IBM Cloud Docs
Control de acceso con restricciones basadas en el contexto

Control de acceso con restricciones basadas en el contexto

Después de configurar la instancia de servicio de IBM® Key Protect, puede gestionar el acceso utilizando el soporte de Key Protect para Restricciones basadas en el contexto (CBR).

Gestión de valores de CBR

CBR le permite gestionar el acceso de usuario y servicio a los recursos de red, incluyendo las referencias de Virtual Private Cloud (VPC) y las direcciones IP (Internet Protocol) que enlazan los recursos de Key Protect.

Para obtener más información sobre los servicios integrados con CBR, consulte Servicios integrados con restricciones basadas en contexto.

Visión general

Hay dos partes en las instrucciones para restringir el acceso, Creación de zonas y Creación de reglas, cada una con varios pasos. En primer lugar, cree una zona con los detalles adecuados para las definiciones de red o de recursos como por ejemplo los valores de VPC. A continuación, conecte esa zona al recurso para restringir el acceso. Hay dos vías de acceso posibles para lograr este objetivo: utilizando una APIRESTful o con Restricciones basadas en el contexto. Tenga en cuenta que después de crear o actualizar una zona o una regla, el cambio puede tardar unos minutos a entrar en vigor.

Las reglas de CBR no se aplican a los procesos de suministro o de cese de suministro.

Acerca de las Zonas de red

Al crear zonas de red, puede crear una lista de ubicaciones permitidas en las que se origina una solicitud de acceso. Puede especificar un juego de una o varias ubicaciones de red por dirección IP como direcciones individuales, rangos o subredes, e ID de VPC. Después de crear una zona de red, puede añadirla a una regla.

Crear zonas de red utilizando la API de CBR

La API permite definir zonas de red llamando a puntos finales tanto públicos (https://cbr.cloud.ibm.com), como privados (https://private.cbr.cloud.ibm.com).

Utilizando la vía de acceso: "/v1/zones" con el método GET, se listarán las zonas. Utilizando POST, puede crear una nueva zona con la información adecuada utilizando el siguiente ejemplo de formato de cuerpo de solicitud como guía:

{
  "name": "an example of a zone",
  "description": "this is an example of a zone",
  "account_id": "12ab34cd56ef78ab90cd12ef34ab56cd",
  "addresses": [
    {
      "type": "ipAddress",
      "value": "169.23.56.234"
    },
    {
      "type": "ipRange",
      "value": "169.23.22.0-169.23.22.255"
    },
    {
      "type": "subnet",
      "value": "192.0.2.0/24"
    },
    {
      "type": "vpc",
      "value": "crn:v1:bluemix:public:is:us-south:a/12ab34cd56ef78ab90cd12ef34ab56cd::vpc:r134-d98a1702-b39a-449a-86d4-ef8dbacf281e"
    }
  ],
  "excluded": [
    {
      "type": "ipAddress",
      "value": "169.23.22.127"
    }
  ]
}

Puede determinar qué servicios están disponibles buscando destinos de referencia.

Después de crear zonas, también puede actualizarlas y suprimirlas.

Crear zonas de red utilizando la interfaz de usuario CBR

Con los requisitos previos y los requisitos establecidos, puede seguir los pasos para crear zonas en la interfaz de usuario.

En lugar de crear una zona utilizando entradas de IU, puede utilizar el Formato de código JSON para entrar directamente JSON para crear una zona pulsando Especificar como código JSON.

Después de crear zonas, también puede actualizarlas y suprimirlas.

Acerca de las reglas de red

Después de crear las zonas, puede conectarlas a los recursos de red creando reglas.

Puede elegir entre los tipos de puntos finales disponibles específicos de su topología de red al añadir recursos a una regla.

Crear reglas de red utilizando la API de CBR

La API permite definir reglas de red y necesitará la información de la creación de la zona de red para los pasos siguientes.

Utilizando la vía de acceso: "/v1/rules" con el mismo punto final anterior, el método GET lista las reglas actuales. Enviando un POST a la misma vía de acceso con el siguiente formato de ejemplo como guía para su propia carga útil, puede crear nuevas reglas:

{
  "description": "this is an example of a rule",
  "resources": [
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "12ab34cd56ef78ab90cd12ef34ab56cd"
        },
        {
          "name": "serviceName",
          "value": "kms"
        }
      ]
    }
  ],
  "contexts": [
    {
      "attributes": [
        {
          "name": "networkZoneId",
          "value": "65810ac762004f22ac19f8f8edf70a34"
        }
      ]
    }
  ]
}

Después de crear reglas, también puede actualizarlas y suprimirlas.

Crear reglas de red utilizando la interfaz de usuario de CBR

Siga estos pasos para añadir recursos y contextos a las reglas de red, pero tenga en cuenta algunas limitaciones.

Cuando crea una restricción basada en el contexto para el servicio de Grupos de acceso de IAM, los usuarios que no cumplan la regla no podrán ver ningún grupo en la cuenta, incluido el grupo de acceso público.

A diferencia de las políticas de IAM, las restricciones basadas en contexto no asignan el acceso. Las restricciones basadas en contexto comprueban que una solicitud de acceso provenga de un contexto permitido configurado. Además, es posible que las reglas no entren en vigor inmediatamente debido a la sincronización y la disponibilidad de recursos.

Después de crear reglas, también puede actualizarlas y suprimirlas.

Próximos pasos

Los usuarios que intenten acceder a sus recursos fuera de las zonas definidas recibirán el error HTTP 401 cuando se hayan establecido las reglas adecuadas.

Siga las instrucciones para crear o modificar zonas o reglas y establezca las pruebas adecuadas para garantizar el acceso y la disponibilidad.