IBM - Basic Information
Hierarchie
IBM Cloud Ressourcenmodell (aus den Dokumenten):
Empfohlene Methode zur Aufteilung von Projekten:
IAM
Benutzer
Benutzern ist eine E-Mail zugewiesen. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu nutzen. Berechtigungen können direkt an den Benutzer mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Vertrauenswürdige Profile
Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und ihre Anmeldeinformationen über Metadaten abzurufen oder sogar Identitätsanbietern zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren. Berechtigungen können direkt an das vertrauenswürdige Profil mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Dienst-IDs
Dies ist eine weitere Option, um Anwendungen zu ermöglichen, mit IBM Cloud zu interagieren und Aktionen auszuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um programmgesteuert mit IBM zu interagieren. Berechtigungen können direkt an die Dienst-ID mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Identitätsanbieter
Externe Identitätsanbieter können konfiguriert werden, um auf IBM Cloud-Ressourcen von externen Plattformen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.
Zugriffsgruppen
In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile & Dienst-IDs vorhanden sein. Jeder Hauptansprechpartner in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben. Berechtigungen können direkt an das vertrauenswürdige Profil mit einer Zugriffsrichtlinie gewährt werden. Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.
Rollen
Eine Rolle ist ein Set von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthalten wird. Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Hauptansprechpartner Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).
Rollenberechtigungen werden über Zugriffsrichtlinien an Hauptansprechpartner vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator gewähren müssen, können Sie anstelle dieser beiden (und einer Überprivilegierung eines Hauptansprechpartners) eine neue Rolle für den Dienst erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.
Zugriffsrichtlinien
Zugriffsrichtlinien ermöglichen es, 1 oder mehrere Rollen eines Dienstes an 1 Hauptansprechpartner anzuhängen. Beim Erstellen der Richtlinie müssen Sie wählen:
Den Dienst, für den Berechtigungen gewährt werden
Betroffene Ressourcen
Dienst- & Plattform-Zugriff, der gewährt wird
Diese geben die Berechtigungen an, die dem Hauptansprechpartner gewährt werden, um Aktionen auszuführen. Wenn eine benutzerdefinierte Rolle im Dienst erstellt wird, können Sie diese auch hier auswählen.
Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren
Um mehreren Diensten einem Benutzer Zugriff zu gewähren, können Sie mehrere Zugriffsrichtlinien generieren
Referenzen
Last updated
