限制使用者建立 API 金鑰
預設情況下,帳戶的所有成員都可以建立 IBM Cloud® API 金鑰。 但是,可以限制存取權限,只有擁有正確存取權限的會員才能使用 API 金鑰建立設定來建立這些使用者 API 金鑰。
如果您希望帳戶中的使用者總是以互動方式登入,限制建立 API 金鑰的能力是合理的,這表示您不希望自動化腳本執行時,可以使用 API 金鑰自動登入使用者。 有關 API 金鑰的詳細資訊,請參閱 管理使用者 API 金鑰。
如果 API 金鑰的建立是由企業管理,如果企業管理設定較不嚴格或被移除,則帳戶層級所定義的設定會適用。
限制在主控台中建立 API 金鑰
若要開啟限制使用者建立使用者 API 金鑰的設定,您必須擁有下列指定存取權限:
- 具有
Administrator、Operator或Editor角色的 IAM 策略在 IAM Identity Service.
如果您開啟「限制 API 金鑰建立」設定,您帳戶中的使用者需要特定權限才能建立 API 金鑰,包括帳戶所有人。 若要限制誰可以建立 API 金鑰,請使用下列步驟:
啟用此設定只會影響使用者 API 金鑰的建立。 它不會影響服務 ID 的 API 金鑰。
- 在 IBM Cloud 主控台中,移至管理 > 存取 (IAM),然後選取設定。
- 在「帳戶」部分,啟用「限制 API 金鑰建立」設定。
- 按一下是以進行確認。
現在已啟用限制使用者建立 API 金鑰的設定,您可以指派所需的存取權限,讓特定使用者可以繼續建立使用者 API 金鑰。 請記住,帳戶擁有者也必須被指派此明確存取權。
使用 Terraform 限制 API 金鑰的建立
如果您開啟 API 金鑰建立設定,您帳戶中的使用者需要特定權限才能建立 API 金鑰,包括帳戶所有人。
若要開啟限制使用者建立使用者 API 金鑰的設定,您必須擁有下列指定存取權限:
- 具有
Administrator、Operator或Editor角色的 IAM 策略在 IAM Identity Service.
在使用 Terraform 設定登入階段限制之前,請確認您已完成下列事項:
- 安裝 Terraform CLI 並為 Terraform 配置 IBM Cloud Provider 外掛程式。 如需詳細資訊,請參閱 IBM Cloud® 上的 Terraform 入門 教學。 外掛程式抽象出 IBM Cloud API,用來完成這項任務。
- 建立名為
main.tf的 Terraform 配置檔案。 在此檔案中,您使用 HashiCorp Configuration Language 定義資源。 如需詳細資訊,請參閱 Terraform 文件。
若要限制誰可以建立 API 金鑰,請使用下列步驟:
啟用此設定只會影響使用者 API 金鑰的建立。 它不會影響服務 ID 的 API 金鑰。
-
在
main.tf檔案中建立一個參數。 以下範例透過使用ibm_iam_account_settings和iam_account_settings_instance資源啟用 API 金鑰建立設定。 -
定義建立平台 API 金鑰是否受存取控制。 支援的有效值為
- RESTRICTED - 應用存取控制
- NOT_RESTRICTED - 移除存取控制
- NOT_SET - 取消設定先前設定的值。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { restrict_create_platform_apikey = "RESTRICTED" } -
從
main.tf檔案提供資源。 如需詳細資訊,請參閱 使用 Terraform 佈建基礎結構。-
執行
terraform plan以產生 Terraform 執行計畫,預覽建議的動作。terraform plan -
執行
terraform apply以建立計劃中定義的資源。terraform apply
-
如需詳細資訊,請參閱 Terraform 文件。
使用 IAM 帳戶設定模組強制執行 API 金鑰政策,以達到集中化的安全控制。 探索用於帳戶治理的 Terraform IBM 模組。
現在已啟用限制使用者建立 API 金鑰的設定,您可以指派所需的存取權限,讓特定使用者可以繼續建立使用者 API 金鑰。 請記住,帳戶擁有者也必須被指派此明確存取權。
指派存取權限以建立啟用限制的 API 金鑰
如果啟用 API 金鑰建立設定,則只有在 IAM Identity Service 上指定 User API key creator 角色的使用者 (包括帳戶擁有者) 才能建立 API 金鑰。
為使用者群組指定建立 API 金鑰所需存取權限的最快速方法是建立存取群組,並為該群組指定所需的角色。 有關指派存取政策的詳細資訊,請參閱 設定存取群組。