IBM - Basic Information
Jerarquía
Modelo de recursos de IBM Cloud (de la documentación):
Forma recomendada de dividir proyectos:
IAM
Usuarios
Los usuarios tienen un correo electrónico asignado. Pueden acceder a la consola de IBM y también generar claves API para usar sus permisos programáticamente. Los permisos pueden ser otorgados directamente al usuario con una política de acceso o a través de un grupo de acceso.
Perfiles de Confianza
Estos son como los Roles de AWS o cuentas de servicio de GCP. Es posible asignarlos a instancias de VM y acceder a sus credenciales a través de metadatos, o incluso permitir a Proveedores de Identidad usarlos para autenticar usuarios de plataformas externas. Los permisos pueden ser otorgados directamente al perfil de confianza con una política de acceso o a través de un grupo de acceso.
IDs de Servicio
Esta es otra opción para permitir que las aplicaciones interactúen con IBM Cloud y realicen acciones. En este caso, en lugar de asignarlo a una VM o Proveedor de Identidad, se puede usar una clave API para interactuar con IBM de manera programática. Los permisos pueden ser otorgados directamente al ID de servicio con una política de acceso o a través de un grupo de acceso.
Proveedores de Identidad
Se pueden configurar Proveedores de Identidad externos para acceder a los recursos de IBM Cloud desde plataformas externas accediendo a perfiles de confianza.
Grupos de Acceso
En el mismo grupo de acceso pueden estar presentes varios usuarios, perfiles de confianza y IDs de servicio. Cada principal en el grupo de acceso heredará los permisos del grupo de acceso. Los permisos pueden ser otorgados directamente al perfil de confianza con una política de acceso. Un grupo de acceso no puede ser miembro de otro grupo de acceso.
Roles
Un rol es un conjunto de permisos granulares. Un rol está dedicado a un servicio, lo que significa que solo contendrá permisos de ese servicio. Cada servicio de IAM ya tendrá algunos roles posibles para elegir y otorgar acceso a un principal a ese servicio: Visualizador, Operador, Editor, Administrador (aunque podría haber más).
Los permisos de rol se otorgan a través de políticas de acceso a los principales, por lo que si necesitas otorgar, por ejemplo, una combinación de permisos de un servicio de Visualizador y Administrador, en lugar de otorgar esos 2 (y sobreprivilegiar a un principal), puedes crear un nuevo rol para el servicio y otorgar a ese nuevo rol los permisos granulares que necesitas.
Políticas de Acceso
Las políticas de acceso permiten adjuntar 1 o más roles de 1 servicio a 1 principal. Al crear la política, necesitas elegir:
El servicio donde se otorgarán los permisos
Recursos afectados
Acceso al servicio y plataforma que se otorgará
Estos indican los permisos que se otorgarán al principal para realizar acciones. Si se crea algún rol personalizado en el servicio, también podrás elegirlo aquí.
Condiciones (si las hay) para otorgar los permisos
Para otorgar acceso a varios servicios a un usuario, puedes generar varias políticas de acceso
Referencias
Last updated