DNS プロバイダーの接続
IBM Cloud® Secrets Manager を使用すると、インスタンスに構成を追加して、DNS プロバイダーに接続できます。
DNS プロバイダーは、アプリまたはサービスのドメインを追加したり管理したりするために使用できるサービスです。 DNS 構成を追加すると、Secrets Manager で証明書をオーダーするときにドメイン検証に使用したい DNS サービスを指定できます。
インスタンスごとに最大 10 個の DNS 構成を定義できます。 インスタンスで使用可能な構成のリストを表示するには、Secrets Manager UI の**「シークレット・エンジン」 > 「パブリック証明書」**ページに移動します。
インスタンスごとに最大 10 個の DNS 構成を定義できます。 インスタンスで使用可能な構成のリストを取得するには、リスト構成 API を使用します。
開始前に
開始する前に、必要なレベルのアクセス権限を持っていることを確認してください。 インスタンスのエンジン構成を管理するには、マネージャー・サービス・ロールまたはそれ以上が必要です。
サポート対象の DNS プロバイダー
Secrets Manager サービス・インスタンスには、以下の DNS プロバイダーが接続できます。
前提条件 |
---|
Cloud Internet Services (CIS) の構成を追加する前に、必ず以下を実施してください。
|
前提条件 |
---|
クラシック・インフラストラクチャーの構成を追加する前に、必ず
1 を実行してください。 クラシック・インフラストラクチャー・ユーザー名を取得します。 IBMid を使用してアカウントにログインする場合、クラシック・インフラストラクチャーのユーザー名は |
前提条件 |
---|
独自の DNS プロバイダーを使用するには、ご使用のプロバイダーの資料で手順を参照する必要があります。 Secrets Managerでは DNS プロバイダーの構成は必要ありません。 |
UI を使用した DNS プロバイダー構成の追加
Secrets Manager UI を使用して、DNS プロバイダー構成をサービス・インスタンスに追加することができます。
-
コンソールで、**「メニュー」**アイコン
**>「リソース・リスト」**をクリックします。
-
サービスのリストから、Secrets Manager のインスタンスを選択します。
-
**「シークレット・エンジン」ページで、「パブリック証明書」**タブをクリックします。
-
「DNS プロバイダー」テーブルで、**「追加」**をクリックします。
-
使用する DNS プロバイダーを選択します。
現時点では、Cloud Internet Services (CIS) と IBM Cloud クラシック・インフラストラクチャーの構成を追加できます。 独自の DNS プロバイダーを使用することもできますが、この場合は構成する必要はありません。
-
Secrets Manager と選択された DNS プロバイダー間のサービス・アクセス権限を付与します。
-
CIS を選択した場合は、許可されている CIS インスタンスのリストから選択するか、API キーを入力して、アクセス権限を付与します。
まだ許可されませんか。 IAM コンソールで作成できます。 あるいは、API キーとインスタンスの CRN を指定して、CIS へのアクセス権限を付与することも可能です。 CRN は、CIS サービス・インスタンスの**「概要」**ページで見つけることができます。 CIS の API キーの作成について詳しくは、API キーを使用したサービス・アクセス権限の付与を参照してください。
-
クラシック・インフラストラクチャーを選択する場合は、アカウントに関連付けられているユーザー名および API キーを入力します。
-
独自の DNS プロバイダーを使用する場合は、ご使用のプロバイダーの資料で手順を参照してください。 Secrets Managerでは DNS プロバイダーの構成は必要ありません。
-
-
追加 をクリックします。
CLIからのDNSプロバイダー設定の追加
DNSプロバイダ設定をサービスインスタンスに追加するには、Secrets Managerを使用します。CLIを使用します。 手動 DNS プロバイダーは、API を使用することによってのみ構成できます。
シークレット・エンジンをIBM CloudCLIから構成するには、*コマンドを実行します。ibmcloud secrets-manager configuration-create
を実行する。
ibmcloud secrets-manager configuration-create {
"cloud_internet_services_apikey": "MY_APIKEY_WITH_MANAGER_ACCESS_TO_CIS",
"cloud_internet_services_crn": "MY_CIS_CRN",
"config_type": "public_cert_configuration_dns_cloud_internet_services",
"name": "my-cloud-internet-services-config"}'
独自の DNS プロバイダーを使用する場合は、ご使用のプロバイダーの資料で手順を参照してください。 Secrets Managerでは DNS プロバイダーの構成は必要ありません。
API を使用した DNS プロバイダー構成の追加
Secrets Manager API を使用して、DNS プロバイダー構成をサービス・インスタンスに追加することができます。
独自の DNS プロバイダーを使用する場合は、ご使用のプロバイダーの資料で手順を参照してください。 Secrets Managerでは DNS プロバイダーの構成は必要ありません。
Cloud Internet Services (CIS) の構成
以下の例は、Cloud Internet Services (CIS) DNS 構成を Secrets Manager インスタンスに追加するために使用できるクエリを示しています。 APIを呼び出すときに、cis_crn
値を、ドメインを含むCISインスタンスのCRNに置き換えます。
別のアカウントにある CIS インスタンスにアクセスする必要がある場合は、Internet Services (cis_apikey
) サービスに対するマネージャーのサービス・アクセス権限を持った API キーの値を internet-svs
に指定してください。 詳細については、CIS へのサービス・アクセス権限の付与を参照してください。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"cloud_internet_services_apikey": "5ipu_ykv0PMp2MhxQnDMn7VzrkSlBwi3BOI8uthi_EXZ",
"cloud_internet_services_crn": "crn:v1:bluemix:public:internet-svcs:global:a/128e84fcca45c1224aae525d31ef2b52:009a0357-1460-42b4-b903-10580aba7dd8::",
"config_type": "public_cert_configuration_dns_cloud_internet_services",
"name": "cloud-internet-services-config"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"
正常な応答によって、構成がサービス・インスタンスに追加されます。 必須およびオプションのリクエストパラメータの詳細については、設定の追加を参照してください。
クラシック・インフラストラクチャーの構成
以下の例は、クラシック・インフラストラクチャー DNS 構成を Secrets Manager インスタンスに追加するために使用できるクエリを示しています。 APIを呼び出すときに、classic_infrastructure_username
とclassic_infastructure_password
(APIキー)の値を置き換えます。
curl -X POST
--H 'Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"classic_infrastructure_password": "sRBm1jkHOH2kn9oBnK5R0ODsRBm1jkHOH2kn9oBnK5R0ODsRBm1jkHOH2kn9oBnK5R0OD",
"classic_infrastructure_username": "1234567_JohnDoe@mail.com",
"config_type": "public_cert_configuration_dns_classic_infrastructure",
"name": "classic-infrastructure-config"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"
正常な応答によって、構成がサービス・インスタンスに追加されます。 必須およびオプションのリクエストパラメータの詳細については、設定の追加を参照してください。
TerraformでDNSプロバイダの設定を追加する
TerraformでSecrets ManagerのDNSプロバイダ設定をサービスインスタンスに追加できます。
独自の DNS プロバイダーを使用する場合は、ご使用のプロバイダーの資料で手順を参照してください。 Secrets Managerでは DNS プロバイダーの構成は必要ありません。
Terraform を使用した Cloud Internet Services (CIS) の構成
次の例は、Secrets ManagerインスタンスにCloud Internet Services (CIS)DNS構成を追加するために使用できる構成を示します。
resource "ibm_sm_public_certificate_configuration_dns_cis" "my_dns_cis_config" {
instance_id = local.instance_id
region = local.region
name = "my_DNS_CIS_config"
cloud_internet_services_apikey = var.my_cis_apikey
cloud_internet_services_crn = var.my_cis_crn
}
Terraform を使用したクラシック・インフラストラクチャーの構成
以下の例では、Secrets Managerインスタンスに古典的なインフラストラクチャDNS構成を追加するために使用できる構成を示します。
resource "ibm_sm_public_certificate_configuration_dns_classic_infrastructure" "my_dns_classic_config" {
instance_id = local.instance_id
region = local.region
name = "my_DNS_config"
classic_infrastructure_password = "username"
classic_infrastructure_username = "password"
}
UI を使用した DNS プロバイダー構成の削除
構成が不要になったら、Secrets Manager UI を使用して構成を削除できます。
構成を削除すると、DNS プロバイダーに関連付けられている証明書の自動ローテーションができなくなります。 実動環境のアプリやサービスの証明書に関連付けられている構成は削除しないでください。
-
コンソールで、**「メニュー」**アイコン
**>「リソース・リスト」**をクリックします。
-
サービスのリストから、Secrets Manager のインスタンスを選択します。
-
**「シークレット・エンジン」ページで、「パブリック証明書」**タブをクリックします。
-
**「DNS プロバイダー・セクション」**テーブルを使用して、インスタンスの構成を表示します。
-
削除する構成の行で、**「アクション」**メニュー
**>「削除」**をクリックします。
-
構成の名前を入力して、その削除を確認します。
-
**「削除」**をクリックします。
API を使用した DNS プロバイダー構成の削除
Secrets Manager API を呼び出すと、構成を削除できます。
インスタンスから DNS プロバイダー構成を削除するために使用できる照会の例を以下に示します。 APIを呼び出すときには、{config_name}
を、削除する構成の名前に置き換えます。
構成を削除すると、DNS プロバイダーに関連付けられている証明書の自動ローテーションができなくなります。 実動環境のアプリやサービスの証明書に関連付けられている構成は削除しないでください。
curl -X DELETE
--H "Authorization: Bearer {iam_token}" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"
正常な応答によって、サービス・インスタンスから構成が削除されます。 必須およびオプションのリクエストパラメータの詳細については、設定の削除を参照してください。
UIでDNSプロバイダーの設定を取得する
Secrets Manager UI を使用して、DNS プロバイダーの値を取得できます。
- 「パブリック証明書」 シークレット・エンジンで、「DNS プロバイダー」テーブルの 「アクション」 メニュー
をクリックして、エンジン構成のオプションのリストを開きます。
- 構成値を表示するには、 「構成の表示」 をクリックします。
- 安全な環境にいることを確認したら、 「確認」 をクリックします。
シークレットの値が 15 秒間表示された後、ダイアログが閉じます。
CLI を使用した DNS プロバイダー構成の取得
Secrets Manager CLI を使用して、DNS プロバイダーの値を取得できます。 以下のコマンド例では、エンジン構成名をご使用の構成の名前に置き換えます。
ibmcloud secrets-manager configuration --name EXAMPLE_CONFIG --service-url https://{instance_ID}.{region}.secrets-manager.appdomain.cloud
{instance_ID}
と {region}
を、ご使用の Secrets Manager サービス・インスタンスに適用される値に置き換えます。 インスタンス固有のエンドポイント URL を見つけるには、Secrets Manager UI の 「エンドポイント」 ページからエンドポイント URL をコピーします。 詳細については、エンドポイント URL の表示を参照してください。
API を使用した DNS プロバイダー構成の取得
Secrets Manager API を使用して、DNS プロバイダーの値を取得できます。 以下の要求例では、エンジン構成名をご使用の構成の名前に置き換えてください。
curl -X GET --location --header "Authorization: Bearer {iam_token}" \
--header "Accept: application/json" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"
{instance_ID}
と {region}
を、ご使用の Secrets Manager サービス・インスタンスに適用される値に置き換えます。 インスタンス固有のエンドポイント URL を見つけるには、Secrets Manager UI の 「エンドポイント」 ページからエンドポイント URL をコピーします。 詳細については、エンドポイント URL の表示を参照してください。
レスポンスに成功すると、他のメタデータとともにエンジン・コンフィギュレーションの値が返される。 必須およびオプションのリクエスト・パラメータの詳細については、秘密の取得 を参照のこと。