クラスター資格情報の設定
IBM Cloud Kubernetes Service は、 API キー を使用して、クラスターで使用するインフラストラクチャー・ポートフォリオおよびその他のサービスにアクセスします。 このAPIキーは、インフラや他のサービスに対するアカウントのユーザーの認証情報を保存します。 IBM Cloud Kubernetes Service、新しいワーカーノードや IBM Cloud インフラのVLANなど、サービスのリソースを注文するためにAPIキーを使用します。
デフォルトでは、アカウント所有者の資格情報は API キーに保管されます。 ただし、クラスタ リソースをアカウント所有者などの特定のユーザーに結びつけることを避けるには、個人ユーザーの代わりに functional ID を使用することを検討してください。 アカウント所有者が組織を離れたり、アカウントから削除されたりした場合、機能的IDは、他のユーザーがアカウントへのアクセスを失うのを防ぎ、アカウント所有者が去った後に利用できなくなる可能性のある特定の認証情報を必要とするサービスやコマンドの中断を防ぐ。
アカウントからユーザーを削除する必要がありますか? APIキーをリセットしてください。 ユーザー資格情報と権限の削除 を参照してください。
クラスター API キーのリセット
クラスターで使用される API キーをリセットするには、以下の手順を実行します。 API キーがリセットされると、そのリージョンおよびリソース・グループに使用されていた以前の API キー (存在する場合) は廃止されます。 その後、API キーのリストから古い API キーを削除できます。
クラスターで Block Storage for VPC またはクラスター自動スケーリング機能のアドオンを使用する場合は、API キーをリセットした後にアドオン・ポッドを再作成する必要があります。 詳しくは、 Block Storage for VPC の PVC の作成が API キーのリセット後に失敗する と、 API キーのリセット後に自動スケーリングが失敗する を参照してください。
このコマンドを実行するユーザーまたは機能 ID に、他のサービスまたは統合に必要な権限を含む 必要な権限 があることを確認してください。 API キーを設定するリソース・グループと地域をターゲットに指定します。 api-key reset
コマンドを実行したユーザーは、指定された地域の対象リソースグループに関連付けられている
API キーを置き換えます。 そのユーザーに十分な権限がない場合、指定された地域のリソースグループに属する他のユーザーが影響を受ける可能性があります。
-
アカウント所有者として、 IBM Cloudに 機能 ID を招待 します。
-
クラスターで使用する資格情報を持つ機能 ID またはユーザーとしてログインします。
ibmcloud login
-
クラスタが属するリソース・グループを対象とする。
リソース・グループをターゲットに指定しないと、API キーはデフォルトのリソース・グループに対して設定されます。 使用可能なリソース・グループをリストするには、
ibmcloud resource groups
を実行します。ibmcloud target -g <resource_group_name>
-
API キーをリセットします。
ibmcloud ks api-key reset --region <region>
-
API キーがセットアップされたことを確認します。
ibmcloud ks api-key info --cluster <cluster_name_or_ID>
-
クラスター API キーをリセットするリージョンおよびリソース・グループごとに、これらのステップを繰り返します。
ユーザー認証情報と権限の削除
人員の変更など、特定のシナリオでは、組織はアカウントからユーザー資格情報と権限を削除する必要があるかもしれません。 ユーザーがアカウントから削除されたときに、特定のユーザー認証情報を必要とするプロセスが中断されないようにするには、別のユーザーのインフラストラクチャ認証情報でAPIキーをリセットする必要があります。 詳細については、ユーザーの削除 を参照してください。