Hiërargie

IBM Cloud-bronmodel (uit die dokumentasie):

Aanbevole manier om projekte te verdeel:

IAM

Gebruikers

Gebruikers het 'n e-pos aan hulle toegewys. Hulle kan die IBM-konsole betree en ook API-sleutels genereer om hul toestemmings programmaties te gebruik. Toestemmings kan direk aan die gebruiker toegeken word met 'n toegangbeleid of via 'n toegangs groep.

Vertroude Profiele

Hierdie is soos die Rolle van AWS of diensrekeninge van GCP. Dit is moontlik om hulle aan VM-instanies toe te ken en toegang tot hul geloofsbriewe via metadata te verkry, of selfs Identity Providers toe te laat om hulle te gebruik om gebruikers van eksterne platforms te outentiseer. Toestemmings kan direk aan die vertroude profiel toegeken word met 'n toegangbeleid of via 'n toegangs groep.

Diens-ID's

Dit is 'n ander opsie om programme toe te laat om met IBM Cloud te interaksieer en aksies uit te voer. In hierdie geval kan 'n API-sleutel gebruik word om met IBM op 'n programmatiese manier te interaksioneer in plaas daarvan om dit aan 'n VM of Identity Provider toe te ken. Toestemmings kan direk aan die diens-ID toegeken word met 'n toegangbeleid of via 'n toegangs groep.

Identiteitsverskaffers

Eksterne Identiteitsverskaffers kan gekonfigureer word om toegang tot IBM Cloud-bronne vanaf eksterne platforms te verkry deur vertroude profiele te vertrou.

Toegangs Groepe

In dieselfde toegangs groep kan verskeie gebruikers, vertroude profiele & diens-ID's teenwoordig wees. Elke hoof in die toegangs groep sal die toegangs groep toestemmings erf. Toestemmings kan direk aan die vertroude profiel toegeken word met 'n toegangbeleid. 'n Toegangs groep kan nie 'n lid van 'n ander toegangs groep wees nie.

Rolle

'n Rol is 'n stel fynkorrelige toestemmings. 'n Rol is toegewy aan 'n diens, wat beteken dat dit slegs toestemmings van daardie diens sal bevat. Elke diens van IAM sal reeds 'n paar moontlike rolle hê om van te kies om 'n hoof toegang tot daardie diens te verleen: Kyk, Operateur, Redakteur, Administrateur (hoewel daar meer kan wees).

Roltoestemmings word deur toegangbeleide aan hoofde gegee, dus as jy byvoorbeeld 'n kombinasie van toestemmings van 'n diens van Kyk en Administrateur moet gee, in plaas daarvan om daardie 2 te gee (en 'n hoof te oorbevoorreg), kan jy 'n nuwe rol vir die diens skep en daardie nuwe rol die fynkorrelige toestemmings wat jy nodig het gee.

Toegangbeleide

Toegangbeleide maak dit moontlik om 1 of meer rolle van 1 diens aan 1 hoof te heg. Wanneer jy die beleid skep, moet jy kies:

• Die diens waar toestemmings verleen sal word

• Betrokke bronne

• Diens & Platform toegang wat verleen sal word

• Hierdie dui die toestemmings aan wat aan die hoof gegee sal word om aksies uit te voer. As enige aangepaste rol in die diens geskep word, sal jy ook in staat wees om dit hier te kies.

• Voorwaardes (indien enige) om die toestemmings te verleen

Verwysings

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview