Identitätsoperationen
Sie können den Metadatendienst verwenden, um ein Identitätszugriffstoken vom Metadatendienst zu erhalten, ein IAM-Zugriffstoken zu generieren und ein Identitätszertifikat zu erstellen. Diese Tokens und Zertifikate können verwendet werden, um auf die Metadatendienste zuzugreifen, IAM-fähige Dienste aufzurufen und verschlüsselte Verbindungen zwischen Dateifreigaben und virtuellen Serverinstanzen herzustellen.
Token für den Identitätszugang
Ein Identitätszugriffstoken ist ein Sicherheitsnachweis für den Zugriff auf die Metadaten- und VPC-Identitätsdienste. Es handelt sich um ein signiertes Token mit einer Reihe von Ansprüchen, die auf Informationen über die Instanz und Informationen
basieren, die in der Token-Anfrage übermittelt werden. Das Mindestversionsdatum für die Verwendung der Identitätszugriffstoken-Funktion ist 2022-03-01.
Die Kommunikation zwischen der Instanz und dem Metadatendienst bleibt innerhalb des Hosts. Auf das Token greifen Sie aus der Instanz heraus zu. Wenn der sichere Zugriff auf den Metadatendienst auf Ihrer Instanz aktiviert ist, verwenden Sie das Protokoll "https" anstelle des Protokolls "http".
Um das Identitäts-Token zu erhalten, stellen Sie eine PUT /identity/v1/token Anfrage an die API des Metadatendienstes.
Wenn Sie derzeit die /instance_identity/v1/token Methode verwenden und die API-Release-Version 2025-08-26 oder höher übernehmen möchten, lesen Sie die Änderungen, die in der Migrationsanleitung beschrieben sind:
Aktualisierung auf die 2025-08-26 Version der VPC Identity API.
curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26" -H "Metadata-Flavor: ibm" -d '{}'
In der Anfrage können Sie eine Verfallszeit für das Token angeben. Der Standardwert für den Ablauf ist 5 Minuten, aber Sie können jeden Wert zwischen 5 Sekunden und 1 Stunde angeben. Das folgende Beispiel zeigt einen Host, bei dem der sichere Zugriff aktiviert ist. Im nächsten Beispiel wird die Verfallszeit des Tokens mit einer Stunde angegeben.
curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26" -H "Metadata-Flavor: ibm" -d '{"expires_in": 3600}'
Die API-Antwort enthält das Identitätszugriffstoken. Verwenden Sie das Token, um auf den Metadatenservice zuzugreifen.
Die folgende JSON-Antwort zeigt eine Identitätszugriffstoken-Zeichenfolge, das Datum und die Uhrzeit ihrer Erstellung, das Datum und die Uhrzeit ihres Ablaufs sowie die von Ihnen festgelegte Ablaufzeit. Dieser Token verfällt in 5 Minuten.
{
"access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IlZTSS1DUl91cy1lYXN0X2I5...",
"created_at": "2025-06-10T11:08:39.363Z",
"expires_at": "2025-06-10T11:13:39.363Z",
"expires_in": 300
}
Oder Sie können auch den folgenden Befehl verwenden:
identity_token=`curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26"\
-H "Metadata-Flavor: ibm"\
-d '{
"expires_in": 3600
}' | jq -r '(.access_token)'`
Im folgenden Beispiel ist der Rückgabewert des Befehls cURL das Identitätszugriffstoken. Das Token wird extrahiert und jq in die identity_token Umgebungsvariable gesetzt.
identity_token=`curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26"\
-H "Metadata-Flavor: ibm"\
-d '{
"expires_in": 3600
}' | jq -r '(.access_token)'`
Das Beispiel verwendet jq als Parser, ein Drittanbieter-Tool, das unter der MIT-Lizenz lizenziert ist. jq ist möglicherweise nicht auf allen VPC-Images vorinstalliert,
die beim Erstellen einer Instanz verfügbar sind. Möglicherweise müssen Sie vor der Verwendung jq installieren oder einen anderen Parser Ihrer Wahl verwenden.
Sie können die Variable identity_token in einem GET Aufruf an den Metadatendienst angeben, um eine der Metadatenmethoden aufzurufen. Weitere Informationen finden Sie unter Metadaten aus aktiven Instanzen abrufen.
Sie können auch ein IAM-Token aus diesem Identitäts-Token generieren und die RIAS-API verwenden, um IAM-fähige Dienste aufzurufen. Weitere Informationen finden Sie unter Generieren eines IAM-Tokens aus einem Identitätszugriffstoken.
Generieren Sie ein IAM-Token aus einem Identitätszugriffstoken
Um auf IBM Cloud IAM-fähige Dienste im Konto zuzugreifen, können Sie ein IAM-Token aus dem Identitätszugriffstoken und einem vertrauenswürdigen Profil generieren. Nachdem Sie das IAM-Token generiert haben, können Sie es verwenden, um auf IAM-fähige Dienste wie IBM Cloud Object Storage Cloud Database Service und die VPC-APIs zuzugreifen. Sie können das Token mehrfach wiederverwenden.
Stellen Sie eine POST /identity/v1/iam_tokens Anfrage und geben Sie die ID des vertrauenswürdigen Profils an. Diese Anfrage verwendet das Identitätszugriffstoken und ein vertrauenswürdiges Profil, das mit einer virtuellen Serverinstanz
verknüpft ist, um ein IAM-Zugriffstoken zu generieren. Das vertrauenswürdige Profil kann entweder beim Erstellen der Instanz verlinkt oder im Anforderungshauptteil bereitgestellt werden.
Die IAM-API, die zum Übergeben des Identitätszugriffstokens und zum Generieren eines IAM-Tokens verwendet wird, wird nicht mehr unterstützt. Beta-Benutzer müssen zur Metadaten-Service-API migrieren, um ein IAM-Token mit Hilfe von POST /identity/v1/iam_tokens zu generieren.
Beispielanforderung:
iam_token=`curl -X POST "$vpc_metadata_api_endpoint/identity/v1/iam_tokens?version=2025-10-14" \
-H "Authorization: Bearer $identity_token" \
-d '{
"trusted_profile": {
"id": "Profile-8dd84246-7df4-4667-94e4-8cede51d5ac5"
}
}'| jq -r '(.access_token)'`
Die JSON-Antwort zeigt das IAM-Token.
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0aGVfYmVzdCI6I8...",
"created_at": "2025-06-10T14:10:15Z",
"expires_at": "2025-06-10T15:10:15Z",
"expires_in": 3600
}
Weitere Informationen zu vertrauenswürdigen Profilen finden Sie unter Vertrauenswürdiges Profil zum Aufrufen von IAM-fähigen Services verwenden.
Generierung eines Identitätszertifikats mit Hilfe eines Identitätszugriffstokens
Identitätszertifikate sind erforderlich, um die Verschlüsselung bei der Übertragung zwischen virtuellen Serverinstanzen und IBM Cloud® File Storage for VPC-Freigaben erfolgreich zu aktivieren und zu verwenden. Um ein Identitätszertifikat für
die Instanz zu erzeugen, rufen Sie POST /identity/v1/certificates mit dem Identitätszugriffstoken und einer Zertifikatssignierungsanforderung (CSR) auf.
Sie können die Zertifikatssignierungsanforderungen (CSRs) aus dem Open-Source-Befehlszeilen-Toolkit beziehen. OpenSSL
-
Der folgende Befehl generiert eine Certificate Signing Request (CSR) und ein RSA-Schlüsselpaar mithilfe von openssl. Wenn Sie den Befehl ausführen, ersetzen Sie den Ländercode
USdurch Ihren zweistelligen Ländercode in'/C=US'.openssl req -sha256 -newkey rsa:4096 -subj '/C=US' -out ./sslcert.csr -keyout file.key -nodesWenn Sie eine andere Software zur Erstellung der CSR verwenden, werden Sie möglicherweise aufgefordert, Informationen über Ihren Standort einzugeben, z. B. den Ländercode (C), das Bundesland (ST), den Ort (L), den Namen Ihrer Organisation (O) und die Organisationseinheit (OU). Jedes dieser Benennungsattribute kann verwendet werden. Alle anderen Namensattribute, wie beispielsweise gebräuchliche Namen, werden abgelehnt. CSRs mit angegebenem Common Name werden abgelehnt, da das System bei der Anforderung an die Metadaten-API Instanz-ID-Werte auf den Common Name des Betreffs für die Identitätszertifikate anwendet. CSRs mit Erweiterungen werden ebenfalls abgelehnt.
-
Formatieren Sie die CSR, bevor Sie einen API-Aufruf an den Metadatendienst senden, indem Sie den folgenden Befehl verwenden.
awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' sslcert.csr
Dann können Sie die API-Anfrage an den Metadatendienst stellen. Beispiel: Der csr Wert ist erforderlich. Der expires_in Wert ist optional. Der Standardwert für den Ablauf ist 3600, was 1 Stunde entspricht.
curl -X POST "$vpc_metadata_api_endpoint/identity/v1/certificates?version=2024-11-12" \
-H "Authorization: Bearer $identity_token" \
-d '{ "csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICnTCCAYUCAQAwWDELMAkGA1UEBhMCVVMxEjAQBgNVBAgMCU1pbm5lc290YTES\nMBAGA1UEBwwJUm9jaGVzdGVyMSEwHwYDVQQKDBhJbnRlcm5ldCBXaWRnaXRzIFB0\neSBMdGQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCYBvW12cKEkRUu\nyPScs7Xjwu/m+W8pZSQf9wrBa7DBVLFCdh440xOuSnIbsm+BNgYz4wL6/8la+N/K\nff06CdEwy9HLhPYc2z62tECxOBhI1G9gnsRUwb6WHNY71VulZs+37/9Mgd/eQy2n\nKHULNEU7sjNpLYoguKX8GRV3etKDp3tlFQmB6cNGOAgB3aQDmhdAh7K6oftesm0R\n8C7nmFA4SSjaI+855JxoxadlB2cCA5boaQ2gNO6YhYbtuTrMicQb0MTlZmacqzqP\nAxXWD3yFmAuUCpa2tBFBsavSW/kc52m4ldcO60U6hARvOxcXDqrbwu8r1ieY+tcZ\ncqjjBi99AgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEAgAqWjtH3yAsX8QfTa9Pv\n3kktYFQKFsBzntmFDdIrOkeGayWRCuSG06f3sHWH0RuGkpq1x/4bedjcyyNVSna7\nxYX6kPOQX5iqf9pISD7A0XIkfS6XAos7gOh/jadjtxSwPCkuztSqIPKObH9OClAE\nU1fYDEtZCaZxsUdLwWJwOzbsivT97g1UVnbJAEzAJrqyaV4cUbv/w/slytHF+GAg\nNoUvPD8NGOQ+VzuI2oQuK515cyHO1SXrJyvkEVwRVVr3SoasqqWIQRrIv6zgzgik\nLN+uQxpzL1EeTB8qKy7xjymo2y1PbmaZzVNQNaBnxJfLE522pfW69evBRJ1qhrby\nTQ==\n-----END CERTIFICATE REQUEST-----\n"}'
Oder Sie können auch den folgenden Befehl verwenden:
curl -X POST "$vpc_metadata_api_endpoint/identity/v1/certificates?version=2025-08-26" \
-H "Authorization: Bearer $identity_token" \
-d '{ "csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICnTCCAYUCAQAwWDELMAkGA1UEBhMCVVMxEjAQBgNVBAgMCU1pbm5lc290YTES\nMBAGA1UEBwwJUm9jaGVzdGVyMSEwHwYDVQQKDBhJbnRlcm5ldCBXaWRnaXRzIFB0\neSBMdGQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCYBvW12cKEkRUu\nyPScs7Xjwu/m+W8pZSQf9wrBa7DBVLFCdh440xOuSnIbsm+BNgYz4wL6/8la+N/K\nff06CdEwy9HLhPYc2z62tECxOBhI1G9gnsRUwb6WHNY71VulZs+37/9Mgd/eQy2n\nKHULNEU7sjNpLYoguKX8GRV3etKDp3tlFQmB6cNGOAgB3aQDmhdAh7K6oftesm0R\n8C7nmFA4SSjaI+855JxoxadlB2cCA5boaQ2gNO6YhYbtuTrMicQb0MTlZmacqzqP\nAxXWD3yFmAuUCpa2tBFBsavSW/kc52m4ldcO60U6hARvOxcXDqrbwu8r1ieY+tcZ\ncqjjBi99AgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEAgAqWjtH3yAsX8QfTa9Pv\n3kktYFQKFsBzntmFDdIrOkeGayWRCuSG06f3sHWH0RuGkpq1x/4bedjcyyNVSna7\nxYX6kPOQX5iqf9pISD7A0XIkfS6XAos7gOh/jadjtxSwPCkuztSqIPKObH9OClAE\nU1fYDEtZCaZxsUdLwWJwOzbsivT97g1UVnbJAEzAJrqyaV4cUbv/w/slytHF+GAg\nNoUvPD8NGOQ+VzuI2oQuK515cyHO1SXrJyvkEVwRVVr3SoasqqWIQRrIv6zgzgik\nLN+uQxpzL1EeTB8qKy7xjymo2y1PbmaZzVNQNaBnxJfLE522pfW69evBRJ1qhrby\nTQ==\n-----END CERTIFICATE REQUEST-----\n"}'
Bei einer erfolgreichen Antwort wird das neue Zertifikat mit Informationen wie ID, Erstellungs- und Ablaufdatum zurückgegeben.
{
"certificates": [
"-----BEGIN CERTIFICATE-----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\nzXuEUsCxzTyWRTm8GA==\n-----END CERTIFICATE-----\n",
"-----BEGIN CERTIFICATE-----\nMIIEADCCAuigAwIBAgIUDzQruKqvBY7+CS6DL0u93Na6cLMwDQYJKoZIhvcNAQEL\nBQAwgYExCzAJBgNVBAYTAlVTMRIwEAYDVQQIDAlNaW5uZXNvdGExEjAQBgNVBAcM\nCVJvY2hlc3RlcjEMMAoGA1UECgwDSUJNMR4wHAYDVQQLDBVWaXJ0dWFsIFByaXZh\ndGUgQ2xvdWQxHDAaBgNVBAMME1ZQQyBFeGFtcGxlIFJvb3QgQ0EwHhcNMjIxMTAx\nMDM0OTI5WhcNMjcxMDMxMDM0OTI5WjCBiTELMAkGA1UEBhMCVVMxEjAQBgNVBAgM\nCU1pbm5lc290YTESMBAGA1UEBwwJUm9jaGVzdGVyMQwwCgYDVQQKDANJQk0xHjAc\nBgNVBAsMFVZpcnR1YWwgUHJpdmF0ZSBDbG91ZDEkMCIGA1UEAwwbVlBDIEV4YW1w\nbGUgSW50ZXJtZWRpYXRlIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC\nAQEAxjvxOtSFKsJKl4teBLgkX4+myxhClz2Qmg5MnNQ+oyhyNrpYvjG3+O+DrSUK\nKTXzmWSkKU/6BKmHQPNdpd4ymbb0cG7wmpcU3YjjrSNFgd/o3CEK9M7+ofIuQtTX\nXNUQWX5rb3wBqEA1TWazVTZpphhhcGQ8u03VTKvoF4S2DI6L3brDJJ0w1DM9Isaa\nB2mS64VYMIj3jLry39ryGEoYq1a0tC4C9fET3V5NmUnIRNqVDnGGkYBy/57VRACU\nXxXcQuW6eoPYGk6Ho3eKly34eilF2n9xD/bB41R4NzaxO/0lHq+caI5r1WlnTXtF\nE8wLpFoYMkuC0qiKBesyuyef2QIDAQABo2YwZDAdBgNVHQ4EFgQU2MIYc9g4Z7Kj\n79u2HPGYyTk5QHwwHwYDVR0jBBgwFoAUVnTLKJHyjHUcRp22jx+d3uGqnrwwEgYD\nVR0TAQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwDQYJKoZIhvcNAQELBQAD\nggEBADhOBfnBEaWVWCsZo3UR7UlP5/8i3mRgyFt4YkICPMacy2IcnDw8aoyjTO5b\n4BLO4J1m4AmcJnDJcFIEKLBSNbzsiDdP2rWIAAJKO4gKxdTArIuLgq7zrR74j46L\nn6IFwumKQRw0diGYD6wWIo/f9kGy1NQ46igmRYrEfzA5HWitEpF0mu6lz8mZ8m9s\na6CTEqwLFhP+qOcWtpGjNTa+OHENAmmAR4mR4Os4MsBBnb4RA//S/4suW419Cz8N\n1/Ul7KduYRKpRMSiS9YWbCvC5WiEvOvfp8Z4ecXlC+ohU5MLuCRPfP+blBvxNx2O\nsLotlbzDpim/gYiJCHgW3POlsLE=\n-----END CERTIFICATE-----\n"
],
"created_at": "2024-11-12T13:50:14Z",
"expires_at": "2024-11-12T14:50:14Z",
"expires_in": 3600,
"id": "9fd84246-7df4-4667-94e4-8ecde51d5ac5"
}
Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung - Sichern von Mount-Verbindungen zwischen Dateifreigabe und Host.
Erstellen eines vertrauenswürdigen Profils für die Instanz
Vertrauenswürdige Profile für Identitäten von Rechenressourcen helfen Ihnen dabei, einer IBM Cloud® Ressource, beispielsweise einer virtuellen Serverinstanz, eine IBM Cloud® IAM-Identität zuzuweisen. Sie können jeden IAM-fähigen Service aus einer Instanz heraus aufrufen, ohne die geheimen IAM-Schlüssel für die Instanz verwalten und verteilen zu müssen. Sie können ein vertrauenswürdiges Profil erstellen, wenn Sie ein IAM-Token aus einem Identitätszugriffstoken generieren und es mit der Instanz verknüpfen. Weitere Informationen enthält der Abschnitt IAM-fähige Services mit vertrauenswürdigem Profil aufrufen.
Nächste Schritte
Nachdem Sie ein Identitätszugriffstoken erstellt und den Zugriff auf den Metadatendienst aktiviert haben, können Sie Metadaten für die Instanz, SSH-Schlüssel und Platzierungsgruppen abrufen. Weitere Informationen finden Sie unter Abrufen von Metadaten aus einer Instanz.