IBM Cloud Docs
Richiamo di un token di accesso

Richiamo di un token di accesso

Inizia a utilizzare l'API del servizio di gestione delle chiavi Hyper Protect Crypto Services autenticando le richieste al servizio con un token di accesso IBM Cloud® Identity and Access Management (IAM).

Un token di accesso è una credenziale temporanea che scade dopo 1 ora. Dopo la scadenza del token acquisito, devi generare un nuovo token per continuare a richiamare IBM Cloud o le API del servizio. Per mantenere l'accesso al servizio, rigenera regolarmente il token di accesso per la chiave API.

Richiamo di un token di accesso con la CLI

Puoi utilizzare la CLI IBM Cloud per generare velocemente il tuo token di accesso Cloud IAM personale.

  1. Accedi a IBM Cloud con la CLI IBM Cloud.

    ibmcloud login
    

    Se l'accesso non riesce, esegui il comando ibmcloud login --sso e prova di nuovo. Il parametro --sso è obbligatorio quando accedi con un ID federato. Se viene utilizzata questa opzione, vai al link elencato nell'output della CLI per generare una passcode monouso.

  2. Seleziona la regione e il gruppo di risorse dove vuoi creare un'istanza del servizio Hyper Protect Crypto Services. Puoi utilizzare il seguente comando per impostare la regione e il gruppo di risorse.

    ibmcloud target -r <region_name> -g <resource_group_name>
    
  3. Immetti il seguente comando per richiamare il tuo token di accesso Cloud IAM.

    ibmcloud iam oauth-tokens
    

    Il seguente esempio troncato mostra un token IAM richiamato.

    IAM token:  Bearer eyJraWQiOiIyM...
    

Richiamo di un token di accesso con l'API

Puoi anche richiamare il tuo token di accesso programmaticamente utilizzando un tasto API e quindi scambiando la tua chiave API per un token IAM IBM Cloud. A seconda che si crei il token di accesso per un utente o un'applicazione, utilizzare il proprio IBM Cloud user API key o un tasto API ID service di conseguenza.

  1. Accedi a IBM Cloud con la CLI IBM Cloud.

    ibmcloud login
    

    Se l'accesso non riesce, esegui il comando ibmcloud login --sso e prova di nuovo. Il parametro --sso è obbligatorio quando accedi con un ID federato. Se viene utilizzata questa opzione, vai al link elencato nell'output della CLI per generare una passcode monouso.

  2. Selezionare la regione e il gruppo di risorse che contengono la tua provisioned Hyper Protect Crypto Services istanza con il seguente comando:

    ibmcloud target -r <region_name> -g <resource_group_name>
    
  3. Crea una chiave API.

    • Se si desidera richiamare un token di accesso per un utente, creare una chiave API utente con il seguente comando:

      ibmcloud iam api-key-create <API_key_name>
          [-d, --description <description>]
          [--file <API_key_file_name>]
      

      Specificare la chiave API un nome univoco con il parametro <API_key_name>. Assicurarsi di salvare il tasto API per un utilizzo successivo utilizzando il parametro <API_key_file_name> o copiando il valore della chiave API dalla risposta di comando.

    • Se si desidera richiamare un token di accesso per un'applicazione, creare una chiave API di service ID completando i seguenti passaggi:

      1. Creare un ID servizio per l'applicazione con il seguente comando:

        ibmcloud iam service-id-create <service_ID_name>
            [-d, --description <description>]
        

        Specificare il servizio ID un nome univoco con il parametro <service_ID_name>.

      2. Creare una chiave API di service ID con il seguente comando:

        ibmcloud iam service-api-key-create <API_key_name> <service_ID_name>
            [-d, --description <description>]
            [--file <API_key_file_name>]
        

        Specificare la chiave API un nome univoco con il parametro <API_key_name> e sostituire <service_ID_name> con l'alias univoco assegnato al proprio ID di servizio nel passo precedente. Assicurarsi di salvare il tasto API per un utilizzo successivo utilizzando il parametro <API_key_file_name> o copiando il valore della chiave API dalla risposta di comando.

  4. Assegnare l'utente o il servizio ID l'accesso appropriato alla tua istanza Hyper Protect Crypto Services in base alla tua policy di accesso.

    Per informazioni su come i ruoli di accesso IAM si associano alle azioni del servizio Hyper Protect Crypto Services specifiche, consultare Ruoli e autorizzazioni.

  5. Richiama l'API IAM Identity Services per richiamare il tuo token di accesso.

    curl -X POST \
      "https://iam.cloud.ibm.com/identity/token" \
      -H "Content-Type: application/x-www-form-urlencoded" \
      -H "Accept: application/json" \
      -d "grant_type=urn:ibm:params:oauth:grant-type:apikey&apikey=<API_key>" > token.json
    

    Nella richiesta, sostituire <API_key> con la chiave API dell'utente o con la chiave API ID di servizio creata nel passo precedente. Il seguente esempio troncato mostra il contenuto del file token.json:

    {
    "access_token": "eyJraWQiOiIyM...",
    "expiration": 1512161390,
    "expires_in": 3600,
    "refresh_token": "...",
    "token_type": "Bearer"
    }
    

    Utilizza il valore access_token completo, preceduto dal tipo di token Bearer, per gestire programmaticamente le chiavi per il tuo servizio utilizzando l'API del servizio di gestione chiavi Hyper Protect Crypto Services. Per vedere un esempio Hyper Protect Crypto Services la richiesta API del servizio di gestione delle chiavi, verificare Forming your key management service API.