使用基于上下文的限制保护资源
基于上下文的限制使帐户所有者和管理员能够根据访问请求的上下文来定义和实施 IBM Cloud® 资源的访问限制。 可以使用基于上下文的限制以及身份和访问管理策略来控制对 Direct Link 资源的访问。
这些限制适用于基于身份的传统 IAM 策略,以提供额外的保护层。 与 IAM 策略不同,基于上下文的限制不会分配访问权。 基于上下文的限制检查访问请求是否来自您配置的允许上下文。 由于 IAM 访问权和基于上下文的限制都强制实施访问权,因此基于上下文的限制即使在凭证已泄露或管理不当的情况下也会提供保护。 有关更多信息,请参阅 什么是基于上下文的限制。
用户必须在 Direct Link 服务上具有管理员角色才能创建,更新或删除规则。 用户必须对基于上下文的限制服务具有“编辑者”或“管理员”角色才能创建,更新或删除网络区域。
生成的任何 IBM Cloud Activity Tracker 或审核日志事件都来自基于上下文的限制服务,而不是 Direct Link。 有关更多信息,请参阅 监视基于上下文的限制。
要使用基于上下文的限制来保护您的 Direct Link,请参阅 利用基于上下文的限制来保护您的资源 的教程。
限制
基于上下文的限制仅保护与 Direct Link API 相关联的操作。 与以下平台 API 相关的操作不受基于上下文的限制的保护。 请参考 API 文档以获取特定操作标识。
- 资源实例 API
- 资源键 API
- 资源绑定 API
- 资源别名 API
- IAM 策略 API
- 全局搜索 API
- 全局标记 连接 和 拆离 API
- 基于上下文的限制规则 API
创建规则
Direct Link 服务的基于上下文的限制可以限定为 Direct Link 服务资源类型。 Direct Link 服务有两种适用的资源类型:connect 和 dedicated。
此外,还可以通过使用资源属性,将规则的作用域扩展到服务的特定实例或资源组。
使用 CLI 创建规则
- 要从 CLI 创建规则,请 安装 CBR CLI 插件。
- 使用
ibmcloud cbr rule-create命令 来创建 CBR 规则。 有关更多信息,请参阅 CBR CLI 参考。
本节中的示例是实施规则。 您可以通过添加 --enforcement-mode report 使其仅报告。
这些 CLI 命令示例为当前帐户中的 Direct Link 服务实例创建了基于上下文的限制规则:
-
针对当前帐户中的所有 Direct Link Connect 服务实例创建仅报告规则:
ibmcloud cbr rule-create --description directlink-rule1 --service-name directlink --resource-type connect --zone-id=<zone_id> --enforcement-mode report -
针对当前帐户中位于 ResourceGroup
x中的所有 Direct Link Dedicated 服务实例创建已禁用的规则。ibmcloud cbr rule-create --description directlink-rule2 --service-name directlink --resource-type dedicated --resource-attributes "resourceGroupId=<rg_x_id>" --zone-id=<zone_id> --enforcement-mode disabled -
针对当前帐户中标识为
y的 Direct Link Connect 服务实例在 ResourceGroupx中创建已启用的规则。ibmcloud cbr rule-create --description directlink-rule3 --service-name directlink --resource-type dedicated --resource-attributes "resource=<id_y>,resourceGroupId=<rg_x_id>" --zone-id=<zone_id> --enforcement-mode enabled
Direct Link 如何与基于上下文的限制集成
Direct Link 可致电 Key Protect 和 HPCS 以获取密钥管理支持。 这些呼叫会对发出呼叫的 Direct Link 服务执行权限检查。 如果曾经针对 Key Protect 或 HPCS 创建 CBR 规则,那么必须将 Direct Link 服务引用添加到该规则的网络区域。