Hierarchie

IBM Cloud-Ressourcenmodell (aus der Dokumentation):

Empfohlene Möglichkeit, Projekte aufzuteilen:

IAM

Benutzer

Benutzer haben eine E-Mail-Adresse, die ihnen zugewiesen ist. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu verwenden. Berechtigungen können dem Benutzer direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.

Vertrauenswürdige Profile

Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und auf ihre Anmeldeinformationen über Metadaten zuzugreifen oder sogar Identitätsanbietern zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren. Berechtigungen können dem vertrauenswürdigen Profil direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.

Dienst-IDs

Dies ist eine weitere Option, um Anwendungen die Interaktion mit IBM Cloud und das Ausführen von Aktionen zu ermöglichen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um mit IBM auf programmgesteuerte Weise zu interagieren. Berechtigungen können der Dienst-ID direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.

Identitätsanbieter

Externe Identitätsanbieter können konfiguriert werden, um von externen Plattformen aus auf IBM Cloud-Ressourcen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.

Zugriffsgruppen

In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile und Dienst-IDs vorhanden sein. Jedes Prinzipal in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben. Berechtigungen können dem vertrauenswürdigen Profil direkt mit einer Zugriffspolitik gewährt werden. Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.

Rollen

Eine Rolle ist eine Gruppe von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthält. Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Prinzipal den Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).

Rollenberechtigungen werden über Zugriffspolitiken an Prinzipale vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator geben müssen, anstatt diese 2 zu geben (und einem Prinzipal zu viele Berechtigungen zu geben), können Sie eine neue Rolle für den Dienst erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.

Zugriffspolitiken

Zugriffspolitiken ermöglichen es, 1 oder mehr Rollen eines Dienstes an 1 Prinzipal anzuhängen. Beim Erstellen der Richtlinie müssen Sie auswählen:

• Den Dienst, für den Berechtigungen gewährt werden sollen

• Betroffene Ressourcen

• Service- und Plattform Zugriff, der gewährt wird

• Diese geben die Berechtigungen an, die dem Prinzipal erteilt werden, um Aktionen auszuführen. Wenn in dem Dienst eine benutzerdefinierte Rolle erstellt wurde, können Sie diese auch hier auswählen.

• Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren

Referenzen

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview