IBM Cloud Docs
Secrets Manager で API キーを使用して、アーキテクチャーをデプロイするためのプロジェクトを許可する

Secrets Manager で API キーを使用して、アーキテクチャーをデプロイするためのプロジェクトを許可する

デプロイ可能アーキテクチャーを構成するときに、認証方式を選択する必要があります。 シークレットとして保管されている API キーを使用して、アカウントにデプロイするプロジェクトを許可することができます。

秘密情報とは、APIキー、パスワード、機密システムへのアクセスに使用する可能性のあるあらゆる種類の認証情報などの機密性の高い情報のことを指します。 API キーを動的に管理し、独自の専用インスタンスに安全に保管する方法として、 IBM Cloud® Secrets Manager でシークレットを使用できます。

API キーを構成に直接追加することは可能ですが、API キーは project.json ファイルに表示され、エクスポートするすべてのユーザーに表示されるため、推奨されません。

開始前に

  1. プロジェクトを作成するためのアクセス権に加えて、アカウント内にプロジェクト・ツール・リソースを作成するために必要なアクセス権が割り当てられていることを確認します。

    • IBM Cloud プロジェクト・サービスに対するエディター役割。
    • IBM Cloud® Schematics サービスに対するエディターおよびマネージャーの役割。
    • プロジェクトのリソース・グループに対するビューアー役割。

    アクセス権限と権限について詳しくは、 プロジェクトへのユーザーのアクセス権限の割り当て を参照してください。

  2. 作成する各 API キーには、ユーザーとして割り当てられているのと同じアクセス権限があります。 API キーを作成する前に、デプロイ先のアカウント (ターゲット・アカウントとも呼ばれる) にアーキテクチャーをデプロイするためのアクセス権限があることを確認してください。 以下の 広範囲のアクセス がある場合は、アカウントにアーキテクチャーをデプロイできます。

    • すべてのアイデンティティおよびアクセスが有効なサービスに対する管理者権限。
    • 全アカウント管理サービスの管理者としての役割。

    あるいは、 サービス ID に関連付けられた API キーを作成 することもできます。 サービス ID API キーは、特定のサービス ID に割り当てられているすべてのアクセス権限を継承します。 そのため、サービス ID のアクセス権限の有効範囲を、構成するデプロイ可能アーキテクチャーに必要な最小限に設定することができます。 このアプローチは、デプロイ可能なアーキテクチャーに基づく特定のアクセス権限を持つトラステッド・プロファイルを使用する場合と似ています。 任意のデプロイ可能アーキテクチャーに必要なアクセス・ロールの検索について詳しくは、 デプロイ可能アーキテクチャーに基づく特定のアクセス権限の付与 を参照してください。

  3. 必要なステップを実行して、 プロジェクトを作成し、デプロイ可能なアーキテクチャーを追加します。 デプロイ可能なアーキテクチャーを構成するときに、API キーまたは既存の秘密を使用してプロジェクトをデプロイすることを許可します。

API キーの作成

APIキーを作成するには、以下の手順に従ってください

  1. IBM Cloud コンソールで、デプロイ先となるアカウントにサインインします。

  2. 「管理」 > 「アクセス(IAM )」> 「APIキー」 に移動します。

  3. **「IBM Cloud API キーの作成」**をクリックします。

  4. API キーの名前と説明を入力します。

  5. 「作成」 をクリックします。

  6. 次に、**「表示」をクリックして API キーを表示します。 または、「コピー」をクリックして後で使用するためにコピーして保存するか、または「ダウンロード」**をクリックします。

    安全上の理由により、API キーをコピーまたはダウンロードできるのは作成時のみになります。 API キーを紛失した場合は、新しい API キーを作成する必要があります。

Secrets Manager への API キーの追加

API キーを作成した後、以下のステップを実行して、プロジェクトが含まれているアカウントの Secrets Manager に追加します。

  1. IBM Cloud アカウントで Secrets Manager サービス・インスタンス を作成します。 Secrets Manager サービス上で、ライター以上の権限が必要です。
  2. シークレット・インスタンスを作成したら、 「その他のシークレット・タイプ (Other secret type)」 を選択して任意のシークレットを追加してください。 任意のシークレットの作成については、 UI での任意のシークレットの作成 を参照してください。 任意のシークレットに API キーが含まれている必要があります。 API キーは、デプロイ先のターゲット・アカウント内に作成する必要があります。

シークレット参照の使用

シークレットを作成した後、そのシークレットを参照として使用して、プロジェクトのデプロイを許可することができます。 参照について詳しくは、 参照値 を参照してください。 シークレット参照を使用してデプロイ可能アーキテクチャーを構成するには、以下の手順を実行します。

  1. IBM Cloud コンソールで、プロジェクトのデプロイ先となるアカウントにサインインします。
  2. メニュー メニュー・アイコン > 「プロジェクト」 に移動します。
  3. 許可するデプロイ可能アーキテクチャー構成が含まれているプロジェクトを選択します。
  4. 「構成」 タブで、構成を選択します。
  5. 編集をクリック
  6. 「構成」セクションで、API キー・フィールドの上にカーソルを移動し、 キー・アイコンを選択します。
  7. サービス・インスタンスを選択し、使用するシークレットを選択して、 「OK」 をクリックします。

また、トラステッド・プロファイルを参照として使用することもできます。 「構成」セクションで、方式として 「トラステッド・プロファイル」 を選択し、トラステッド・プロファイル ID を入力します。 詳しくは、 トラステッド・プロファイルの使用 を参照してください。