Schematics-Services mit kontextbasierten Einschränkungen schützen
Kontextbasierte Beschränkungen geben Kontobesitzern und Administratoren die Möglichkeit, Zugriffsbeschränkungen für IBM Cloud® Ressourcen auf der Grundlage des Kontexts von Zugriffsanfragen zu definieren und durchzusetzen. Der Zugang zu den Diensten von Schematics kann mit kontextbasierten Beschränkungen(CBR) und Identity and Access Management (IAM)-Richtlinien kontrolliert werden.
CBR-Einstellungen verwalten
Mit kontextbasierten Beschränkungen können Sie Benutzer- und Dienstzugriffsbeschränkungen für Schematics auf der Grundlage bestimmter Kriterien, z. B. IP-Adresse oder IBM Cloud® Ressourcen oder Dienste, definieren und durchsetzen.
Um den Zugriff einzuschränken, müssen Sie der Eigentümer des Kontos sein oder über eine Zugriffsrichtlinie mit der Administratorrolle für alle Kontoverwaltungsdienste verfügen.
Übersicht
Um den Zugriff auf Schematics zu beschränken, erstellen Sie Netzwerkzonen, die die IP-Adressen und Dienste enthalten, auf die Sie Zugriff gewähren möchten. Wenden Sie diese anschließend unter Verwendung von Regeln an.
Erstellen Sie zuerst eine Netzzone, die die Netz-IP-Adressen, VPCs, Ressourcen oder Services enthält, die Sie benötigen, um auf Schematicszuzugreifen. Verbinden Sie dann diese Zone mit Schematics, um den Zugriff zu beschränken. Sie können Zonen und Regeln mit einer REST-konformen API oder mit der kontextbasierten Benutzerschnittstelle für Einschränkungenerstellen. Nach dem Erstellen oder Aktualisieren einer Zone oder Regel kann es einige Minuten dauern, bis die Änderung wirksam wird.
Sie müssen Schematics in den CBR-Regeln für andere Services als Zulassungsliste angeben, wenn Sie Schematics benötigen, um eine Verbindung zum Service herzustellen, um Serviceressourcen nach der Konfiguration auszuführen, z. B. IBM Cloud® PostgreSQL Database. Wenn Sie eine CBR-Regel für einen Service konfigurieren (z. B. IBM Cloud Kubernetes Service), kann Schematics nur auf einen Cluster in Ihrem Account zugreifen, wenn Sie Schematics in die CBR-Zulassungsliste aufnehmen.
CBR-Regeln gelten nicht für Ressourcen-und Servicebereitstellungsanforderungen, sondern nur für die Nachkonfiguration bereitgestellter Services.
Derzeit wird CBR von den öffentlichen Endpunkten Schematics in den Regionen US und EU unterstützt. Die CBR-Unterstützung mit Schematics private endpoints ist nur auf die Region EU beschränkt.
Wenn eine CBR-Regel den Zugriff auf Schematics blockiert, kann die Arbeitsbereichsseite keine Arbeitsbereiche auflisten. Andere Operationen wie das Erstellen, Planen und Anwenden von Anforderungen im Arbeitsbereich, die von CBR blockiert werden, schlagen fehl, weil der Zugriff verweigert wird.
Netzzonen verstehen
Durch die Erstellung von Netzwerkzonen können Sie eine Zulässigkeitsliste von Netzwerkstandorten definieren, von denen Schematics Zugriffsanfragen ausgehen, um zu bestimmen, wann eine Regel angewendet werden kann. Die Liste der Netzwerkstandorte kann mit Hilfe von IP-Adressen, z. B. einzelnen Adressen, Bereichen oder Subnetzen, und Virtual Private Cloud (VPC)-IDs oder IBM Cloud®-Diensten angegeben werden.
Nachdem Sie eine Netzzone erstellt haben, können Sie sie zu einer Regel hinzufügen.
Erstellen von Netzwerkzonen mit Hilfe der CBR-API
Die CBR-API unterstützt die Definition von Netzzonen.
Verwenden Sie GET /v1/zones, um die Zonen aufzulisten. Mit POST /v1/zones können Sie eine neue Zone mit den entsprechenden Informationen erstellen. Weitere Informationen zur API-Anforderung finden Sie unter Netzzonen mithilfe der API erstellen.
Sie können bestimmen, welche Services in eine Zone eingeschlossen werden können, indem Sie die Referenzziele überprüfen.
Nachdem Sie Zonen erstellt haben, können Sie sie aktualisieren oder löschen.
Erstellen von Netzwerkzonen mit Hilfe der CBR UI
Nachdem Sie die Voraussetzungen und Anforderungen festgelegt haben, können Sie Zonen in der Benutzerschnittstelle (UI) erstellen. Weitere Informationen zu den auszuführenden Schritten finden Sie unter Kontextbasierte Einschränkungen erstellen.
Nachdem Sie Zonen erstellt haben, können sie auch aktualisiert und gelöscht werden.
Informationen zu Netzregeln
Nachdem Sie Ihre Zonen erstellt haben, können Sie die Zonen auf Schematics anwenden, um den Zugriff durch Erstellen von Regeln zu kontrollieren. Wenn Sie einer Regel Zonen hinzufügen, können Sie aus den verfügbaren Arten von Endpunkten wählen, die für Ihren Zugriff auf Schematics relevant sind.
Erstellen von Netzwerkregeln mit Hilfe der CBR-API
Sie können Netzregeln mit der API definieren, indem Sie die Informationen verwenden, die Sie beim Erstellen von Netzzonen gesammelt haben.
Wenn Sie GET /v1/rules mit den ausgewählten Endpunkten verwenden, können Sie eine Liste der aktuellen Regeln anzeigen. Mit POST /v1/rules können Sie neue Regeln erstellen. Weitere Informationen zu einem Anforderungsbeispiel
finden Sie unter Regeln mithilfe der API erstellen.
Nachdem Sie Regeln erstellt haben, können Sie sie aktualisieren und löschen.
Erstellen von Netzwerkregeln mit Hilfe der CBR UI
Nachdem Sie die Voraussetzungen erfüllt haben, können Sie Zonen in der Benutzerschnittstelle erstellen. Weitere Informationen zu den auszuführenden Schritten finden Sie unter Kontextbasierte Einschränkungen erstellen.
Sie können die CBR-UI verwenden, um Ihren Netzregeln Ressourcen und Kontexte hinzuzufügen.
Im Gegensatz zu IAM-Richtlinien wird bei kontextbasierten Beschränkungen kein Zugriff zugewiesen. Bei kontextbasierten Einschränkungen wird geprüft, ob eine Zugriffsanforderung aus einem zulässigen Kontext stammt, der von Ihnen konfiguriert wird. Außerdem kann es sein, dass die Regeln aufgrund der Synchronisierung und der Verfügbarkeit von Ressourcen nicht sofort wirksam werden.
Nachdem Sie Regeln erstellt haben, können Sie sie aktualisieren und löschen.
Nächste Schritte
Nach der Erstellung oder Änderung von Zonen oder Regeln müssen angemessene Tests durchgeführt werden, um den Zugang und die Verfügbarkeit des Dienstes Schematics sicherzustellen.