-
选择 Code Engine 项目。 例如:
ibmcloud ce project select --name myproject -
启用可信配置文件支持:
-
默认情况下,创建新的 Code Engine 应用程序时,不会启用可信配置文件支持。 要在创建新应用程序时启用受信任的配置文件支持,请使用
trusted-profiles-enabled=true设置。 例如:ibmcloud ce app create --name myapp --image icr.io/codeengine/hello --trusted-profiles-enabled=true -
如果您有一个现有应用程序,并希望为其启用可信配置文件支持,请使用
trusted-profiles-enabled=true设置进行更新。 例如:ibmcloud ce app update --name myapp --trusted-profiles-enabled=true如果需要,以后可以通过
trusted-profiles-enabled=false设置更新应用程序来禁用对可信配置文件的支持。
-
配置 Code Engine 作业以使用受信任的配置文件
-
选择 Code Engine 项目。 例如:
ibmcloud ce project select --name myproject -
启用可信配置文件支持:
-
默认情况下,创建新的 Code Engine 作业时,不会启用受信任的配置文件支持。 要在创建新作业时启用受信任的配置文件支持,请使用
trusted-profiles-enabled=true设置。 例如:ibmcloud ce job create --name myjob --image icr.io/codeengine/helloworld --trusted-profiles-enabled=true -
如果您有一个现有作业,并希望为其启用受信任的配置文件支持,请使用
trusted-profiles-enabled=true设置对其进行更新。 例如:ibmcloud ce job update --name myjob --trusted-profiles-enabled=true如果需要,以后可以使用
trusted-profiles-enabled=false设置更新任务,从而禁用对可信配置文件的支持。
-
配置 Code Engine 功能以使用受信任的配置文件
-
选择 Code Engine 项目。 例如:
ibmcloud ce project select --name myproject -
启用可信配置文件支持:
-
默认情况下,创建新的 Code Engine 功能时,不会启用可信配置文件支持。 要在创建新功能时启用受信任配置文件支持,请使用
trusted-profiles-enabled=true设置。 例如:ibmcloud ce fn create --name myhellofun --inline-code main.js --runtime nodejs --trusted-profiles-enabled=true -
如果您有一个现有功能,并希望为其启用受信任配置文件支持,请使用
trusted-profiles-enabled=true设置对其进行更新。 例如:ibmcloud ce fn update --name myhellofun --trusted-profiles-enabled=true如果需要,以后可以通过更新
trusted-profiles-enabled=false设置来禁用受信任配置文件支持功能。
-