IBM - Basic Information

层次结构

IBM 云资源模型（来自文档）：

推荐的项目划分方式：

IAM

用户

用户有分配给他们的 电子邮件。他们可以访问 IBM 控制台，还可以 生成 API 密钥 以便以编程方式使用他们的权限。 权限 可以通过访问策略直接授予用户，或通过 访问组 授予。

受信任的配置文件

这些类似于 AWS 的 角色 或 GCP 的服务帐户。可以将它们 分配给 VM 实例 并通过元数据访问其 凭据，甚至 允许身份提供者 使用它们来验证来自外部平台的用户。 权限 可以通过访问策略直接授予受信任的配置文件，或通过 访问组 授予。

服务 ID

这是允许应用程序与 IBM 云 交互并执行操作 的另一种选项。在这种情况下，可以使用 API 密钥 以 编程方式 与 IBM 互动，而不是将其分配给 VM 或身份提供者。 权限 可以通过访问策略直接授予服务 ID，或通过 访问组 授予。

身份提供者

可以配置外部 身份提供者 以从外部平台访问 IBM 云资源，通过访问 信任的受信任的配置文件。

访问组

在同一个访问组中可以存在 多个用户、受信任的配置文件和服务 ID。访问组中的每个主体都将 继承访问组权限。 权限 可以通过访问策略直接授予受信任的配置文件。 访问组不能是另一个访问组的成员。

角色

角色是 一组细粒度权限。一个角色 专门用于 一个服务，这意味着它将只包含该服务的权限。 IAM 的 每个服务 已经有一些 可能的角色 可供选择，以便 授予主体对该服务的访问权限：查看者、操作员、编辑者、管理员（尽管可能还有更多）。

角色权限通过访问策略授予主体，因此，如果您需要例如将服务的 查看者 和 管理员 的 权限组合 授予某人，而不是给予这两个权限（并过度授予主体），您可以为该服务 创建一个新角色，并为该新角色提供您需要的 细粒度权限。

访问策略

访问策略允许将 一个服务的 1 个或多个角色附加到 1 个主体。 创建策略时，您需要选择：

• 将授予权限的 服务

• 受影响的资源

• 将授予的服务和平台 访问权限

• 这些指示将授予主体执行操作的 权限。如果在服务中创建了任何 自定义角色，您还可以在此处选择它。

• 授予权限的 条件（如果有）

参考

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview