IBM Cloud Docs
Secrets Manager サービス・インスタンスの作成

Secrets Manager サービス・インスタンスの作成

IBM Cloud コンソール、 IBM Cloud CLI、または API でサービス・インスタンスを作成して、 IBM Cloud® Secrets Manager を開始します。

IBM Cloud アカウントでの Secrets Manager のプロビジョニングは、サービスによってシングル・テナントの専用インスタンスが作成されるため、完了までに 5 分から 15 分かかる場合があります。

UI での Secrets Manager インスタンスの作成

IBM Cloud コンソールから Secrets Manager のインスタンスを作成するには、以下のステップを実行します。

  1. コンソールで、 Secrets Manager オファーの詳細ページにアクセスする。

  2. **「作成」**タブで、インスタンスをプロビジョニングする地理的領域を表すリージョンを選択します。

  3. 料金プランを確認して選択します。

    Secrets Manager の Trial インスタンスは、1 アカウントにつき 1 つだけ作成できます。 新しい試用版インスタンスを作成する前に、既存の試用版インスタンスとその再利用を削除する必要があります。

  4. インスタンスの名前を指定します。

  5. リソース・グループを選択します。

  6. オプション: アカウント内のインスタンスを整理するために役立つタグを追加します。

  7. インスタンスでお客様管理の暗号化を有効にするかどうかを決定します。

    鍵管理サービスと統合することによって、保存中のシークレットのセキュリティーを強化することができます。 カスタマー・マネージド型の暗号化について詳しくは、Secrets Manager で機密データを保護するをチェックしてください。

  8. Secrets Manager に接続するためのオプションを決定します。

    private-only または public-and-private のいずれかを選択してください。 プライベート接続オプションをサポートするようにアカウントをセットアップする方法について詳しくは、VRF およびサービス・エンドポイントの有効化を参照してください。

  9. 「作成」 をクリックして、選択したアカウント、リージョン、リソース・グループに Secrets Manager のインスタンスを作成します。

インスタンスの作成後にサービス・プランを更新するには、 サービス・プランの更新 を参照してください。

CLI からの Secrets Manager インスタンスの作成

IBM Cloud CLIを使用して Secrets Manager のインスタンスを作成するには、以下の手順を実行します。

  1. IBM Cloud CLIから IBM Cloud にログインする。

    ibmcloud login

    ログインに失敗した場合は、ibmcloud login --ssoコマンドを実行して再試行してください。 フェデレーテッドIDを使用してログインする場合は、--ssoパラメーターが必要です。 このオプションを使用する場合、CLI 出力にリストされているリンクに移動して、ワンタイム・パスコードを生成します。

  2. Secrets Manager サービス・インスタンスを作成するアカウント、リージョン、リソース・グループを選択します。

    ibmcloud target -r <region> -g <resource_group_name>

  3. そのアカウントおよびリソース・グループに Secrets Manager のインスタンスを作成します。

    ibmcloud resource service-instance-create <instance_name> secrets-manager <plan>
    CLIを使用してサービスをプロビジョニングするために必要な情報の説明Secrets Manager
    変数 説明
    インスタンス名 (name) サービス・インスタンスの固有の別名。
    料金プラン (plan) プラン ID として提供される、使用する料金プラン。 trial の場合は 869c191a-3c2a-4faf-98be-18d48f95ba1fstandard の場合は 7713c3a8-3be8-4a9a-81bb-ee822fcaac3d を使用します。
    Endpoints プライベート・エンドポイントのみを使用するSecrets Managerのインスタンスをプロビジョンする必要がある場合は、コマンドに -p '{"allowed_network": "private-only"}'を追加できます。 または、パブリックおよびプライベート両方のエンドポイントを使用するには、コマンドに -p '{"allowed_network": "public-and-private"}' を追加します。
    暗号化 顧客管理の暗号化を使用するSecrets Managerのインスタンスをプロビジョンするには、-p '{"kms_key": "<root_key_crn>"}'を追加します。 <root_key_crn>を、統合するルート・キーの CRN 値に置き換えます。

    Secrets Manager の Trial インスタンスは、1 アカウントにつき 1 つだけ作成できます。 新しい試用版インスタンスを作成する前に、既存の試用版インスタンスとその再利用を削除する必要があります。

  4. オプション: サービス・インスタンスが正常に作成されたことを確認します。

    ibmcloud resource service-instances

インスタンスの作成後にサービス・プランを更新するには、 サービス・プランの更新 を参照してください。

API からの Secrets Manager インスタンスの作成

APIから Secrets Manager のインスタンスを作成するには、以下の手順を実行する。

その他のプログラミング言語のサポートについては、 リソース・コントローラー API 資料 を参照してください。

  1. IBM Cloud IAM アクセス・トークンを取得します。

  2. curl コマンドを実行して、 Secrets Managerのインスタンスをプロビジョンします。

    curl -X POST https://resource-controller.cloud.ibm.com/v2/resource_instances -H "Authorization: Bearer <IAM token>" -H 'Content-Type: application/json' -d '{
   "name": "<instance_name>",
   "target": "<region>",
   "resource_group": "<resource_group_id>",
   "resource_plan_id": "<plan>",
   "parameters": {"allowed_network": "private-only","kms_key": "<root_key_crn>"}
}'
    APIを使用してサービスをプロビジョニングするために必要な情報の説明Secrets Manager
    変数 説明
    インスタンス名 (name) サービス・インスタンスの固有の別名。
    ターゲット (region) インスタンスをプロビジョンする必要があるリージョン。 サポートされる地域:
    料金プラン (plan) プラン ID として提供される、使用する料金プラン。 trial の場合は 869c191a-3c2a-4faf-98be-18d48f95ba1fstandard の場合は 7713c3a8-3be8-4a9a-81bb-ee822fcaac3d を使用します。
    Endpoints プライベートエンドポイントのみ を使用する Secrets Manager のインスタンスをプロビジョニングする必要がある場合は、 allowed_network パラメータを private-only 値とともに使用します。 あるいは、パブリックとプライベート両方のエンドポイントを持つ場合は、 public-and-private を値として使用します。
    暗号化 お客様管理の暗号化 を使用する Secrets Manager のインスタンスをプロビジョンするには、 kms_key パラメーターを保持し、 <root_key_crn> を、統合するルート鍵の CRN 値に置き換えます。

    Secrets Manager の Trial インスタンスは、1 アカウントにつき 1 つだけ作成できます。 新しい試用版インスタンスを作成する前に、既存の試用版インスタンスとその再利用を削除する必要があります。

インスタンスの作成後にサービス・プランを更新するには、 サービス・プランの更新 を参照してください。

Terraformを使って Secrets Manager インスタンスを作成する

Terraformを使って Secrets Manager のインスタンスを作成するには、 Secrets Manager の ibm_resource_instance リソースに以下のパラメータを記述します。

  • service: secrets-manager
  • planStandard または Trial。 サービスプランの 詳細

さらなるカスタマイズのために、 parameters 内部に以下を含める。

  • allowed_network: private-only または public-and-private のいずれか。 含まれていない場合、デフォルトは private-only
  • kms_key: Key Protect または Hyper Protect Crypto Services インスタンスからのルートキーCRN。 もし含まれていない場合、デフォルトはルートキーとなります。 Secrets Manager

リソースの例は以下のようになる。

resource "ibm_resource_instance" "sm_instance" {
  name              = "demo-sm-instance"
  service           = "secrets-manager"
  plan              = "standard"
  location          = "us-south"

  parameters = {
    "allowed_network" : "public-and-private"
  }
}

Secrets Manager インスタンスの標準プランへのアップグレード

トライアル・インスタンスの有効期限が切れると、シークレットおよび統合にアクセスできなくなります。 データを保持し、ワークフローの中断を回避するには、トライアル・プランの有効期限が切れる前に標準プランにアップグレードする必要があります。 料金プランを更新する 手順に従います。 UI、API、および CLI を使用して、このプロセスを実行できます。