管理计算资源中应用程序的访问权限

本教程将指导您完成集中管理计算资源中运行的所有应用程序的细粒度授权的步骤，而无需创建服务 ID 或管理应用程序的 API 密钥生命周期。完成本教程后，您将学会如何创建受信任配置文件、根据特定属性与计算资源建立信任关系，以及定义分配资源访问权限的策略。

通过使用受信任配置文件，可以为在计算资源上运行的应用程序建立一种灵活、安全的方式来访问其他 IBM Cloud® 资源。所有共享某些属性（如名称、命名空间、标记或位置）的计算资源实例都会映射到一个通用配置文件，并可共享对 IBM Cloud 资源的访问。这种通用身份使各种计算资源中的应用程序能够一次性访问外部资源，而不是逐个集群访问。

您必须在 Kubernetes 集群上启用服务帐户令牌卷投影，以应用受信任的配置文件身份。有关更多信息，请参阅授权群集中的 pod 使用 IAM 可信配置文件访问 IBM Cloud 服务。

假设您是团队项目的首席开发人员，团队计划在 IBM Cloud® Kubernetes Service 集群上运行一个新的聊天机器人应用程序。您希望应用程序能够访问启用了 IAM 的服务，但不需要在代码中存储凭据。您的经理已授予您账户的管理员权限，让您创建受信任的配置文件，并允许您的运行环境访问构建聊天机器人应用程序所需的资源。

准备工作

本教程可能会发生成本。使用“成本估算器”根据您的预计使用量生成成本估算。
确保您拥有以下访问权限：
- 创建受信任配置文件的账户中的管理员角色
- 分配访问权限的特定资源的管理员角色
创建一个运行 IBM Cloud Kubernetes Service 1.21 或更高版本的群集。有关创建群集的信息，请参阅 IBM Cloud Kubernetes Service 入门。

创建可信概要文件

首先，创建您的可信档案：

转到 IBM Cloud 控制台中的管理 > 访问 (IAM)，然后选择受信任的配置文件。
单击创建个人资料。
将配置文件命名为 Chatbot Project。
在描述中，列出要为配置文件分配的访问级别。这有助于您从受信任的配置文件列表中快速识别不同的配置文件。则在此例中：
1. 写入者
2. 管理者
单击继续。

确保您的个人档案名称简短易读。对于计算资源，需要概要文件的名称来获取计算资源令牌，因此简单的名称更容易让开发者在程序中使用。

与 Kubernetes 集群建立信任

创建了受信任配置文件后，您需要与为项目创建的 Kubernetes 群集建立信任关系：

对于信任实体类型，请选择计算资源。
计算服务，请从列表中选择 Kubernetes。
选择特定资源，与一个或多个现有计算资源实例建立信任关系。
单击添加另一个资源。
选择为本教程创建的群集。
输入 namespace 和 service account 字段的值。

您输入的 Kubernetes 命名空间和服务帐户名不必已经存在。今后任何使用这些名称的命名空间或服务账户都可以建立信任。要列出现有命名空间，请登录群集并运行 kubectl get ns。要列出现有服务帐户，请登录群集并运行 kubectl get sa -n <namespace>。您也可以同时输入 default。
单击继续。

分配访问其他 IBM Cloud 服务的权限

现在，您可以创建一个访问策略，让您的计算资源实例访问团队聊天机器人项目所需的其他 IBM Cloud 服务。

选择访问策略。
从服务列表中选择 Watson Assistant 从服务列表中选择确保您有访问要在此 profile.Click 中提供的服务的权限下一步。
根据所选属性确定访问特定资源的范围。
选择“服务实例”并输入服务实例名称，以向特定实例授予权限。单击下一步。
选择“撰写人”和“管理人”角色来定义访问范围，然后单击“审核”。
单击添加，将策略配置添加到策略摘要中。
单击分配。

后续步骤

要了解有关通过 Kubernetes 集群建立信任的更多信息，请参阅在 Kubernetes 和 OpenShift 集群中使用受信任配置文件。要了解如何在 VPC 虚拟服务器实例中使用受信任配置文件，请参阅 Introducing Trusted Profiles for VPC Virtual Server Instances。

现在，您已经学会了如何创建受信任配置文件的基础知识，可以继续与其他计算资源建立信任关系。更多信息，请参阅更新受信任的配置文件。

您还可以使用 Activity Tracker 监控哪些联合用户和计算资源应用了可信配置文件。有关详细信息，请参阅监控受信任配置文件的登录会话。