copyright: years: 2020, 2025 lastupdated: "2025-05-30"
keywords: Secrets Manager の分離、Secrets Manager のサービス・エンドポイント、Secrets Manager のプライベート・ネットワーク、Secrets Manager のネットワーク分離、Secrets Manager の非パブリック経路、Secrets Manager のプライベート接続
subcollection: secrets-manager
サービス・エンドポイントを使用した Secrets Manager へのプライベート接続
Secrets Manager を使用するときにデータの制御とセキュリティーを確実に強化するには、IBM Cloud® サービス・エンドポイントへのプライベート・ルートを使用するオプションがあります。 インターネットからは、プライベート・ルートにアクセスすることも到達することもできません。 IBM Cloud プライベート・サービス・エンドポイント機能を使用すると、パブリック・ネットワークからの脅威からデータを保護し、プライベート・ネットワークを論理的に拡張できます。
開始前に
まず、アカウントで仮想ルーティングと転送を有効にしてから、IBM Cloud プライベート・サービス・エンドポイントの使用を有効にする必要があります。 プライベート接続オプションをサポートするためにアカウントをセットアップする方法について詳しくは、VRF エンドポイントおよびサービス・エンドポイントの有効化を参照してください。
以下の考慮事項に留意してください。
- Secrets Manager インスタンスのサービス・エンドポイント・オプションは、インスタンス作成時にのみ選択できます。
UI で Secrets Manager のプライベート・エンドポイントのセットアップ
アカウントで VRF およびサービス・エンドポイントが有効になると、Secrets Manager サービス・インスタンスをプロビジョニングして、プライベート・サービス・エンドポイントで接続できるようになります。
-
IBM Cloud コンソールで、 Secrets Manager オファーの詳細ページにアクセスする。
-
**「作成」**タブで、インスタンスをプロビジョニングするリージョンを選択します。
-
料金プランを確認して選択します。
-
インスタンスの名前を指定します。
-
リソース・グループを選択します。
-
インスタンスの暗号化の管理についてのオプションを決定します。
鍵管理サービスと統合することによって、保存中のシークレットのセキュリティーを強化することができます。 カスタマー・マネージド型の暗号化について詳しくは、Secrets Manager で機密データを保護するをチェックしてください。
-
エンドポイント・オプションのリストから、**「パブリックおよびプライベート」または「プライベートのみ」**を選択します。
デフォルトでは、Secrets Manager インスタンスはパブリック・エンドポイントとプライベート・エンドポイントの両方から API 要求を受け入れます。 インスタンスへのアクセスをプライベート・ネットワーク経由でのみ実行するように制限するには、プライベートのみ オプションを選択します。
-
「作成」 をクリックします。
Secrets Manager インスタンスのプロビジョニングが完了するまでには、5 分から 15 分かかる場合があります。
CLI からの Secrets Manager 用のプライベート・エンドポイントのセットアップ
アカウントで VRF およびサービス・エンドポイントが有効になると、Secrets Manager サービス・インスタンスをプロビジョニングして、プライベート・サービス・エンドポイントで接続できるようになります。
-
端末ウィンドウで、IBM Cloud にログインします。
ibmcloud loginログインに失敗した場合は、
ibmcloud login --ssoコマンドを実行して再試行してください。 フェデレーテッドIDを使用してログインする場合は、--ssoパラメーターが必要です。 このオプションを使用する場合、CLI 出力にリストされているリンクに移動して、ワンタイム・パスコードを生成します。 -
Secrets Manager サービス・インスタンスを作成するアカウント、リージョン、リソース・グループを選択します。
次のコマンドを使用して、ターゲットのリージョンおよびリソース・グループを設定できます。
ibmcloud target -r <region_name> -g <resource_group_name> -
(オプション) アカウントで VRF およびサービス・エンドポイントが有効になっているかどうかを確認します。
ibmcloud account show以下の CLI 出力には、VRF とサービス・エンドポイントが有効にされたアカウントの詳細が示されています。
Retrieving account John Doe's Account of john.doe@email.com... OK Account ID: d154dfbd0bc2edefthyufffc9b5ca318 Currently Targeted Account: true Linked Softlayer Account: 1008967 VRF Enabled: true Service Endpoint Enabled: trueアカウントで VRF およびサービス・エンドポイントを有効にする方法について詳しくは、VRF およびサービス・エンドポイントの有効化を参照してください。
-
以下のコマンドを実行して、プライベート Secrets Manager サービス・インスタンスを作成します。
ibmcloud resource service-instance-create <instance_name> secrets-manager trial <region> -p '{"allowed_network": "<connectivity-option>"}'変数の説明 変数 説明 regionこのような地域の略語、例えば、Secrets Managerを処理および処理する地理的領域など us-southを表します。 サポート対象リージョンのフル・リストについては、リージョンおよびエンドポイントを参照してくださいconnectivity-optionインスタンスに許可するネットワーク接続オプション。 パブリックとプライベートの両方のサービス・エンドポイントでインスタンスへのアクセスを許可するには、
public-and-privateを使用する。 プライベート・ネットワークでしかインスタンスに API 要求を実行できないように制限するには、private-onlyを使用します。private-onlyのインスタンスでは Secrets Manager サービスの UI にアクセスできないことに注意してください。 -
(オプション) サービス・インスタンスが正常に作成されたことを確認します。
ibmcloud resource service-instance <instance_name>Secrets Manager インスタンスのプロビジョニングが完了するまでには、5 分から 15 分かかる場合があります。
エンドポイント URL の表示
サービス・エンドポイントの URL は、プライベート・ネットワーク接続とパブリック・ネットワーク接続で異なります。 サービス・エンドポイント URL は、Secrets Manager UI の**「エンドポイント」**ページで見つけることができます。 サービス・エンドポイント URL をプログラムでリトリーブする方法について詳しくは、リージョンおよびエンドポイントを参照してください。