IBM Cloud Docs
使用可信概要文件授权项目部署体系结构

使用可信概要文件授权项目部署体系结构

有些服务无法通过使用可信配置文件来完全配置和部署架构。 有关更多信息,请参阅 项目的已知问题和限制

配置可部署体系结构时,需要选择认证方法。 项目可以应用 可信概要文件,这将授予项目访问权以在存在可信概要文件的帐户中部署体系结构。 通过这种方式,您可以安全地部署体系结构,而无需密钥轮换。

项目使用可信概要文件来创建与可信概要文件具有相同许可权的服务标识,并使用该服务标识的全新 API 密钥来授权每个部署。 因为临时 API 密钥仅在操作的生存期存在,所以这会提高安全性,因为更难误用。 可信概要文件需要访问权以创建服务标识,创建和删除服务标识的 API 密钥,以及访问权以部署可部署体系结构。

在帐户或其他帐户中部署体系结构

您可以使用可信概要文件在自己的帐户或另一个帐户 (也称为目标帐户) 中部署体系结构。

根据您的组织,部署体系结构可能需要通过使用可信概要文件并与多个帐户中的管理员进行协调来访问其他帐户。 如果另一个帐户中的 IBM Cloud 项目服务需要访问您的帐户以部署体系结构,请使用可信概要文件和服务标识来授权帐户中的部署。

准备工作

确保在要部署体系结构的帐户中创建可信概要文件。 如果您具有以下访问权,那么可以创建可信概要文件:

  • 帐户所有者
  • 所有账户管理服务的管理员角色
  • IAM Identity Service上的管理员角色。 有关更多信息,请参阅 IAM 身份服务

所有用户都有权在其所属的帐户中创建服务标识。

为受信任配置文件创建访问组

有了访问组,你就可以简化访问分配流程,从而减少账户中的管理策略数量,进而提高性能。 您的受信任配置文件会继承您分配给访问组的访问策略。 更多信息,请访问 访问组

如果还没有,请为您的受信任配置文件创建一个访问组,该组可以执行以下操作:

  • 创建服务标识
  • 为服务 ID 创建和删除 API 密钥
  • 部署可部署的体系结构

  1. 单击管理 > 访问 (IAM),然后选择访问组

  2. 单击创建

  3. 提供访问组的名称和可选描述。

  4. 单击创建

  5. 在访问组内,单击访问

  6. 单击分配访问权

  7. 创建一个策略,授予创建服务 ID 和管理服务 ID API 密钥的权限:

    1. 选择 IAM Identity Service 然后点击下一步
    2. 选择 所有资源,然后单击 下一步
    3. 选择服务 ID 创建者角色、用户 API 密钥创建者角色和管理员角色,然后单击下一步
    4. 单击添加

    这使项目能够为每个部署生成唯一的临时 API 密钥,从而避免需要手动轮换 API 密钥。 有关更多信息,请参阅 管理服务标识 API 密钥所需的访问权

  8. 创建授予管理访问组访问权限的策略。 需要使用该策略将临时服务 ID 分配给与受信任配置文件相同的访问组:

    1. 选择 IAM 访问组服务,然后单击下一步
    2. 选择 所有资源,然后单击 下一步
    3. 选择管理员角色,然后点击下一步
    4. 单击添加

  9. 创建授予访问权限以部署架构的策略。 根据可部署架构的不同,这些政策也会有所不同。

    您可以选择几种方法来授予服务 ID 访问权限,以授权账户中的部署。 更多信息,请参阅“授予广泛访问权限”、“授予特定访问权限”或“授予对现有资源的特定访问权限”。

  10. 单击分配

授予广泛访问权

通过分配两个策略,授予可信概要文件管理员对帐户中所有内容的访问权。 如果计划将许多可部署体系结构部署到同一目标帐户,请考虑此选项。 可部署体系结构通常需要目标帐户中的广泛特权,因为它们通常在这些服务上部署和配置各种服务和 IAM 策略。 您可以将同一可信概要文件用于跨项目的不同可部署体系结构,从而无需持续更新可信概要文件的访问策略。

为可信概要文件提供广泛的访问权是安全且方便的,因为概要文件仅包含平台服务,而不包含用户。 项目还具有许多已就绪的 监管检查,包括部署前验证和必需的核准流程。 通过立即授予管理员访问权,您无需更新可能使用的需要不同访问级别的多个可部署体系结构的策略。 这比直接授权用户在目标帐户中拥有任何特权更安全。

要授予广泛的访问权限,可为访问组再分配两个策略。 完成以下步骤:

  1. 要创建第一个策略,请选择 所有启用身份和访问权的服务,然后单击 下一步
    1. 选择 所有资源,然后单击 下一步
    2. 对于资源组访问权,请选择“管理员”角色,然后单击 下一步
    3. 选择“管理者”服务角色和“管理员”平台角色。
    4. 单击添加
  2. 对于第二个策略,选择 所有帐户管理服务,然后单击 下一步
    1. 选择管理员角色,然后点击下一步
    2. 单击添加
  3. 单击分配

根据可部署体系结构授予特定访问权

为可信概要文件授予您正在部署的配置所需的最低访问角色。 如果您有一个或只有几个可部署体系结构具有您计划部署到同一目标帐户的相同访问需求,请选择此选项。

查看目录页面以了解给定可部署体系结构所需的特定访问角色。

  1. 在 IBM Cloud 控制台中,单击目录

  2. 搜索并选择要部署的可部署体系结构。

  3. 单击“权限”查看所需的访问角色。

    您必须登录 IBM Cloud 才能查看“权限”选项卡。

  4. 继续分配在上一步中查看的所需访问角色。

    为受信任配置文件分配的访问组分配策略。

  5. 单击分配

授予对现有资源的特定访问权

如果要使用可信概要文件来 组织项目中的现有资源,那么可以授予可信概要文件对特定资源的访问权,而不是授予对所有资源的访问权。 如果要限制项目可以管理的现有资源,请选择此选项。

为受信任配置文件指定的访问组分配以下策略。

要授予对现有资源的特定访问权限,可为访问组再分配两个策略。 完成以下步骤:

  1. 要创建第一个策略,请选择 所有启用身份和访问权的服务,然后单击 下一步
    1. 选择 特定资源,将访问范围限定为所需资源,然后单击 下一步
    2. 对于资源组访问权,请选择“管理员”角色,然后单击 下一步
    3. 选择“管理者”服务角色和“管理员”平台角色。
    4. 单击添加
  2. 对于第二个策略,选择 Identity and Access Management 然后单击下一步
    1. 选择 所有资源,然后单击 下一步
    2. 选择管理员角色,然后点击下一步
    3. 单击添加
  3. 单击分配

创建可信概要文件

创建访问组并为其分配策略后,创建受信任配置文件并将其添加到访问组。 受信任配置文件继承分配给访问组的访问策略。

完成以下步骤:

  1. 查找项目 CRN。 CRN 用于授权部署到目标账户。

    • 要在 编辑项目配置 时查找项目 CRN,请单击 trusted_profile_id 字段上的工具提示图标并复制 CRN。
    • 否则,请前往 “菜单” 菜单图标 > “项目”,然后点击相关项目。 单击 管理 > 详细信息 并复制 CRN。

  2. 确认您在项目部署到的目标帐户中。

  3. 在 IBM Cloud® 控制台中,单击 管理 > 访问权 (IAM),然后选择 可信概要文件

  4. 单击创建

  5. 通过提供名称和描述来描述概要文件,然后单击 继续

    在描述中,提供可用于此可信概要文件的操作列表。

  6. 选择 IBM Cloud 服务

  7. 从步骤 1 输入 CRN。

  8. 在描述中,输入项目名称和任何相关说明。

  9. 单击继续

  10. 选择包含受信任配置文件所需的策略的访问组,然后单击添加

  11. 单击创建

创建服务标识

创建可信概要文件后,它会自动生成服务标识。 服务标识名称以 iam-Profile 开头,以 platform-project-access 结尾,并在其间包含可信概要文件的标识。 如果从未删除服务标识,那么将在下次使用可信概要文件时重新创建该服务标识。

在 IBM Cloud 项目服务上与管理员协调

编辑体系结构配置的项目用户需要您为完成授权而创建的可信概要文件的标识信息。 用户需要 IBM Cloud 项目服务上的操作员角色或更高角色来编辑配置。

要检索可信概要文件标识值,请完成以下步骤。

查找受信任的配置文件 ID

  1. 在 IBM Cloud 控制台中,单击 管理 > 访问权 (IAM),然后选择 可信概要文件
  2. 选择您为可部署体系结构授权创建的概要文件。
  3. 点击详细信息
  4. 复制以 Profile 开头的概要文件标识。
  5. 将此标识提供给相关项目用户。