IBM - Basic Information

階層

IBM Cloudリソースモデル (from the docs):

プロジェクトを分割する推奨方法:

IAM

ユーザー

ユーザーにはメールアドレスが割り当てられています。彼らはIBMコンソールにアクセスでき、またAPIキーを生成して権限をプログラム的に使用できます。 権限は、アクセスポリシーを使用してユーザーに直接付与することができます、またはアクセスグループを介して付与することもできます。

信頼されたプロファイル

これはAWSのロールやGCPのサービスアカウントのようなものです。これらはVMインスタンスに割り当てることができ、メタデータを介してその資格情報にアクセスすることができます。また、アイデンティティプロバイダーがそれらを使用して外部プラットフォームからユーザーを認証することも可能です。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます、またはアクセスグループを介して付与することもできます。

サービスID

これは、アプリケーションがIBM Cloudと対話し、アクションを実行するための別のオプションです。この場合、VMやアイデンティティプロバイダーに割り当てる代わりに、APIキーを使用してIBMとプログラム的に対話することができます。 権限は、アクセスポリシーを使用してサービスIDに直接付与することができます、またはアクセスグループを介して付与することもできます。

アイデンティティプロバイダー

外部のアイデンティティプロバイダーは、信頼されたプロファイルにアクセスすることによって外部プラットフォームからIBM Cloudリソースにアクセスするように構成できます。

アクセスグループ

同じアクセスグループには複数のユーザー、信頼されたプロファイル、サービスIDが存在することができます。アクセスグループ内の各プリンシパルは、アクセスグループの権限を継承します。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます。 アクセスグループは他のアクセスグループのメンバーになることはできません。

ロール

ロールは細かい権限のセットです。ロールはサービスに専念しており、そのサービスの権限のみを含むことになります。 IAMの各サービスには、プリンシパルにそのサービスへのアクセスを付与するために選択できる可能なロールがすでにいくつかあります：Viewer, Operator, Editor, Administrator（ただし、他にもあるかもしれません）。

ロールの権限は、プリンシパルに対してアクセスポリシーを介して付与されるため、例えばViewerとAdministratorのサービスの権限の組み合わせを付与する必要がある場合、これらの2つを付与する代わりに（プリンシパルに過剰な権限を与えることなく）、そのサービスのために新しいロールを作成し、その新しいロールに必要な細かい権限を付与することができます。

アクセスポリシー

アクセスポリシーは、1つのサービスの1つ以上のロールを1つのプリンシパルに付与することを可能にします。 ポリシーを作成する際には、次のことを選択する必要があります：

• 権限が付与されるサービス

• 影響を受けるリソース

• 付与されるサービスとプラットフォームのアクセス

• これらは、プリンシパルがアクションを実行するために与えられる権限を示します。サービス内でカスタムロールが作成されている場合、ここでそれを選択することもできます。

• 権限を付与するための条件（ある場合）

参考文献

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview