使用 IBM Cloud Private CLI 创建服务标识

先决条件

• 安装和设置 Kubernetes 命令行工具 kubectl。请参阅安装和设置 kubectl 。注：您需要安装 V1.10.1。

• 安装和设置 IBM Cloud CLI。请参阅 CLI 和工具概述 以开始。

• 安装 IBM Cloud Private CLI 插件。请参阅安装 IBM Cloud Private CLI 以开始使用。

创建服务标识

1. 登录 IBM Cloud Private 并设置名称空间以生成令牌。此命令会提示您输入密码和帐户。

   cloudctl login -a https://<cluster-domain-name>:8443 -u <username> -n kube-system --skip-ssl-validation
   

2. 运行以下命令，列出 IAM 命令和数据：

   • cloudctl iam

     Output
     ------
     名称：
      cloudctl iam - 管理身份和对资源的访问权
     用法：
      cloudctl iam command [arguments...][command options]
     
     命令：
      accounts                  列出所有帐户
      api-key                   列出 API 密钥的详细信息
      api-key-create            创建 API 密钥
      api-key-delete            删除 API 密钥
      api-key-update            更新 API 密钥
      api-keys                  列出所有 API 密钥
      group-import              从 LDAP 连接导入组
      group-remove              移除一个或多个组
      groups                    列出所有已导入的组
      ldap-create               创建新的 LDAP 连接
      ldap-delete               删除 LDAP 连接
      ldap-get                  获取 LDAP 连接详细信息
      ldaps                     列出所有 LDAP 连接
      resource-add              将资源添加到团队中
      resource-rm               从团队中移除资源
      resources                 列出资源
      roles                     列出角色
      saml-disable              禁用 SAML 认证
      saml-enable               启用 SAML 认证
      saml-export-metadata      导出 SAML 元数据内容以创建 SAML 集成。需要通过“cloudctl iam saml-enable”来启用 SAML。saml-status              获取 SAML 配置状态。saml-upload-metadata     上载 SAML 元数据内容以完成 SAML 集成。service-api-key          列出服务 API 密钥的详细信息
      service-api-key-create   创建服务 API 密钥
      service-api-key-delete   删除服务 API 密钥
      service-api-key-update   更新服务 API 密钥
      service-api-keys         列出服务的所有 API 密钥
      service-id               显示服务标识的详细信息
      service-id-create        创建服务标识
      service-id-delete        删除服务标识
      service-id-update        更新服务标识
      service-ids, services    列出所有服务标识。service-policies          列出指定服务的所有服务策略
      service-policy            显示服务策略的详细信息
      service-policy-create     创建服务策略
      service-policy-delete     删除服务策略
      service-policy-update     更新服务策略
      team-add-groups           将组添加到具有已定义的角色的团队中
      team-add-service-ids      将一个或多个服务标识添加到团队中
      team-add-users            将用户添加到具有已定义的角色的团队中
      team-create               创建团队
      team-delete               删除团队
      team-get                  查看某个团队的用户和组
      team-remove-groups        从团队中移除组
      team-remove-service-ids   从团队中移除一个或多个服务标识
      team-remove-users         从团队中移除用户
      teams                     列出所有团队
      user-import               从 LDAP 连接导入用户
      user-remove               移除一个或多个用户
      users                     列出所有已导入的用户
      help
     
     输入“cloudctl iam help [command]”以获取有关命令的更多信息。
     

   • cloudctl iam roles

     Output
     ------
     Getting system defined roles as admin...
     OK
     
     Name                   ID                                                    Description
     Viewer                 crn:v1:icp:private:iam::::role:Viewer                 Viewers can take actions that do not change state (i.e. read only).
     ClusterAdministrator   crn:v1:icp:private:iam::::role:ClusterAdministrator   ClusterAdministrators can take all actions including the ability to manage access control.Administrator          crn:v1:icp:private:iam::::role:Administrator          Administrators can take all actions including the ability to manage access control.Editor                 crn:v1:icp:private:iam::::role:Editor                 Editors can take actions that can modify the state and create/delete sub-resources.Operator               crn:v1:icp:private:iam::::role:Operator               Operators can take actions required to configure and operate resources.
     

   • cloudctl iam services

     Output
     ------
     Getting system defined services as admin...
     OK
     
     ID                         Name                         Display Name                Supported Roles
     5adf7987e6ace7000a023556   idmgmt                       service-identity-manager    ClusterAdministrator, Operator, Editor, Viewer, Administrator
     5adf7987e6ace7000a023557   idprovider                   service-identity-provider   ClusterAdministrator, Operator, Editor, Viewer, Administrator
     5adf7987e6ace7000a023558   idauth                       service-auth-service        ClusterAdministrator, Operator, Editor, Viewer, Administrator
     5adf7987e6ace7000a023559   identity                     service-identity            ClusterAdministrator, Operator, Editor, Viewer, Administrator
     5adf79e1fc55aa00c8e05bf1   helm-api-service             helmapi-repos               ClusterAdministrator, Administrator, Operator, Editor, Viewer
     5adf79e7fc55aa00c8e05bf2   elasticsearch-service        elasticsearch               ClusterAdministrator, Administrator, Operator
     5adf79e8fc55aa00c8e05bf3   service-monitoring-service   service-monitoring          ClusterAdministrator, Administrator, Operator
     

3. 为服务创建服务标识，请运行以下命令，其中，NAME 是 <meteringserviceId>，[-d, --description DESCRIPTION] 是 <service id for metering>：

    cloudctl iam service-id-create <meteringserviceId> -d <service id for metering>
   

    Output
    ------
    正在以管理员身份创建与当前帐户绑定的服务标识 meteringserviceId...
    确定
    服务标识 meteringserviceId 已成功创建
   
    名称          meteringserviceId
   描述   service id for metering
   CRN           crn:v1:icp:private:k8::n/kube-system::serviceid:ServiceId-58451b31-607b-42b4-99c8-1ceeea96bb48
   绑定到      crn:v1:icp:private:k8::n/kube-system:::
   

   您可以管理服务标识，创建和管理 API 密钥，并创建和管理用于访问应用程序所需的特定服务的策略。请参阅 IBM Cloud Private CLI 服务 API 密钥命令以获取更多服务、API 密钥、策略命令及示例。