Operazioni di identità

Token di accesso all'identità

Un token di accesso all'identità fornisce una credenziale di sicurezza per accedere ai servizi Metadata e VPC Identity. Si tratta di un token firmato con una serie di richieste basate sulle informazioni dell'istanza e sulle informazioni trasmesse nella richiesta del token. La data minima della versione per utilizzare la funzione token di accesso all'identità è 2022-03-01.

La comunicazione tra l'istanza e il servizio metadati rimane all'interno dell'host. Il token viene acquisito dall'interno dell'istanza. Se l'accesso sicuro al servizio di metadati è abilitato sulla propria istanza, utilizzare il protocollo "https" invece del protocollo "http".

Per ottenere il token di identità, effettuare una richiesta a PUT /identity/v1/token all'API del servizio Metadati.

Se attualmente utilizzi il /instance_identity/v1/token metodo e desideri adottare la versione 2025-08-26 API o successive, consulta le modifiche descritte nella guida alla migrazione: Aggiornamento alla 2025-08-26 versione dell'API VPC Identity.

curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26" -H "Metadata-Flavor: ibm" -d '{}'

Nella richiesta, è possibile specificare un tempo di scadenza per il token. Il valore di scadenza predefinito è di 5 minuti, ma è possibile specificare qualsiasi valore compreso tra 5 secondi e 1 ora. Si veda l'esempio seguente per un host con accesso sicuro abilitato. Nell'esempio successivo, il tempo di scadenza del token è specificato come un'ora.

curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26" -H "Metadata-Flavor: ibm" -d '{"expires_in": 3600}'

La risposta dell'API contiene il token di accesso all'identità. Utilizzare questo token per accedere al servizio di metadati.

La seguente risposta JSON mostra una stringa di caratteri del token di accesso all'identità, la data e l'ora di creazione, la data e l'ora di scadenza e il tempo di scadenza impostato dall'utente. Questo token scade tra 5 minuti.

{
  "access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IlZTSS1DUl91cy1lYXN0X2I5...",
  "created_at": "2025-06-10T11:08:39.363Z",
  "expires_at": "2025-06-10T11:13:39.363Z",
  "expires_in": 300
}

Oppure puoi anche usare il seguente comando:

identity_token=`curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26"\
  -H "Metadata-Flavor: ibm"\
  -d '{
        "expires_in": 3600
      }' | jq -r '(.access_token)'`

Nell'esempio seguente, il valore di ritorno del comando cURL è il token di accesso all'identità. Il token viene estratto da jq e inserito nella variabile d'ambiente identity_token.

identity_token=`curl -X PUT "https://api.metadata.cloud.ibm.com/identity/v1/token?version=2025-08-26"\
  -H "Metadata-Flavor: ibm"\
  -d '{
        "expires_in": 3600
      }' | jq -r '(.access_token)'`

L'esempio utilizza come parser jq, uno strumento di terze parti con licenza MIT. jq potrebbe non essere preinstallato su tutte le immagini VPC disponibili al momento della creazione di un'istanza. Potrebbe essere necessario installare jq prima dell'uso o utilizzare un altro parser di propria scelta.

È possibile specificare la variabile identity_token in una chiamata GET al servizio di metadati per invocare uno dei metodi di metadati. Per ulteriori informazioni, vedere Recuperare i metadati dalle istanze in esecuzione.

È anche possibile generare un token IAM da questo token di identità e utilizzare l'API RIAS per chiamare i servizi abilitati IAM. Per ulteriori informazioni, vedere Generazione di un token IAM da un token di accesso all'identità.

Generazione di un certificato di identità utilizzando un token di accesso all'identità

I certificati di identità sono necessari per abilitare e utilizzare la crittografia in transito tra le istanze di server virtuale e le condivisioni IBM Cloud® File Storage for VPC. Per generare un certificato di identità per l'istanza, effettuare una chiamata a POST /identity/v1/certificates con il token di accesso all'identità e una richiesta di firma del certificato (CSR).

È possibile ottenere le richieste di firma del certificato (CSR) dal toolkit open source da riga di comando. OpenSSL

1. Il comando seguente genera una richiesta di firma del certificato (CSR) e una coppia di chiavi RSA utilizzando openssl. Quando si esegue il comando, sostituire il codice paese US con il proprio codice paese a due cifre in '/C=US'.

   openssl req -sha256 -newkey rsa:4096 -subj '/C=US' -out ./sslcert.csr -keyout file.key -nodes
   

   Se si utilizza un software diverso per creare il CSR, potrebbe essere richiesto di inserire informazioni sulla propria sede, come il codice del Paese (C), lo Stato (ST), la località (L), il nome dell'organizzazione (O) e l'unità organizzativa (OU). È possibile utilizzare uno qualsiasi di questi attributi di denominazione. Qualsiasi altro attributo di denominazione, come i nomi comuni, viene rifiutato. Le CSR con Nome comune specificato vengono rifiutate perché quando si effettua la richiesta all'API dei metadati, il sistema applica i valori dell'ID istanza al Nome comune dell'oggetto per i certificati di identità. Anche i CSR con estensioni vengono rifiutati.

2. Formattare il CSR prima di effettuare una chiamata API al servizio metadati utilizzando il comando seguente.

   awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' sslcert.csr
   

Quindi, è possibile effettuare la richiesta API al servizio Metadati. Vedi il seguente esempio. Il csr valore è obbligatorio. Il expires_in valore è facoltativo. Il valore predefinito per la scadenza è 3600, pari a 1 ora.

curl -X POST "$vpc_metadata_api_endpoint/identity/v1/certificates?version=2024-11-12" \
 -H "Authorization: Bearer $identity_token" \
 -d '{ "csr": "-----BEGIN CERTIFICATE REQUEST-----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\nTQ==\n-----END CERTIFICATE REQUEST-----\n"}'

Oppure puoi anche usare il seguente comando:

curl -X POST "$vpc_metadata_api_endpoint/identity/v1/certificates?version=2025-08-26" \
 -H "Authorization: Bearer $identity_token" \
 -d '{ "csr": "-----BEGIN CERTIFICATE REQUEST-----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\nTQ==\n-----END CERTIFICATE REQUEST-----\n"}'

Una risposta di successo restituisce il nuovo certificato con informazioni quali l'ID e gli orari di creazione e scadenza.

{
  "certificates": [
    "-----BEGIN CERTIFICATE-----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\nzXuEUsCxzTyWRTm8GA==\n-----END CERTIFICATE-----\n",
    "-----BEGIN CERTIFICATE-----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\nsLotlbzDpim/gYiJCHgW3POlsLE=\n-----END CERTIFICATE-----\n"
  ],
  "created_at": "2024-11-12T13:50:14Z",
  "expires_at": "2024-11-12T14:50:14Z",
  "expires_in": 3600,
  "id": "9fd84246-7df4-4667-94e4-8ecde51d5ac5"
}

Per ulteriori informazioni, vedere Crittografia in transito - Protezione delle connessioni di montaggio tra file share e host.

Creare un profilo di fiducia per l'istanza

I profili di fiducia per le identità delle risorse di calcolo consentono di assegnare un'identità IAM IBM Cloud® a una risorsa IBM Cloud®, come un'istanza di server virtuale. È possibile chiamare qualsiasi servizio abilitato IAM da un'istanza senza dover gestire e distribuire i segreti IAM all'istanza. È possibile creare un profilo attendibile quando si genera un token IAM da un token di accesso all'identità e lo si collega all'istanza. Per ulteriori informazioni, vedere Utilizzo di un profilo di fiducia per chiamare servizi abilitati IAM.

Passi successivi

Dopo aver creato un token di accesso all'identità e aver abilitato l'accesso al servizio di metadati, è possibile recuperare i metadati per l'istanza, le chiavi SSH e i gruppi di collocamento. Per ulteriori informazioni, vedere Recupero dei metadati da un'istanza.