IBM Cloud Docs
Verwenden Sie vertrauenswürdige Profile als Grundlage für sichere Cloudumgebungen

Verwenden Sie vertrauenswürdige Profile als Grundlage für sichere Cloudumgebungen

Für dieses Lernprogramm können Kosten anfallen. Mit dem Kostenschätzer können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung generieren.

IBM Cloud MitIdentity and Access Management(IAM) können Sie steuern, welche Benutzer Ressourcen in Ihrer Cloudumgebung anzeigen, erstellen, verwenden und verwalten. Ihre Umgebung kann ein einzelnes IBM Cloud-Konto, mehrere Konten oder ein Unternehmen mit einer Hierarchie aus vielen Kontogruppen und Konten sein. Bei der Verwendung von Kontoressourcen sind häufig Benutzer und Service-IDs beteiligt. Es sind jedoch weitere Optionen verfügbar, um den Zugriff zu verwalten, Berechtigungen zuzuweisen und vertrauenswürdige Profile zu identifizieren.

In diesem Lernprogramm erfahren Sie mehr über vertrauenswürdige Profile, deren Anwendungsfälle und deren Verwendung für erweiterte Sicherheit. Vertrauenswürdige Profile können als Grundlage für sichere Cloudumgebungen und als Baustein für sichere Cloudlösungen dienen. Im Rahmen dieses Lernprogramms erstellen Sie ein vertrauenswürdiges Profil, das von einer App für die Ausführung von Verwaltungsaufgaben verwendet wird.

Ziele

  • Weitere Informationen zu Anwendungsfällen für vertrauenswürdige Profile
  • Erstellen Sie vertrauenswürdige Profile und verwalten Sie den Zugriff auf Cloudressourcen
  • Vertiefen Sie Ihr Wissen über Identity and Access Management (IAM)

Architektur
Lösungsarchitektur

  • Das Container-Image für die Anwendung wird aus Container Registry extrahiert und im Kubernetes-Cluster in einem Namespace bereitgestellt.
  • Der Benutzer stellt eine Verbindung zu der Anwendung her.
  • Die Anwendung liest ein spezielles Zugriffstoken aus der Kubernetes-Umgebung und wandelt es in ein IAM-Zugriffstoken für ein vertrauenswürdiges Profil um.
  • IAM protokolliert Auditing-Ereignisse in IBM Cloud Activity Tracker Event Routing.

Vorbereitende Schritte

Dieses Lernprogramm erfordert keine Installation und verwendet nur die IBM Cloud-Konsole.

Der IBM Cloud Activity Tracker Event Routing muss so konfiguriert sein, dass er Auditing-Ereignisse an eine IBM Cloud Logs Zielinstanz weiterleitet. Leiten Sie globale Audit-Ereignisse weiter, wie in der Konfiguration eines IBM Logs-Ziels beschrieben, falls dies noch nicht in Ihrem Konto konfiguriert ist.

Übersicht: Vertrauenswürdige Profile

Ähnlich wie Benutzer und Service-IDs sind vertrauenswürdige Profile Identitäten, denen Zugriff in IAM-Richtlinien erteilt werden kann. Vertrauenswürdige Profile unterscheiden sich dadurch, dass sie keine eigenen API-Schlüssel erstellen können. Sie sind eine Identität in einem bestimmten Konto, die als "Gateway" für jemanden oder etwas anderes dient, um in diesem Konto zu arbeiten, ohne dass ein API-Schlüssel erforderlich ist. Sie können die Identität dieses vertrauenswürdigen Profils annehmen.

Sie konfigurieren diese Person oder etwas anderes (siehe unten) als Teil der vertrauenswürdigen Profilkonfiguration. Alle üblichen Optionen sind verfügbar, die API IBM Cloud, die CLI, alle verfügbaren SDKs, Terraform oder die Konsole IBM Cloud.

In der Konsole haben vertrauenswürdige Profile als Teil der IAM-Kategorie einen eigenen Abschnitt. Dort können Sie sie einfach erstellen und verwalten. Der folgende Screenshot zeigt den zweiten Schritt des Dialogs zum Erstellen eines vertrauenswürdigen Profils. Sie können konfigurieren, wie Vertrauen hergestellt wird, welche Entität die Identität des vertrauenswürdigen Profils annehmen kann. Es handelt sich um eine oder mehrere der folgenden:

  • Föderierte Benutzer
  • Rechenressourcen
  • IBM Cloud-Services
  • Service-IDs

Entitätstypen für vertrauenswürdige Profile
Vertrauenswürdige Entitätstypen

Anwendungsfälle für vertrauenswürdige Profile

Anerkannte Profile sind Identitäten in IBM Cloud. Sie können Mitglieder von IAM-Zugriffsgruppen sein und haben dadurch Zugriffsberechtigungen. Ähnlich wie Benutzer und Service-IDs können Sie auch direkt Zugriff auf vertrauenswürdige Profile zuweisen. Das Unterscheidungsmerkmal ist die Fähigkeit, ein vertrauenswürdiges Profil zu konfigurieren, damit bestimmte Identitäten oder Ressourcen unter seiner Identität agieren können. Diese Identitäten und Ressourcen können sich sogar in anderen Accounts befinden. Auf höherer Ebene ist der-Anwendungsfall für die Verwendung vertrauenswürdiger Profile so, dass Verwaltungsarbeit möglich ist.

  • mit einer bestimmten Gruppe von Zugriffsrechten
  • unter einer bestimmten Identität
  • für Identitäten oder Ressourcen, die durch eine Gruppe von Eigenschaften identifiziert werden, die als Teil des vertrauenswürdigen Profils konfiguriert sind.

Die folgenden Szenarien sind solche Anwendungsfälle für vertrauenswürdige Profile, die sich von der Art und Weise unterscheiden, wie die Vertrauensbeziehung hergestellt wird:

  • Föderierte Benutzer und ihre Gruppenzugehörigkeit IBM Cloud-Zugriffsrechten zuordnen: Konfigurieren Sie ein vertrauenswürdiges Profil, damit Benutzer eines föderierten Identitätsproviders seine Identität annehmen können. Sie können definieren, welcher IdP und welche Benutzerattribute berücksichtigt werden sollen.
  • Verwaltungstasks über dedizierte Rechenressourcen ausführen: Sie können ein vertrauenswürdiges Profil konfigurieren, um über eine bekannte Rechenressource Vertrauen aufzubauen. Eine solche Ressource kann ein bestimmter Pod in einem Kubernetes-Cluster (einschließlich Red Hat OpenShift on IBM Cloud) oder eine virtuelle Serverinstanz (VSI) in einer virtuellen privaten Cloud (IBM Cloud VPC) sein.
  • Verwaltungstasks von einer anerkannten Service-ID ausführen: Eine Service-ID desselben oder eines anderen Accounts darf die Identität des vertrauenswürdigen Profils annehmen.
  • Cloudressourcen aus einer Instanz eines speziellen Cloud-Service implementieren: Konfigurieren Sie eine Instanz eines IBM Cloud-Service, der durch seinen CRN (Name der Cloudressource) angegeben wird, damit die Identität eines vertrauenswürdigen Profils angenommen werden kann. Ein typisches Szenario ist ein Unternehmensprojekt zur Implementierung einer Architektur.

Vertrauensbeziehung herstellen

Wie in der Übersicht beschrieben, gibt es verschiedene Optionen, wie Sie Vertrauen aufbauen und wie eine Entität die Identität eines vertrauenswürdigen Profils annehmen kann.

Föderierte Identität

Benutzer, die eine Unternehmens-oder Unternehmens-SSO-ID für die Anmeldung bei IBM Cloud verwenden, werden als föderierte Identitäten bezeichnet. Der SSO-Provider fungiert als Identitätsprovider (IdP). Ein großer Vorteil der Verwendung föderierter Identitäten ist, dass Benutzer keine neuen Berechtigungsnachweise benötigen, um IBM Cloud zu verwenden, und weiterhin den IdP ihres Unternehmens für die Authentifizierung verwenden können.

Föderierte Identitäten können mit vertrauenswürdigen Profilen und in dynamischen Regeln von IAM-Zugriffsgruppen verwendet werden.

Rechenressource

Anstelle von Benutzereigenschaften, die von einem Identitätsprovider bereitgestellt werden, wird in diesem Fall die Vertrauensbeziehung über Attribute von Rechenressourcen hergestellt. Sie können so konfigurieren, dass nur eine App anerkannt wird, die in einem bestimmten Namensbereich und Pod in einem Kubernetes-Cluster oder einer virtuellen Serverinstanz in einer VPC mit einer bestimmten Kombination von Werten für Ressourcengruppe, Region, Teilnetz und Zone ausgeführt wird. Diese vertrauenswürdige App kann die Identität des vertrauenswürdigen Profils übernehmen und Tasks mit den zugewiesenen Berechtigungen ausführen.

Der Vorteil der Verwendung eines vertrauenswürdigen Profils auf der Basis einer Rechenressource besteht darin, dass diese Lösung die Verwendung eines API-Schlüssels vermeidet. Daher gibt es keine Anforderungen und Herausforderungen beim Erstellen, Speichern und Schützen von gemeinsam genutzten API-Schlüsseln sowie beim Zuordnen und Verwalten von Berechtigungen. Die App, die die Identität eines vertrauenswürdigen Profils annimmt, ruft einfach ein Token für spezielle Rechenressourcen ab und wandelt es dann in ein reguläres IAM-Zugriffstoken für das vertrauenswürdige Profil um. Danach können die beabsichtigten Tasks mit dem zur Authentifizierung bereitgestellten Token ausgeführt werden.

Im Blogbeitrag Developer Tricks: Simulate Cloud Security for Local App Development finden Sie Hintergrundinformationen zum Token für Rechenressourcen. Erfahren Sie, wie Sie Apps mit diesem Token lokal entwickeln und testen.

Service-ID

Eine weitere Methode zum Herstellen einer Vertrauensbeziehung ist die Angabe einer Service-ID. Die Service-ID kann aus demselben oder einem anderen Konto stammen. Da Service-IDs in allen IBM Cloud-Accounts eindeutige Identitäten sind, müssen keine weiteren Attribute konfiguriert werden. Nach dieser Konfiguration kann eine Service-ID von Konto A jetzt anfordern, die Identität eines vertrauenswürdigen Profils in Konto B anzunehmen und (Verwaltungs-) Aufgaben auszuführen.

Cloud-Service-Instanz

Ähnlich wie eine Service-ID ist es möglich, den Cloudressourcennamen (CRN) einer IBM Cloud-Serviceinstanz anzugeben, sodass die Instanz eine vertrauenswürdige Ressource ist. Diese Serviceinstanz kann sich in demselben oder einem anderen Konto befinden. Derzeit ist das einzige unterstützte Szenario für ein Unternehmensprojekt zur Implementierung einer Architektur. Projekte als Serviceinstanzen mit implementierbaren Architekturen können zentral in einem Konto verwaltet werden. Wenn Sie über den CRN des Projekts Vertrauen aufbauen, kann es die Identität eines vertrauenswürdigen Profils in einem anderen Konto in derselben oder einer anderen Unternehmenskontenhierarchie annehmen und anschließend ein Lösungsmuster mit seinen Ressourcen implementieren.

Vertrauenswürdiges Profil mit Rechenressource

Um die Theorie in die Praxis umzusetzen, werden Sie eine containerisierte Anwendung autorisieren, Aufgaben in einem IBM Cloud Konto auszuführen. Die App wird in einem Kubernetes-Cluster bereitgestellt. Sie dient als Rechenressource, die verwendet wird, um die Vertrauenswürdigkeit für die Verwendung des vertrauenswürdigen Profils herzustellen. Sie können alle folgenden Schritte in einem Web-Browser mit mehreren geöffneten Registerkarten ausführen. Stellen Sie sicher, dass die Browserregisterkarten wie angewiesen geöffnet bleiben.

Aus Sicherheitsgründen arbeitet die App im Lesezugriffsmodus. Er versucht, eine Liste Ihrer implementierten Ressourcen zusammenzustellen. Sie weisen der App Berechtigungen zu, die bestimmen, welche Ressourcen sie lesen kann. Darüber hinaus werden Sie die App auf eine Weise bereitstellen, sodass nur innerhalb des Kubernetes-Clusters auf sie zugegriffen werden kann, nicht über das öffentliche Internet.

Im Blogbeitrag Turn Your Container into a Trusted Cloud Identity wird dasselbe Szenario erläutert.

Kubernetes-Cluster als Rechenressource

Kubernetes Service bietet eine Umgebung zur Bereitstellung von hoch verfügbaren Apps in Containern, die in Kubernetes-Clustern ausgeführt werden.

Überspringen Sie diesen Abschnitt, wenn Sie bereits einen Cluster haben, den Sie für dieses Tutorial wiederverwenden möchten. Im weiteren Verlauf dieses Tutorials wird der Clustername als "mycluster-tpcr" bezeichnet. Ersetzen Sie ihn einfach durch den Namen Ihres Clusters. Beachten Sie die erforderliche Mindestversion von Kubernetes von 1.21.

Ein Mindestcluster mit einer (1) Zone, einem (1) Workerknoten und der kleinsten verfügbaren Größe (Version) ist für dieses Lernprogramm ausreichend. Eine Kubernetes-Version von 1.21 ist erforderlich. Stellen Sie sicher, dass Sie bei der Erstellung des Clusters eine korrekte Version auswählen.

Öffnen Sie die Kubernetes-Cluster und klicken Sie auf Cluster erstellen. Weitere Details zum Clustertyp finden Sie in der unten angegebenen Dokumentation. Übersicht:

  • Klicken Sie auf Standard-Cluster
  • Informationen zu Kubernetes in der VPC-Infrastruktur finden Sie in der Referenzdokumentation unter VPC-Cluster erstellen.
    • Klicken Sie auf VPC erstellen:
      • Geben Sie einen Namen für die VPC ein.
      • Wählen Sie dieselbe Ressourcengruppe wie für den Cluster aus.
      • Klicken Sie auf Erstellen.
    • Ordnen Sie jedem von Ihnen erstellten Teilnetz ein Public Gateway zu:
      • Navigieren Sie zu Virtual Private Clouds.
      • Klicken Sie auf die zuvor erstellte VPC für den Cluster.
      • Blättern Sie abwärts zum Abschnitt für Teilnetze und klicken Sie auf ein Teilnetz.
      • Klicken Sie im Abschnitt Public Gateway auf Abgehängt, um den Status in Zugeordnet zu ändern.
      • Klicken Sie auf die Schaltfläche Zurück des Browsers, um zur VPC-Detailseite zurückzukehren.
      • Wiederholen Sie die vorherigen drei Schritte, um jedem Teilnetz ein öffentliches Gateway zuzuordnen.
  • Informationen zu Kubernetes in der klassischen Infrastruktur finden Sie in der Referenzdokumentation Creating classic cluster.
  • Wählen Sie eine Ressourcengruppe aus.
  • Wählen Sie alle Zonen bis auf eine ab.
  • Führen Sie ein Scale-down auf 1 Workerknoten pro Zone durch.
  • Wählen Sie die kleinste Worker-Pool-Version aus.
  • Verwenden Sie für Clustername mycluster-tpcr.
  • Deaktivieren Sie alle Sicherheitsoptionen für diesen Demonstrationscluster, der nach Beendigung dieses Tutorials gelöscht werden soll. Es wird wichtig sein, diese für andere von Ihnen erstellte Cluster sorgfältig zu bewerten.

Wenn der Cluster bereitgestellt wird, lassen Sie die Browserregisterkarte (Clusterübersicht) geöffnet und für einen späteren Zeitpunkt verfügbar. Sie können dennoch mit den nächsten Schritten fortfahren.

Vertrauenswürdiges Profil erstellen

  1. Verwenden Sie in einer neuen Browserregisterkarte (Vertrauenswürdiges IAM-Profil) die oberste Navigation Verwalten > Zugriff (IAM) und dann links Vertrauenswürdige Profile, um zur Übersicht Vertrauenswürdige Profile zu gelangen. Erstellen Sie dann ein neues vertrauenswürdiges Profil.
  2. Verwenden Sie TPwithCR als Name und geben Sie eine kurze Beschreibung ein, z. B. Test trusted profile with compute resource. Klicken Sie anschließend auf Weiter.
  3. Auf der zweiten Formularregisterkarte unter Vertrauenswürdige Entität auswählen wählen Sie Ressourcen berechnen aus und ein Dialogfenster Vertrauensbeziehung erstellen wird angezeigt. Wählen Sie dort Kubernetes als Berechnungsservicetyp aus.
  4. Als Nächstes können Sie zwischen allen oder bestimmten Serviceressourcen entscheiden.
    • Klicken Sie auf Bestimmte Ressourcen. Das nächste Formularfeld wird angezeigt.
    • Klicken Sie unter Instanz eingeben oder auswählen auf Ressource hinzufügen. Wählen Sie dann im Feld Zugriff zulassen auf den Kubernetes-Cluster mycluster-tpcr aus.
    • Geben Sie dann tptest als Wert für Namespace ein. Übernehmen Sie für das Feld Servicekonto den Standardwert.
    • Klicken Sie abschließend auf "Weiter ".
  5. Klicken Sie als Nächstes auf Zugriffsrichtlinie. Wählen Sie in der Liste der Services Alle Services mit aktiviertem Identity and Access Management aus und klicken Sie auf Next. Wählen Sie Alle Ressourcen aus, klicken Sie erneut auf Weiter, wählen Sie Viewer aus und klicken Sie dann wieder auf Weiter. Wählen Sie im Abschnitt Rollen und Aktionen Leser für Servicezugriff und Anzeigeberechtigter für Plattformzugriff aus. Klicken Sie anschließend auf Weiter und schließlich auf Hinzufügen.
  6. Überprüfen Sie die Zusammenfassung auf der rechten Seite und Erstellen Sie das vertrauenswürdige Profil mit der angezeigten Vertrauensbeziehung und den aufgelisteten Zugriffsberechtigungen. Lassen Sie die Browserregisterkarte für später geöffnet.

Die Verwendung einer Zugriffsgruppe zum Zuweisen von Zugriff ist Best Practices. Der Einfachheit halber haben wir festgelegt, dass Lesezugriff über eine Richtlinie für direkten Zugriff erteilt werden soll. Es wird empfohlen, eine Zugriffsgruppe mit zugewiesenen Berechtigungen zu erstellen und dann das vertrauenswürdige Profil als Mitglied zu definieren.

App bereitstellen

Wenn der Kubernetes-Cluster und das vertrauenswürdige Profil vorhanden sind, ist es an der Zeit, eine einfache Test-App bereitzustellen. Der Quellcode für die App und die Konfiguration befinden sich im GitHub-Repository trusted-profile-enterprise-security. Sie benötigen es nicht für die Bereitstellung, aber möglicherweise daran interessiert, wie es dennoch funktioniert.

  1. Überprüfen Sie auf der Browserregisterkarte cluster overview, ob der Cluster vollständig implementiert wurde. In einer Ein-Knoten-Konfiguration kann der Eingangsstatus eine Warnung anzeigen. Aktualisieren Sie den Browser und überprüfen Sie, ob die anderen Häkchen grün sind. Wenn dies der Fall ist, klicken Sie auf Kubernetes-Dashboard und eine neue Browserregisterkarte wird geöffnet (Kubernetes-Dashboard).

  2. Suchen Sie oben links nach dem Namensbereichsselektor und wechseln Sie zu Alle Namensbereiche.

  3. Klicken Sie oben rechts auf +, um eine neue Ressource zu erstellen. Fügen Sie den folgenden Inhalt in das Textformular Aus Eingabe erstellen ein.

    apiVersion: v1
    kind: Namespace
    metadata:
      name: tptest
      labels:
        name: tptest
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: trustedprofile-test
      namespace: tptest
    spec:
      ports:
      - port: 8080
        targetPort: 8080
        protocol: TCP
      type: ClusterIP
      selector:
        app: tptest
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: trustedprofile-test-deployment
      namespace: tptest
    spec:
      selector:
        matchLabels:
          app: tptest
      replicas: 1
      template:
        metadata:
          labels:
            app: tptest
        spec:
          containers:
          - name: tptest-container
            image: icr.io/solution-tutorials/tutorial-trusted-profile-enterprise-security:v1.0.3
            imagePullPolicy: Always
            ports:
            - containerPort: 8080
            volumeMounts:
            - mountPath: /var/run/secrets/tokens
              name: sa-token
          serviceAccountName: default
          volumes:
          - name: sa-token
            projected:
              sources:
              - serviceAccountToken:
                  path: sa-token
                  expirationSeconds: 3600
                  audience: iam
    

    Klicken Sie anschließend auf Hochladen, um die Ressourcen für die App zu erstellen. Sie enthält einen neuen Kubernetes tptest, eine Bereitstellung und einen Service mit einem Pod.

    Sie finden den Quellcode für für die obige YAML-Konfiguration unter GitHub.

  4. Klicken Sie in der linken Navigationsspalte auf Implementierungen, um den Status der neuen Implementierung trustedprofile-test-deployment zu überprüfen. Klicken Sie als Nächstes in derselben Navigationsspalte auf Pods und beachten Sie einen Pod mit einem Namen, der mit trustedprofile-test-deployment beginnt. Sobald der Status grün angezeigt wird, fahren Sie mit dem nächsten Bereich fort.

Vertrauenswürdiges Profil testen

Mit dem vertrauenswürdigen Profil und dem Kubernetes-Cluster mit der aktiven App ist es an der Zeit, den Test durchzuführen. Öffnen Sie zunächst eine browserbasierte Shell, um Befehle auszuführen, eine Registerkarte für die Containerprotokolle und eine weitere für die IBM Cloud Logs.

  1. Klicken Sie auf der derzeit aktiven Registerkarte Kubernetes-Dashboard mit den Pods auf das Menü mit drei Punkten auf der rechten Seite und Rechtsklick auf Exec in diesem Menü. Öffnen Sie den Link auf einer neuen Registerkarte (Container-Shell). Er öffnet eine Shell für den aktiven Container. Klicken Sie auf der Browserregisterkarte Kubernetes-Dashboarderneut auf das Menü mit den drei Punkten und anschließend mit der linken Maustaste auf Protokolle. Aktivieren Sie im neuen Menü mit drei Punkten die Option Automatische Aktualisierung.

    Öffnen Sie schließlich eine Registerkarte mit dem DienstIBM Cloud Logs, wählen Sie die Registerkarte "Cloud Logs" und klicken Sie auf den Namen der Instanz, die die Überwachungsereignisse empfängt.

  2. Führen Sie auf der Browserregisterkarte Container-Shellden folgenden Befehl in der Shell aus, um die App zu testen:

    curl -s localhost:8080
    

    Oben sollte ein JSON-Objekt mit codeversion und result zurückgegeben werden. Auf der Registerkarte Kubernetes-Dashboard mit den Protokollen sollten neue Protokollaktivitäten angezeigt werden. Führen Sie als Nächstes auf der Registerkarte Container-Shell den folgenden Befehl aus:

    curl -s localhost:8080/api/listresources_crn | jq
    

    Der Befehl ruft die App auf und versucht, die Liste der Ressourcen im Account abzurufen, aber es wird kein vertrauenswürdiger Profilname angegeben. Das Ergebnis sollte ein formatiertes JSON-Objekt mit einer Fehlernachricht sein.

  3. Wiederholen Sie den obigen Befehl, aber geben Sie jetzt an, welches vertrauenswürdige Profil verwendet werden soll:

    curl -s localhost:8080/api/listresources_crn?tpname=TPwithCR | jq
    

    Jetzt sollte das Ergebnis ein formatiertes JSON-Objekt mit Informationen über die Ressourcen in Ihrem Account sein. Zur besseren Lesbarkeit werden nur die Ressourcen-CRNs zurückgegeben. Verwenden Sie localhost:8080/api/listresources für die vollständigen Objektdetails. Sie können auch einen anderen, nicht vorhandenen vertrauenswürdigen Profilnamen verwenden und die Fehlernachricht überprüfen.

    Beim Aufruf liest die App zuerst das Token für die Rechenressource. Anschließend wird das Token in ein IAM-Zugriffstoken für das angegebene vertrauenswürdige Profil umgewandelt. Zuletzt wird die IBM Cloud-Ressourcencontroller-API aufgerufen, um Informationen zu Serviceinstanzen abzurufen. Das Ergebnis hängt von den konfigurierten Berechtigungen des vertrauenswürdigen Profils ab. Untersuchen Sie bei Bedarf den App-Quellcode.

  4. Wechseln Sie zur Browser-Registerkarte IBM Cloud Logs und verwenden Sie das Suchfeld am unteren Rand, um nach dem Begriff Profil zu suchen. Dies muss die Instanz sein, die als Ziel für Auditing-Ereignisse konfiguriert ist. It should return at least one line with IAM Identity Service: login.computeresource-token TPwithCR. Open the info panel to expand the record to examine details, look for the initiator section. Er listet das vertrauenswürdige Profil, das für die Anforderung verwendet wurde, und Informationen zur Rechenressource auf. Der authName sollte mit Ihrer Bereitstellung auf der Browser-Registerkarte des Kubernetes übereinstimmen.

    IBM Cloud Logs showing details of the trusted profile request
    Details in the activity log

  5. Rufen Sie nun die Browserregisterkarte Kubernetes-Dashboard auf und überprüfen Sie das Containerprotokoll. Die App gibt Details zum JWT-Zugriffstoken aus, das sie für die Authentifizierung zum Auflisten der Ressourcen verwendet. Untersuchen Sie die einzelnen Schlüssel/Wert-Paare, einschließlich sub (Subjekt) zweimal. Sie beziehen sich auf das vertrauenswürdige Profil und die Rechenressource.

  6. Wechseln Sie zur Browserregisterkarte IAM trusted profile mit der Konfiguration für TPwithCR. Klicken Sie im Formular auf die Registerkarte Zugriff und wählen Sie dann im Menü mit den drei Punkten für Alle Services mit aktiviertem Identity and Access Management die Option Bearbeiten aus. Jetzt sollte Richtlinie für TPwithCRbearbeiten angezeigt werden. Klicken Sie für Ressourcen auf Bearbeiten und wählen Sie Bestimmte Ressourcen aus. Wählen Sie Region als Attributtyp und als Wert aus, z. B. Frankfurt. Klicken Sie auf Speichern, um den Vorgang abzuschließen.

  7. Wechseln Sie zurück zur Browserregisterkarte Container-Shell und führen Sie den folgenden Befehl erneut aus, um Ressourcen aufzulisten:

    curl -s localhost:8080/api/listresources?tpname=TPwithCR | jq
    

    Das Ergebnis kann von oben abweichen, je nachdem, wo Sie andere Ressourcen in Ihrem Konto bereitgestellt haben. Überprüfen Sie die IBM Cloud Logs Protokolle und die Browser-Tabs des Kubernetes auf neue Protokollaktivitäten.

  8. Sie können zu Schritt 6 zurückkehren und die Zugriffsrichtlinie erneut bearbeiten und dann mit Schritt 7 erneut testen. Einige Ideen für das Bearbeiten der Zugriffsrichtlinie wären das Hinzufügen von Regionen oder das Beschränken auf bestimmte Services anstelle von Alle Services mit aktiviertem Identity and Access Management.

Ressourcen entfernen

Wenn Sie das obige Szenario mit vertrauenswürdigen Profilen und Rechenressourcen getestet haben, können Sie die Ressourcen wie folgt entfernen:

  1. Wenn Sie den Kubernetes-Cluster löschen möchten, klicken Sie oben rechts auf der Browserregisterkarte auf Aktionen Clusterübersichtund anschließend auf Cluster löschen.
  2. Klicken Sie auf der Registerkarte IAM vertrauenswürdige Profile mit dem vertrauenswürdigen Profil TPwithCR auf Aktionen und Entfernen, um das vertrauenswürdige Profil zu löschen.

Je nach Ressource wird diese möglicherweise nicht sofort gelöscht, sondern (standardmäßig für 7 Tage) aufbewahrt. Sie können die Ressource zurückfordern, indem Sie sie permanent löschen oder innerhalb des Aufbewahrungszeitraums wiederherstellen. In diesem Dokument erfahren Sie mehr zur Verwendung der Ressourcenrückforderung.