Jerarquía

Modelo de recursos de IBM Cloud (de la documentación):

Forma recomendada de dividir proyectos:

IAM

Usuarios

Los usuarios tienen un correo electrónico asignado. Pueden acceder a la consola de IBM y también generar claves API para usar sus permisos de forma programática. Los permisos pueden ser otorgados directamente al usuario con una política de acceso o a través de un grupo de acceso.

Perfiles de Confianza

Estos son como los Roles de AWS o cuentas de servicio de GCP. Es posible asignarlos a instancias de VM y acceder a sus credenciales a través de metadatos, o incluso permitir que los Proveedores de Identidad los utilicen para autenticar usuarios de plataformas externas. Los permisos pueden ser otorgados directamente al perfil de confianza con una política de acceso o a través de un grupo de acceso.

IDs de Servicio

Esta es otra opción para permitir que las aplicaciones interactúen con IBM Cloud y realicen acciones. En este caso, en lugar de asignarlo a una VM o Proveedor de Identidad, se puede usar una Clave API para interactuar con IBM de forma programática. Los permisos pueden ser otorgados directamente al ID de servicio con una política de acceso o a través de un grupo de acceso.

Proveedores de Identidad

Los Proveedores de Identidad externos se pueden configurar para acceder a los recursos de IBM Cloud desde plataformas externas accediendo a perfiles de confianza confiables.

Grupos de Acceso

En el mismo grupo de acceso pueden estar presentes varios usuarios, perfiles de confianza e IDs de servicio. Cada principal en el grupo de acceso heredará los permisos del grupo de acceso. Los permisos pueden ser otorgados directamente al perfil de confianza con una política de acceso. Un grupo de acceso no puede ser miembro de otro grupo de acceso.

Roles

Un rol es un conjunto de permisos detallados. Un rol está dedicado a un servicio, lo que significa que solo contendrá permisos de ese servicio. Cada servicio de IAM ya tendrá algunos roles posibles para elegir y otorgar a un principal acceso a ese servicio: Visualizador, Operador, Editor, Administrador (aunque podría haber más).

Los permisos de rol se otorgan mediante políticas de acceso a los principales, por lo que si necesitas dar, por ejemplo, una combinación de permisos de un servicio de Visualizador y Administrador, en lugar de dar esos 2 (y otorgar demasiados privilegios a un principal), puedes crear un nuevo rol para el servicio y darle al nuevo rol los permisos detallados que necesitas.

Políticas de Acceso

Las políticas de acceso permiten adjuntar 1 o más roles de 1 servicio a 1 principal. Al crear la política, debes elegir:

• El servicio donde se otorgarán los permisos

• Recursos afectados

• Acceso al servicio y plataforma que se otorgará

• Estos indican los permisos que se darán al principal para realizar acciones. Si se crea algún rol personalizado en el servicio, también podrás elegirlo aquí.

• Condiciones (si las hay) para otorgar los permisos

Referencias

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview