Configurazione di un profilo di fiducia per i componenti del cluster
È possibile utilizzare profili attendibili per controllare l'accesso alle risorse, inclusi componenti quali Block Storage, File Storage o Cloud Object Storage.
Informazioni sui profili di fiducia
Utilizzando i profili di fiducia, è possibile stabilire un modo flessibile e sicuro per gli utenti federati di accedere alle risorse di IBM Cloud nel vostro account. Tutti gli utenti federati che condividono determinati attributi definiti nella directory utenti aziendale vengono mappati su un profilo comune e possono condividere l'accesso alle risorse di IBM Cloud. Questa identità comune permette di dare ai membri dell'organizzazione che condividono i requisiti di accesso l'accesso automatico alle risorse in un'unica soluzione, invece di dover aggiungere ogni utente a un account e poi concedergli l'accesso direttamente o utilizzando i gruppi di accesso.
I vantaggi dei profili di fiducia includono:
- Eliminazione della necessità di chiavi API di lunga durata
- Concedere l'accesso alle risorse in base a una relazione di fiducia stabilita al momento della creazione del profilo di fiducia, anziché in base a chiavi API incorporate. In questo modo si riduce il rischio di credenziali compromesse o trapelate.
- Controllo degli accessi centralizzato
- Gestite le autorizzazioni attraverso un unico profilo di fiducia per semplificare il processo di concessione, revoca o verifica degli accessi.
- Autorizzazioni con ambito
- Aderire al principio del minimo privilegio creando profili con le autorizzazioni minime necessarie per completare un'attività specifica.
Requisiti minimi di accesso
Per utilizzare un profilo di fiducia per i componenti di archiviazione, è necessario un set minimo di criteri di accesso.
Requisiti minimi per tutti i componenti di archiviazione
Creare una relazione di fiducia con la seguente configurazione. Queste autorizzazioni sono necessarie per i cluster VPC.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Fatturazione | Editor | Consente di visualizzare e gestire i dati di fatturazione, come l'utilizzo, i costi e i rapporti. Utile per il monitoraggio automatico dei costi o per le operazioni che tengono conto del budget. |
| Servizio Kubernetes | Amministratore | Consente ai cluster Kubernetes di interagire con le risorse di archiviazione. |
| Servizio di infrastruttura VPC | Scrittore, redattore, restauratore di account remoti istantanei | Consente il provisioning e la gestione delle risorse di storage. |
| Gruppo di risorse | Visualizzatore | Specificare il gruppo di risorse a cui è applicato il profilo di fiducia. Per le operazioni su più gruppi di risorse, è necessario specificare tutti i gruppi di risorse interessati. Si noti che se si sta creando una classe di archiviazione personalizzata con il gruppo di risorse, è necessario assegnare anche l'accesso Viewer al profilo di fiducia per il gruppo di risorse. |
Inoltre, se si intende utilizzare l'infrastruttura Classic, è necessario abilitare le autorizzazioni Add/Upgrade Storage (Storage Layer) e Storage Manage. Per abilitare queste autorizzazioni, navigare nella dashboard Profilo attendibile dell'interfaccia utente e selezionare il profilo attendibile pertinente. Fare clic su Infrastruttura classica, quindi espandere le opzioni sotto Vendite e dispositivi per trovare l'autorizzazione.
Requisiti minimi per i singoli componenti dell'archivio
VPC Block Storage
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Servizio Kubernetes | Operatore | Consente ai cluster Kubernetes di interagire con le risorse di archiviazione a blocchi. |
| Servizio di infrastruttura VPC | Scrittore, redattore, restauratore di account remoti istantanei | Consente il provisioning, la gestione e le operazioni di cross snapshot per le risorse di storage a blocchi. |
| Gruppo di risorse | Visualizzatore | Specificare il gruppo di risorse a cui è applicato il profilo di fiducia. Per le operazioni su più gruppi di risorse, è necessario specificare tutti i gruppi di risorse interessati. Si noti che se si sta creando una classe di archiviazione personalizzata con il gruppo di risorse, è necessario assegnare anche l'accesso Viewer al profilo di fiducia per il gruppo di risorse. |
Classic Block Storage
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Aggiungete le autorizzazioni nella tabella seguente. Per abilitare queste autorizzazioni, è necessario utilizzare l'interfaccia utente. Passare alla dashboard Profilo attendibile nell'interfaccia utente e selezionare il profilo attendibile pertinente. Fare clic su Infrastruttura classica, quindi espandere le opzioni per trovare le autorizzazioni.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
Devices |
Gestione storage | Consente di collegare, scollegare e configurare l'archiviazione a blocchi classica sui dispositivi. |
Sales |
Aggiungere/aggiornare lo storage (livello di storage) | Concede l'autorizzazione a ordinare, aggiornare o modificare le offerte di archiviazione Classic tramite le API di vendita. |
Tipo di servizio di calcolo nella scheda delle risorse di calcolo invece di Risorse di calcolo
Archiviazione dei file VPC
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Servizio Kubernetes | Operatore | Consente ai cluster Kubernetes di interagire con le risorse di archiviazione dei file. |
| Servizio di infrastruttura VPC | Scrittore, redattore | Consente il provisioning e la gestione delle risorse di archiviazione dei file. |
| Gruppo di risorse | Visualizzatore | Specificare il gruppo di risorse a cui è applicato il profilo di fiducia. Per le operazioni su più gruppi di risorse, è necessario specificare tutti i gruppi di risorse interessati. Si noti che se si sta creando una classe di archiviazione personalizzata con il gruppo di risorse, è necessario assegnare anche l'accesso Viewer al profilo di fiducia per il gruppo di risorse. |
Classic File Storage
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Aggiungete le autorizzazioni nella tabella seguente. Per abilitare queste autorizzazioni, è necessario utilizzare l'interfaccia utente. Passare alla dashboard Profilo attendibile nell'interfaccia utente e selezionare il profilo attendibile pertinente. Fare clic su Infrastruttura classica, quindi espandere le opzioni per trovare le autorizzazioni.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
Devices |
Gestione storage | Consente di collegare, scollegare e configurare l'archiviazione a blocchi classica sui dispositivi. |
Sales |
Aggiungere/aggiornare lo storage (livello di storage) | Concede l'autorizzazione a ordinare, aggiornare o modificare le offerte di archiviazione Classic tramite le API di vendita. |
Cluster autoscaler
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Servizio Kubernetes | Amministratore | Consente ai cluster Kubernetes di interagire con i componenti dell'autoscaler. |
Object Storage
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Servizio Kubernetes | Lettore, visualizzatore | Consente ai cluster Kubernetes di interagire con il plug-in COS. |
| Servizio di infrastruttura VPC | Lettore, visualizzatore | Abilita la comunicazione con VPC per ottenere chiamate API. |
| Gruppo di risorse | Visualizzatore | Specificare il gruppo di risorse a cui è applicato il profilo di fiducia. Per le operazioni su più gruppi di risorse, è necessario specificare tutti i gruppi di risorse interessati. |
Agente di fatturazione ODF
Creare una relazione di fiducia con la seguente configurazione.
- Tipo di servizio di calcolo (si trova nella scheda Risorse di calcolo dell'interfaccia utente):
KubernetesRed Hat OpenShift
- Spazio dei nomi affidabile:
kube-system.
Creare i criteri di accesso con le autorizzazioni indicate nella tabella seguente.
| Nome servizio | Autorizzazione necessaria | Descrizione |
|---|---|---|
| Fatturazione | Editor | Servizio di fatturazione. Consente di visualizzare e gestire i dati di fatturazione, come l'utilizzo, i costi e i rapporti. Utile per il monitoraggio automatico dei costi o per le operazioni che tengono conto del budget. |
| Servizio Kubernetes | Editor | Consente ai cluster Kubernetes di interagire con lo storage a blocchi. |
| Servizio di infrastruttura VPC | Redattore, scrittore | Consente il provisioning e la gestione delle risorse di storage. |
| Gruppo di risorse | Visualizzatore | Specificare il gruppo di risorse a cui è applicato il profilo di fiducia. Per le operazioni su più gruppi di risorse, è necessario specificare tutti i gruppi di risorse interessati. |
Impostare un profilo di fiducia nella CLI
Seguire la procedura per creare e impostare un profilo di fiducia nella CLI.
Una volta aggiunto un profilo di fiducia a un cluster, non è possibile rimuoverlo e non si può riprendere a usare una chiave API per le risorse. Seguite attentamente questi passaggi per assicurarvi che il vostro profilo di fiducia sia impostato correttamente.
-
Accedi alla CLI di IBM Cloud.
ibmcloud login --apikey <API_KEY> -g <RESOURCE_GROUP> -
Eseguire il comando per creare un profilo di fiducia. Per un elenco completo delle opzioni dei comandi, consultare la documentazione di IAM CLI.
ibmcloud iam trusted-profile-create NAME --description "Identity for storage" -
Collegare una regola per l'utilizzo dell'ambito allo spazio dei nomi
kube‑system. Per un elenco completo delle opzioni dei comandi, consultare la documentazione di IAM CLI.ibmcloud iam trusted-profile-rule-create --name NAME --type Profile-CR --cr-type IKS_SA --conditions claim:namespace,operator:EQUALS,value:kube-system -
Per i cluster VPC: Creare e assegnare i criteri di accesso al profilo di fiducia. Questo esempio assegna le autorizzazioni minime richieste per tutti i componenti dello storage. Per un elenco delle autorizzazioni necessarie solo per i singoli componenti, vedere Requisiti minimi per i singoli componenti di archiviazione. Specificare il nome o l'ID del profilo attendibile a cui si desidera assegnare il criterio. Per un elenco completo delle opzioni dei comandi, consultare la documentazione di IAM CLI. Questo passaggio non si applica ai cluster classici. Aggiungere le politiche per il servizio Infrastruttura VPC.
ibmcloud iam trusted-profile-policy-create NAME|ID --roles Editor,Writer --service-name isAggiungere le politiche per il servizio di fatturazione.
ibmcloud iam trusted-profile-policy-create NAME|ID --roles Editor --service-name billingAggiungere i criteri per il servizio Kubernetes.
ibmcloud iam trusted-profile-policy-create NAME|ID --roles Administrator --service-name "containers-kubernetes"Aggiungere i criteri per il gruppo di risorse pertinente a cui è applicato il profilo di fiducia. Specificare il gruppo di risorse a cui è applicato il profilo di fiducia.
ibmcloud iam trusted-profile-policy-create NAME|ID --roles Operator --resource-type "resource-group" --resource "my-resource-group" -
Per i cluster classici: Eseguire il comando per aggiungere le autorizzazioni minime richieste al profilo di fiducia. Specificare l'ID utente creato per il profilo di fiducia.
ibmcloud ks sl user permission-edit TRUSTED_PROFILE_ID --permission NAS_MANAGE,ADD_SERVICE_STORAGE -
Dopo aver creato il profilo di fiducia e assegnato i criteri di accesso richiesti, impostare il profilo di fiducia per il cluster o il gruppo di risorse in cui si trovano i cluster. L'impostazione del profilo di fiducia viene applicata ai componenti di archiviazione.
Impostazione di un profilo di fiducia con l'interfaccia utente
Seguire la procedura per creare e impostare un profilo di fiducia nella CLI.
Una volta aggiunto un profilo di fiducia a un cluster, non è possibile rimuoverlo e non si può riprendere a usare una chiave API per le risorse. Seguite attentamente questi passaggi per assicurarvi che il vostro profilo di fiducia sia impostato correttamente.
-
Accedere all'account IBM Cloud e navigare nella pagina Profili attendibili.
-
Creare un profilo di fiducia.
-
Creare un rapporto di fiducia con il servizio IBM Cloud Kubernetes Service.
- Nella sezione Selezionare il tipo di entità attendibile, fare clic su Risorse di calcolo.
- In Crea relazione di fiducia, scegliere Kubernetes.
- Seleziona tutte le risorse di servizio. Quindi aggiungere una condizione per consentire l'accesso quando Namespace è uguale a
kube-system.- Nota: è invece possibile scegliere risorse specifiche presenti nel proprio account.
-
Fai clic su Crea.
-
Solo VPC. Aggiungere i criteri di accesso al profilo di fiducia.
- Dalla pagina Profili attendibili, fare clic sul profilo attendibile appena creato.
- Dalla scheda Accesso, clicca su Assegna accesso.
- Nella sezione Come si desidera assegnare l'accesso?, fare clic su Criteri di accesso.
- Aggiungere i servizi e i ruoli per soddisfare i requisiti minimi dei componenti pertinenti. Applicare il criterio a tutte le risorse.
-
Solo classico. Aggiungere le autorizzazioni al profilo di fiducia.
- Dalla pagina Profili attendibili, fare clic sul profilo attendibile appena creato.
- Passa alla scheda Infrastruttura classica.
- Nell'elenco a discesa delle autorizzazioni, selezionare le autorizzazioni necessarie per soddisfare i requisiti minimi dei componenti pertinenti.
Impostare un profilo di fiducia con l'API
-
Creare un profilo di fiducia.
curl --request POST \ --url https://iam.cloud.ibm.com/v1/profiles \ --header 'Content-Type: application/json' \ --data '{ "name":"<PROFILE_NAME>", "account_id":"<ACCOUNT_ID>" }' -
Collegare una regola per l'utilizzo dell'ambito allo spazio dei nomi
kube‑system.curl --request POST \ --url https://iam.cloud.ibm.com/v1/profiles/<PROFILE_NAME>/rules \ --header 'Content-Type: application/json' \ --data '{ "type": "Profile-CR", "cr_type":"IKS_SA", "conditions": [ { "claim": "namespace", "operator": "EQUALS", "value": "\"kube-system\"" } ] }' -
Per i cluster VPC: Collegare i criteri di accesso ai componenti VPC. Questi esempi assegnano le autorizzazioni minime richieste per tutti i componenti dello storage.
curl --request POST \ --url https://iam.cloud.ibm.com/v1/policies \ --header 'Content-Type: application/json' \ --data '{ "type": "access", "description": "Writer, Operator role for VPC infrastructure services", "subjects": [ { "attributes": [ { "name": "iam_id", "value": "<IAM_PROFILE>" } ] } ], "roles": [ { "role_id": "crn:v1:bluemix:public:iam::::serviceRole:Writer" }, { "role_id": "crn:v1:bluemix:public:iam::::role:Editor" } ], "resources": [ { "attributes": [ { "name": "accountId", "value": "<ACCOUNT_ID>" }, { "name": "serviceName", "value": "is" } ] } ] }'curl --request POST \ --url https://iam.cloud.ibm.com/v1/policies \ --header 'Content-Type: application/json' \ --data '{ "type": "access", "description": "Editor role for billing services", "subjects": [ { "attributes": [ { "name": "iam_id", "value": "<IAM_PROFILE>" } ] } ], "roles": [ { "role_id": "crn:v1:bluemix:public:iam::::role:Editor" } ], "resources": [ { "attributes": [ { "name": "accountId", "value": "<ACCOUNT_ID>" }, { "name": "serviceName", "value": "billing" } ] } ] }'curl --request POST \ --url https://iam.cloud.ibm.com/v1/policies \ --header 'Content-Type: application/json' \ --data '{ "type": "access", "description": "Administrator role for containers-kubernetes services", "subjects": [ { "attributes": [ { "name": "iam_id", "value": "<IAM_PROFILE>" } ] } ], "roles": [ { "role_id": "crn:v1:bluemix:public:iam::::role:Administrator" } ], "resources": [ { "attributes": [ { "name": "accountId", "value": "<ACCOUNT_ID>" }, { "name": "serviceName", "value": "containers-kubernetes" } ] } ] }'curl --request POST \ --url https://iam.cloud.ibm.com/v1/policies \ --header 'Content-Type: application/json' \ --data '{ "type": "access", "subjects": [ { "attributes": [ { "name": "iam_id", "value": "<IAM_PROFILE>" } ] } ], "roles": [ { "role_id": "crn:v1:bluemix:public:iam::::role:Operator" } ], "resources": [ { "attributes": [ { "name": "accountId", "value": "<ACCOUNT_ID>" }, { "name": "resource", "value": "<RESOURCE_GROUP_ID>" }, { "name": "resourceType", "value": "resource-group" }, ] } ] } -
Per i cluster classici: Aggiungere le autorizzazioni al profilo di fiducia utilizzando l'interfaccia utente.
- Accedere all'account IBM Cloud e navigare nella pagina Profili attendibili.
- Fare clic sul profilo di fiducia appena creato.
- Passa alla scheda Infrastruttura classica.
- Nell'elenco a discesa delle autorizzazioni, selezionare le autorizzazioni necessarie per soddisfare i requisiti minimi dei componenti pertinenti.
Impostazione del profilo di fiducia per un cluster o un gruppo di risorse
Quando si imposta un profilo di fiducia per il cluster, questo si applica ai componenti di storage. È possibile impostare un profilo di fiducia per un singolo cluster o per un gruppo di risorse.
Una volta aggiunto un profilo di fiducia a un cluster, non è possibile rimuoverlo e non si può riprendere a usare una chiave API per le risorse. Seguite attentamente questi passaggi per assicurarvi che il vostro profilo di fiducia sia impostato correttamente.
-
Assicuratevi di aver creato un profilo affidabile che soddisfi i requisiti minimi per i componenti di archiviazione.
-
Assegnare il profilo di fiducia al proprio cluster o al gruppo di risorse in cui si trova il cluster. Se si assegna un profilo di fiducia a un gruppo di risorse, questo si applica a tutti i cluster del gruppo di risorse.
Per assegnare un profilo di fiducia a un cluster.
ibmcloud ks experimental trusted-profile set --trusted-profile PROFILE --cluster CLUSTER [--output OUTPUT] [-q]--cluster CLUSTER- L'ID del cluster su cui impostare il profilo di fiducia. Per ottenere l'ID del cluster, eseguire
ibmcloud ks cluster get. --trusted-profile PROFILE- L'ID del profilo di fiducia. Per ottenere l'ID del profilo attendibile, eseguire
ibmcloud iam trusted-profiles. --output OUTPUT- Stampare l'output del comando nel formato fornito. Valori accettati: json
-q- Non visualizza il messaggio dei promemoria di aggiornamento o del giorno.
Per assegnare un profilo di fiducia a un gruppo di risorse.
ibmcloud ks experimental trusted-profile default set --region REGION --resource-group GROUP --trusted-profile PROFILE [--output OUTPUT] [-q]--region REGION- La regione in cui si trova il gruppo di risorse. Per ottenere i dettagli di un gruppo di risorse, eseguire
ibmcloud resource group. --resource-group GROUP- L'ID del gruppo di risorse su cui impostare il profilo di fiducia. Per elencare i gruppi di risorse, eseguire
ibmcloud resource groups. --trusted-profile PROFILE- L'ID del profilo di fiducia. Per ottenere l'ID del profilo attendibile, eseguire
ibmcloud iam trusted-profiles. --output OUTPUT- Stampare l'output del comando nel formato fornito. Valori accettati:
json. -q- Non visualizza il messaggio dei promemoria di aggiornamento o del giorno.
-
Verificare che il profilo di fiducia sia stato aggiunto al cluster.
ibmcloud ks experimental trusted-profile get --cluster CLUSTEROutput di esempio.
Fetching trusted-profile for the cluster... OK Cluster a1bc2de45fgh6ijklmn7op is configured with trusted-profile Profile-a12bc34-1111-1111-1234-a123bc456
Limitazioni e considerazioni
Prima di utilizzare i profili di fiducia, esaminare le seguenti limitazioni e considerazioni.
- Passaggio irreversibile al profilo di fiducia
- Una volta configurato un profilo di fiducia a livello di cluster o di gruppo di risorse, il ritorno all'uso di una chiave API non è supportato. Seguire attentamente i passaggi per assicurarsi che il profilo di fiducia sia configurato correttamente.
- L'ambito di verifica è limitato allo spazio dei nomi
kube-system. - La convalida della fiducia dei profili affidabili è attualmente limitata allo spazio dei nomi
kube-systemper i cluster Kubernetes e Red Hat OpenShift. Gli utenti che sperimentano altre funzioni o configurazioni del profilo di fiducia al di fuori di questo ambito potrebbero riscontrare problemi. - Tag utente per volumi VPC Block Storage
- A causa di un problema noto, gli aggiornamenti dei tag utente sui volumi VPC Block Storage potrebbero non essere visualizzati quando viene implementato un profilo di fiducia.