クラスター資格情報の設定

Red Hat OpenShift on IBM Cloud は、 APIキーを 使用してクラスタが必要とするインフラストラクチャ・ポートフォリオやその他のサービスにアクセスします。 このAPIキーは、インフラや他のサービスに対するアカウントユーザーの認証情報を保存します。 Red Hat OpenShift on IBM Cloud、新しいワーカーノードやVLANなど、サービス内のリソースを注文するためにAPIキーを使用します。

考慮事項

Red Hat OpenShift on IBM Cloud リソースの管理に使用する認証情報を変更するには、API キーのリセットを実行します。 API キーがリセットされると、そのリージョンおよびリソース・グループに使用されていた以前の API キー (存在する場合) は廃止されます。 その後、API キーのリストから古い API キーを削除できます。

クラスタAPIキーをリセットする前に、以下を考慮してください:

  • アカウントにクラスタを作成するためのAPIキーに格納されている認証情報は、どちらかに属している:

    • リージョン内のリソースグループで最初にクラスタを作成したユーザー。
    • リソースグループを対象とし、リージョンを指定して api-key reset を実行した最新のユーザー。
    • これらのどちらも発生していない場合、リージョンのリソースグループには保存されたクレデンシャルがない。

  • クラスタ・リソースをアカウント所有者のような特定のユーザーに結びつけることを避けるには、個人ユーザーの代わりに 機能ID または サービスIDを 使用することを検討してください。 機能IDやサービスIDのようなIDを使用することで、他のユーザーがアカウントにアクセスできなくなることを防ぎ、APIキーの所有者が去った後に利用できなくなる可能性のある特定の認証情報を必要とするサービスやコマンドの中断を防ぐことができる。

  • このコマンドを実行するために使用される ID が、 IBM Cloud Kubernetes Service の Administrator プラットフォーム・ロール、サービス ID を使用している場合は IAM Identity Service の Operator プラットフォーム・ロール、およびその他のサービスまたは統合に必要な権限を持っていることを確認します。 APIキーを設定するリソースグループを指定します。 api-key reset コマンドを実行したユーザーは、指定された地域の対象リソースグループに関連付けられている API キーを置き換えます。 そのユーザーに十分な権限がない場合、指定された地域のリソースグループに属する他のユーザーが影響を受ける可能性があります。

  • アクセスグループから Secrets Manager IAMクレデンシャルタイプのシークレットを使用して生成されたサービスIDを使用しないでください。 IAM 資格情報の秘密を取得する たびに、 Secrets Manager が生成する API キーとサービス ID はロックされる。たとえ秘密を取得する前に手動でロックを解除したとしても、ロックは解除されない。 Secrets Manager IAMクレデンシャルタイプのシークレットを使用して生成されたサービスIDを使用するには、アクセスグループから毎回新しいものを生成するのではなく、既存のサービスIDを使用するオプションを選択します。 さらに、 Reuse IAM credentials until lease expires オプションを Onにする。

  • クラスターで Block Storage for VPC またはクラスター自動スケーリング機能のアドオンを使用する場合は、API キーをリセットした後にアドオン・ポッドを再作成する必要があります。 詳しくは、 Block Storage for VPC の PVC の作成が API キーのリセット後に失敗する と、 API キーのリセット後に自動スケーリングが失敗する を参照してください。

クラスター API キーのリセット

クラスタAPIキーをリセットするには

  1. アカウント所有者として、機能ID、サービスID、または信頼できるプロファイルなどのIDをアカウントに招待します。

  2. このコマンドを実行するために使用される ID が、 IBM Cloud Kubernetes Service の Administrator プラットフォーム・ロール、サービス ID を使用している場合は IAM Identity Service の Operator プラットフォーム・ロール、およびその他のサービスまたは統合に必要な権限を持っていることを確認します。 APIキーを設定するリソースグループを指定します。 api-key reset コマンドを実行したユーザーは、指定された地域の対象リソースグループに関連付けられている API キーを置き換えます。 そのユーザーに十分な権限がない場合、指定された地域のリソースグループに属する他のユーザーが影響を受ける可能性があります。

  3. クラスタで使用する認証情報を持つIDとしてログインします。

    ibmcloud login

  4. クラスタが属するリソース・グループを対象とする。

    リソース・グループをターゲットに指定しないと、API キーはデフォルトのリソース・グループに対して設定されます。 使用可能なリソース・グループをリストするには、ibmcloud resource groups を実行します。

    ibmcloud target -g <resource_group_name>

  5. API キーをリセットします。

    ibmcloud oc api-key reset --region <region>

  6. API キーがセットアップされたことを確認します。

    ibmcloud oc api-key info --cluster <cluster_name_or_ID>

  7. クラスター API キーをリセットするリージョンおよびリソース・グループごとに、これらのステップを繰り返します。

ユーザー認証情報と権限の削除

人員の変更など、特定のシナリオでは、組織はアカウントからユーザー資格情報と権限を削除する必要があるかもしれません。 ユーザーがアカウントから削除されたときに、特定のユーザー認証情報を必要とするプロセスが中断されないようにするには、別のユーザーのインフラストラクチャ認証情報でAPIキーをリセットする必要があります。 詳細については、ユーザーの削除 を参照してください。