Last updated
IBM Cloud kaynak modeli (dokümantasyondan):
Projeleri bölmek için önerilen yol:
Kullanıcılara bir e-posta atanır. IBM konsoluna erişebilirler ve izinlerini programatik olarak kullanmak için API anahtarları oluşturabilirler. İzinler, kullanıcıya bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.
Bunlar, AWS'nin Rollerine veya GCP'nin hizmet hesaplarına benzer. Bunlar, bir VM örneğine atanabilir ve kimlik bilgilerine meta veriler aracılığıyla erişebilir veya hatta Kimlik Sağlayıcıların bunları kullanmasına izin vererek harici platformlardan kullanıcıları kimlik doğrulamak için kullanabilir. İzinler, güvenilir profile bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.
Bu, uygulamaların IBM bulutuyla etkileşimde bulunmasına ve işlemler gerçekleştirmesine izin vermek için başka bir seçenektir. Bu durumda, bir VM'ye veya Kimlik Sağlayıcıya atamak yerine, IBM ile programatik olarak etkileşimde bulunmak için bir API Anahtarı kullanılabilir. İzinler, hizmet kimliğine bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.
Harici Kimlik Sağlayıcılar, harici platformlardan IBM bulutu kaynaklarına erişmek için güvenilir profilleri güvenerek yapılandırılabilir.
Aynı erişim grubunda birçok kullanıcı, güvenilir profil ve hizmet kimliği bulunabilir. Erişim grubundaki her bir temsilci, erişim grubu izinlerini miras alır. İzinler, güvenilir profile bir erişim politikası aracılığıyla doğrudan verilebilir. Bir erişim grubu başka bir erişim grubunun üyesi olamaz.
Bir rol, aşamalı izinler kümesidir. Bir rol, yalnızca o hizmetin izinlerini içereceği için bir hizmete özgüdür. IAM'nin her bir hizmeti, bir temsilciye erişim sağlamak için seçilebilecek bazı olası rolleri zaten içerecektir: Görüntüleyici, Operatör, Düzenleyici, Yönetici (ancak daha fazla olabilir).
Rol izinleri, temsilcilere erişim politikaları aracılığıyla verilir, bu nedenle örneğin bir hizmetin Görüntüleyici ve Yönetici izinlerinin kombinasyonunu vermek isterseniz (ve bir temsilciyi aşırı yetkilendirme riskini önlemek için), bu hizmet için yeni bir rol oluşturabilir ve bu yeni role ihtiyaç duyduğunuz aşamalı izinleri verebilirsiniz.
Erişim politikaları, 1 hizmetin 1 veya daha fazla rolünü 1 temsilciye eklemeyi sağlar. Politika oluştururken aşağıdakileri seçmeniz gerekmektedir:
İzinlerin verileceği hizmet
Etkilenen kaynaklar
Verilecek olan Hizmet ve Platform erişimi
Bu, temsilcinin eylemleri gerçekleştirmek için verilecek olan izinleri belirtir. Hizmette herhangi bir özel rol oluşturulduysa, burada da seçebilirsiniz.
İzinleri vermek için koşullar (varsa)
Bir kullanıcıya birden fazla hizmete erişim vermek için birden fazla erişim politikası oluşturabilirsiniz.
