IBM Cloud Docs
使用可信概要文件授权项目部署体系结构

使用可信概要文件授权项目部署体系结构

某些服务无法使用可信概要文件来完全配置和部署体系结构。 有关更多信息,请参阅 项目的已知问题和限制

配置可部署体系结构时,需要选择认证方法。 项目可以应用 可信概要文件,这将授予项目访问权以在存在可信概要文件的帐户中部署体系结构。 通过这种方式,您可以安全地部署体系结构,而无需密钥轮换。

项目使用可信概要文件来创建与可信概要文件具有相同许可权的服务标识,并使用该服务标识的全新 API 密钥来授权每个部署。 因为临时 API 密钥仅在操作的生存期存在,所以这会提高安全性,因为更难误用。 可信概要文件需要访问权以创建服务标识,创建和删除服务标识的 API 密钥,以及访问权以部署可部署体系结构。

在帐户或其他帐户中部署体系结构

您可以使用可信概要文件在自己的帐户或另一个帐户 (也称为目标帐户) 中部署体系结构。

根据您的组织,部署体系结构可能需要通过使用可信概要文件并与多个帐户中的管理员进行协调来访问其他帐户。 如果另一个帐户中的 IBM Cloud 项目服务需要访问您的帐户以部署体系结构,请使用可信概要文件和服务标识来授权帐户中的部署。

准备工作

确保在要部署体系结构的帐户中创建可信概要文件。 如果您具有以下访问权,那么可以创建可信概要文件:

  • 帐户所有者
  • 对所有帐户管理服务的管理员角色
  • IAM Identity Service上的管理员角色。 有关更多信息,请参阅 IAM 身份服务

所有用户都有权在其所属的帐户中创建服务标识。

创建可信概要文件

创建可执行以下操作的可信概要文件:

  • 创建服务标识
  • 为服务ID创建和删除API密钥
  • 部署可部署的体系结构

完成以下步骤:

  1. 查找项目 CRN。 CRN 用于将部署授权给目标帐户。

    • 要在 编辑项目配置 时查找项目 CRN,请单击 trusted_profile_id 字段上的工具提示图标并复制 CRN。
    • 否则,请前往 “菜单” 菜单图标 > “项目”,然后点击相关项目。 单击 管理 > 详细信息 并复制 CRN。

  2. 确认您在项目部署到的目标帐户中。

  3. 在 IBM Cloud® 控制台中,单击 管理 > 访问权 (IAM),然后选择 可信概要文件

  4. 单击创建

  5. 通过提供名称和描述来描述概要文件,然后单击 继续

    在描述中,提供可用于此可信概要文件的操作列表。

  6. 选择 IBM Cloud 服务

  7. 从步骤 1 输入 CRN。

  8. 在描述中,输入项目名称和任何相关说明。

  9. 单击继续

  10. 分配访问权。

    1. 选择 访问策略

    2. 创建用于授予可信概要文件访问权以创建服务标识和管理服务标识 API 密钥的策略:

      1. 选择 IAM Identity Service,然后点击 “下一步”。
      2. 选择 所有资源,然后单击 下一步
      3. 选择“服务标识创建者”角色和“管理员”角色,然后单击 下一步
      4. 单击添加

      这使项目能够为每个部署生成唯一的临时 API 密钥,从而避免需要手动轮换 API 密钥。 有关更多信息,请参阅 管理服务标识 API 密钥所需的访问权

    3. 创建用于授予可信概要文件访问权以部署可部署体系结构的策略。

      您可以从几种方法中进行选择,以授予服务标识访问权来授权帐户中的部署。 请参阅 授予广泛访问权授予特定访问权 以获取更多信息。

    4. 单击添加

  11. 单击创建

授予广泛访问权

通过分配两个策略,授予可信概要文件管理员对帐户中所有内容的访问权。 如果计划将许多可部署体系结构部署到同一目标帐户,请考虑此选项。 可部署体系结构通常需要目标帐户中的广泛特权,因为它们通常在这些服务上部署和配置各种服务和 IAM 策略。 您可以将同一可信概要文件用于跨项目的不同可部署体系结构,从而无需持续更新可信概要文件的访问策略。

为可信概要文件提供广泛的访问权是安全且方便的,因为概要文件仅包含平台服务,而不包含用户。 项目还具有许多已就绪的 监管检查,包括部署前验证和必需的核准流程。 通过立即授予管理员访问权,您无需更新可能使用的需要不同访问级别的多个可部署体系结构的策略。 这比直接授权用户在目标帐户中拥有任何特权更安全。

  1. 要创建第一个策略,请选择 所有启用身份和访问权的服务,然后单击 下一步
    1. 选择 所有资源,然后单击 下一步
    2. 对于资源组访问权,请选择“管理员”角色,然后单击 下一步
    3. 选择“管理者”服务角色和“管理员”平台角色。
    4. 单击添加
  2. 对于第二个策略,选择 所有帐户管理服务,然后单击 下一步
    1. 选择管理员角色,然后点击下一步
    2. 单击添加
  3. 单击创建

根据可部署体系结构授予特定访问权

为可信概要文件授予您正在部署的配置所需的最低访问角色。 如果您有一个或只有几个可部署体系结构具有您计划部署到同一目标帐户的相同访问需求,请选择此选项。

查看目录页面以了解给定可部署体系结构所需的特定访问角色。

  1. 在 IBM Cloud 控制台中,点击 “目录”。

  2. 搜索并选择要部署的可部署体系结构。

  3. 单击 部署 IBM Cloud Schematics 以查看所需的访问角色。

    您尚未部署。 这是查看所需访问角色的快速方法。

  4. 通过将您在上一步中查看的必需访问角色分配给可信概要文件来继续操作。

    有关分配访问权的更多信息,请参阅 创建服务标识

  5. 单击创建

授予对现有资源的特定访问权

如果要使用可信概要文件来 组织项目中的现有资源,那么可以授予可信概要文件对特定资源的访问权,而不是授予对所有资源的访问权。 如果要限制项目可以管理的现有资源,请选择此选项。

  1. 要创建第一个策略,请选择 所有启用身份和访问权的服务,然后单击 下一步
    1. 选择 特定资源,将访问范围限定为所需资源,然后单击 下一步
    2. 对于资源组访问权,请选择“管理员”角色,然后单击 下一步
    3. 选择“管理者”服务角色和“管理员”平台角色。
    4. 单击添加
  2. 对于第二个策略,选择 所有帐户管理服务,然后单击 下一步
    1. 选择管理员角色。
    2. 单击添加
  3. 单击创建

创建服务标识

创建可信概要文件后,它会自动生成服务标识。 服务标识名称以 iam-Profile 开头,以 platform-project-access 结尾,并在其间包含可信概要文件的标识。 如果从未删除服务标识,那么将在下次使用可信概要文件时重新创建该服务标识。

在 IBM Cloud 项目服务上与管理员协调

编辑体系结构配置的项目用户需要您为完成授权而创建的可信概要文件的标识信息。 用户需要 IBM Cloud 项目服务上的操作员角色或更高角色来编辑配置。

要检索可信概要文件标识值,请完成以下步骤。

查找可信的个人资料ID

  1. 在 IBM Cloud 控制台中,单击 管理 > 访问权 (IAM),然后选择 可信概要文件
  2. 选择您为可部署体系结构授权创建的概要文件。
  3. 点击 “详情”。
  4. 复制以 Profile 开头的概要文件标识。
  5. 将此标识提供给相关项目用户。