IBM Cloud Docs
Verbindungsanforderungen überprüfen

Verbindungsanforderungen überprüfen

Als Service-Provider sind Sie für die Verwaltung Ihrer Konsumentenkonto-IDs verantwortlich. Derzeit wird die Verfolgung oder Validierung von Konto-IDs nicht unterstützt. Weitere Informationen finden Sie unter Zuständigkeiten für die Verwaltung von Kundenkonto-IDs.

Wenn Ihre Standardrichtlinie auf Überprüfen gesetzt ist oder wenn Sie Accountrichtlinien auf Überprüfen gesetzt haben, werden Sie über eingehende Verbindungsanforderungen benachrichtigt. Sie können wählen zwischen Zulassen, Ablehnen oder Widerrufen dieser Anfragen. Auf der Seite 'Details' des Service 'Privater Pfad' können Sie auch zulässige, verweigerte oder abgelaufene Verbindungsanforderungen anzeigen.

Bei der Arbeit mit Verbindungsanforderungen stehen drei Optionen zur Auswahl:

  • Zulassen-Ermöglicht die Anforderung des Accounts, eine Verbindung zum Service herzustellen. Überprüfen Sie die ID des Ursprungskontos, um sicherzustellen, dass die Verbindungsanfrage legitim ist. Sie sollten nur Anfragen von bekannten Quellen annehmen. Wenn Sie diesen Antrag nicht anerkennen, können Sie ihn ablehnen oder ihn automatisch verfallen lassen.

  • Verweigern-Verweigert die Anforderung des Accounts, eine Verbindung zum Service herzustellen. Wenn Sie eine Anfrage ablehnen und später zulassen möchten, muss der Kunde eine neue Verbindungsanfrage stellen, indem er einen Virtual Private Endpoint (VPE)-Gateway erstellt.

  • Revoke-Entfernt alle vorhandenen Verbindungen aus dieser Konto-ID. Wenn eine Kontorichtlinie für diese Konto-ID existiert, wird ihr Status auf Deny aktualisiert; wenn keine existiert, wird eine Deny Richtlinie für diese Konto-ID erstellt.

Wenn Sie nicht jede Verbindungsanforderung überprüfen wollen, dann können Sie den Prozess optimieren, indem Sie die Standardrichtlinie ändern oder kontenspezifische Richtlinien erstellen. Weitere Informationen finden Sie unter Informationen zu Kontorichtlinien.

Als Dienstanbieter können Sie Verbindungsanfragen zu Ihrem Dienst über die Konsole, die Befehlszeilenschnittstelle, die API oder Terraform überprüfen und bewerten (zulassen, verweigern oder zurückweisen).

Überprüfung von Verbindungsanfragen in der Konsole

Führen Sie die folgenden Schritte aus, um eingehende Verbindungsanforderungen in der IBM Cloud-Konsole zu sichten:

  1. Öffnen Sie im Browser die IBM Cloud-Konsole und melden Sie sich bei Ihrem Konto an.
  2. Wählen Sie das Navigationsmenü -Symbol und klicken Sie dann auf das Symbol „Infrastruktur- VPC“ > „Netzwerk“ > „Private Pfaddienste“.
  3. Klicken Sie in der Tabelle Private Path Services für VPC auf den Namen eines Private Path Service, um dessen Detailseite anzuzeigen.
  4. Blättern Sie zum Abschnitt Verbindungen, um Verbindungsanfragen zu überprüfen. Klicken Sie auf das Menü Aktionen Nachdem Sie eine Option ausgewählt haben, werden Sie aufgefordert, Ihre Auswahl zu bestätigen und optional eine Accountrichtlinie für die Account-ID zu erstellen.

Der der Konto-ID zugeordnete Konsument wird über Ihre Aktion benachrichtigt. Falls zulässig, kann der Konsument jetzt auf Ihren Service zugreifen.

Verbindungsanforderungen laufen nach 30 Tagen ab.

Verbindungsanforderungen über die Befehlszeilenschnittstelle überprüfen

Die folgenden Beispiele zeigen, wie die Befehlszeilenschnittstelle verwendet wird, um eine kontospezifische Verbindungsanforderung zuzulassen oder zu verweigern.

Zur Vorbereitung müssen Sie Ihre CLI-Umgebung einrichten.

Verbindungsanforderungen über die Befehlszeilenschnittstelle zulassen

Führen Sie die folgenden Schritte aus, um die Konnektivität zu einem Private Path-Service über die Befehlszeilenschnittstelle zu ermöglichen:

  1. Geben Sie den folgenden Befehl ein:
ibmcloud is private-path-service-gateway-endpoint-gateway-binding-permit PRIVATE_PATH_SERVICE_GATEWAY ENDPOINT_GATEWAY_BINDING
    (--set-account-policy true | false)
    [--output JSON] [-q, --quiet]

Dabei gilt:

PRIVATE_PATH_SERVICE_GATEWAY
Gibt die ID oder den Namen des Dienstes "Private Path" an.
ENDPOINT_GATEWAY_BINDING
Gibt die ID der VPE-Gateway-Bindung für den Dienst "Privater Pfad" an.
--set-account-policy
Gibt an, ob dies die Zugriffsrichtlinie für alle anstehenden und zukünftigen VPE-Gateway-Bindungen desselben Kontos wird. Mögliche Optionen: true, false.
--output
Gibt das Ausgabeformat an, nur JSON wird unterstützt. Einer der folgenden Werte: JSON.
-q, --quiet
Unterdrückt die ausführliche Ausgabe.

Verbindungsanforderungen über die Befehlszeilenschnittstelle verweigern

Führen Sie die folgenden Schritte aus, um die Konnektivität zu einem privaten Pfadservice über die Befehlszeilenschnittstelle zu verweigern:

  1. Geben Sie den folgenden Befehl ein:
ibmcloud is private-path-service-gateway-endpoint-gateway-binding-deny PRIVATE_PATH_SERVICE_GATEWAY ENDPOINT_GATEWAY_BINDING
    (--set-account-policy true | false)
    [--output JSON] [-q, --quiet]

Dabei gilt:

PRIVATE_PATH_SERVICE_GATEWAY
ID oder Name des Dienstes "Private Path".
ENDPOINT_GATEWAY_BINDING
ID der VPE-Gateway-Bindung für den Dienst "Privater Pfad".
--set-account-policy
Gibt an, ob dies die Zugriffsrichtlinie für alle anstehenden und zukünftigen VPE-Gateway-Bindungen desselben Kontos wird. Mögliche Optionen: true, false.
--output
Geben Sie das Ausgabeformat an, nur JSON wird unterstützt.
-q, --quiet
Ausführliche Ausgabe unterdrücken.

Befehlsbeispiele

  • Konsumentenverbindungsanforderung verweigern: ibmcloud is private-path-service-gateway-endpoint-gateway-binding-deny r006-2e671f14-19fc-4089-9ad3-973176711259 r006-17635273-0702-4a31-b406-a0014c291fbb --set-account-policy true

  • Konsumentenverbindungsanforderung verweigern: ibmcloud is ppsg-egb-deny cli-ppsg r006-f7e2b651-0d02-46e1-8811-16ea2157b547 --set-account-policy true

  • Konsumentenverbindungsanforderung zulassen: ibmcloud is ppsg-egb-permit r006-e64dab2d-8fd2-43bd-8390-229ba66e53c4 r006-0dcc2105-14a1-4501-9b43-29632e910e4b --set-account-policy true

  • Konsumentenverbindungsanforderung zulassen: ibmcloud is ppsg-egb-permit cli-ppsg r006-3a30c0b3-8c4b-4a64-bb93-3f3e17459363 --set-account-policy true

Verbindungsanforderungen mit der API überprüfen

Führen Sie die folgenden Schritte aus, um eingehende Verbindungsanforderungen mit der API zu sichten:

  1. Richten Sie die API-Umgebung ein.

  2. Speichern Sie die folgenden Werte in Variablen, damit diese im API-Befehl verwendet werden können:

    • ppsgId-Rufen Sie Ihren privaten Pfadservice ab und füllen Sie dann die Variable:

      export ppsgId=<your_ppsg_id>

    • egwBindingId-VPE-Gateway-Bindung abrufen und dann die Variable füllen:

      export egwbId=<your_endpoint_gateway_binding_id>

Das folgende Beispiel zeigt, wie Sie die API verwenden, um eine kontospezifische Verbindungsanfrage zuzulassen, zu verweigern oder zu widerrufen:

  1. So lassen Sie eine Verbindungsanforderung zu:

    curl -X POST -sH "Authorization:${iam_token}" \
"$vpc_api_endpoint/v1/private_path_service_gateways/{ppsgId}/endpoint_gateway_bindings/{egwBindingId}/permit?version=$api_version&generation=2" \
-d {
  "set_account_policy": true
}'

Wenn set_account_policy auf true gesetzt ist:

  • Wenn für das Konto eine Zugriffsrichtlinie existiert, wird diese aktualisiert, um den Zugriff zu erlauben. Andernfalls wird eine neue Zugriffsgenehmigungsrichtlinie für das Konto erstellt.
  • Alle ausstehenden VPE-Gateway-Bindungen für das Konto sind zulässig.

  1. So lehnen Sie eine Verbindungsanforderung ab:

    curl -X POST -sH "Authorization:${iam_token}" \
"$vpc_api_endpoint/v1/private_path_service_gateways/{ppsgId}/endpoint_gateway_bindings/{egwBindingId}/deny?version=$api_version&generation=2" \
-d {
  "set_account_policy": true
}'

Wenn set_account_policy auf true gesetzt ist:

  • Wenn für das Konto eine Zugriffsrichtlinie existiert, wird diese aktualisiert, um die Anfrage zu verweigern. Andernfalls wird eine neue Zugriffsgenehmigungsrichtlinie für das Konto erstellt.
  • Alle ausstehenden VPE-Gateway-Bindungen für das Konto werden verweigert.
  1. So widerrufen Sie einen Account:

    • accountId-Die ID des Konsumentenkontos abrufen und anschließend die Variable füllen:

      export accountId=<consumer_account_id>

    • Führen Sie den folgenden Befehl aus, um das Konto zu widerrufen:

      curl -X POST -sH "Authorization:${iam_token}" \
"$vpc_api_endpoint/v1/private_path_service_gateways/{ppsgId}?version=$api_version&generation=2" \
-d {
  "account": {
    "id": "$accountId"
  }
}'

Überprüfung von Verbindungsanfragen mit Terraform

Das folgende Beispiel ermöglicht die Anbindung eines Endpunkt-Gateways an ein Private Path-Netzwerk mithilfe von Terraform:

resource "ibm_is_private_path_service_gateway_endpoint_gateway_binding_operations" "policy" {
  access_policy = "permit"
  endpoint_gateway_binding = data.ibm_is_private_path_service_gateway_endpoint_gateway_bindings.ppsgEGWBindings.endpoint_gateway_bindings.0.id
  private_path_service_gateway = ibm_is_private_path_service_gateway.example.id
}

Im folgenden Beispiel wird die Bindung eines Endpunkt-Gateways an ein Private Path-Netzwerk mithilfe von Terraform verweigert:

resource "ibm_is_private_path_service_gateway_endpoint_gateway_binding_operations" "policy" {
  count = length(data.ibm_is_private_path_service_gateway_endpoint_gateway_bindings.bindings.endpoint_gateway_bindings)
  access_policy = "deny"
  endpoint_gateway_binding = data.ibm_is_private_path_service_gateway_endpoint_gateway_bindings.bindings.endpoint_gateway_bindings[count.index].id
  private_path_service_gateway = ibm_is_private_path_service_gateway.ppsg.id
}

Die Dokumentation zu Terraform-Ressourcen finden Sie in der Terraform-Registry.