1

在对 IBM Cloud 安全性和合规性项目进行一些测试时,特别是 CIS 最佳实践基准测试,我不合规的一个项目是在 Cloud Key Protect 中,以实现目标“检查 Key Protect 是否只能通过使用私有端点来访问”

我的 Key-protect 实例确实设置为“Public and Private”,所以我将其更改为 Private。此更改现在需要我从 CLI 管理我的 Key-Protect 实例。

当我尝试从 CLI 查看我的 Key-Protect 实例策略时,我收到以下错误:

ibmcloud kp instance -i my_instance_id policies 检索策略详细信息,例如:my_instance_id ... 获取实例策略时出错:kp.Error: correlation_id='cc54f61d-4424-4c72-91aa-d2f6bc20be68', msg='Unauthorized: The user does not有权访问指定资源' FAILED Unauthorized: 用户无权访问指定资源 Correlation-ID:cc54f61d-4424-4c72-91aa-d2f6bc20be68

我很困惑 - 我正在运行 CLI,以租户管理员身份登录,并使用帐户中所有资源的访问策略(包括未来启用 IAM 的服务)

我在这里做错了什么?

4

1 回答 1

2

私有端点只能从 IBM Cloud 中访问。如果您从公共互联网连接,则应阻止访问。

有多种方法,如何使用这样的政策。一种是在专用网络上部署(带有 VPC 的)虚拟机。然后,使用 VPN 或 Direct Link 连接到它。因此,您的资源无法从公共 Internet 访问,而只能通过私有连接访问。您可以继续使用 IBM Cloud CLI,但将其设置为使用私有端点。

于 2021-11-06T14:25:05.720 回答