Gerarchia

Modello di risorse IBM Cloud (dalla documentazione):

Modo consigliato per dividere i progetti:

IAM

Utenti

Gli utenti hanno un indirizzo email assegnato. Possono accedere alla console IBM e anche generare chiavi API per utilizzare i loro permessi in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'utente con una policy di accesso o tramite un gruppo di accesso.

Profili Attendibili

Sono simili ai Ruoli di AWS o agli account di servizio di GCP. È possibile assegnarli alle istanze VM e accedere alle loro credenziali tramite metadati, o addirittura consentire ai Provider di Identità di utilizzarli per autenticare gli utenti da piattaforme esterne. Le autorizzazioni possono essere concesse direttamente al profilo attendibile con una policy di accesso o tramite un gruppo di accesso.

ID Servizio

Questa è un'altra opzione per consentire alle applicazioni di interagire con IBM Cloud e eseguire azioni. In questo caso, anziché assegnarlo a una VM o a un Provider di Identità, può essere utilizzata una Chiave API per interagire con IBM in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'ID servizio con una policy di accesso o tramite un gruppo di accesso.

Provider di Identità

I Provider di Identità esterni possono essere configurati per accedere alle risorse IBM Cloud da piattaforme esterne accedendo ai Profili Attendibili.

Gruppi di Accesso

Nello stesso gruppo di accesso possono essere presenti diversi utenti, profili attendibili e ID servizio. Ogni principale nel gruppo di accesso eredita le autorizzazioni del gruppo di accesso. Le autorizzazioni possono essere concesse direttamente al profilo attendibile con una policy di accesso. Un gruppo di accesso non può essere membro di un altro gruppo di accesso.

Ruoli

Un ruolo è un insieme di autorizzazioni granulari. Un ruolo è dedicato a un servizio, il che significa che conterrà solo le autorizzazioni di quel servizio. Ogni servizio di IAM avrà già alcuni ruoli possibili tra cui scegliere per concedere a un principale l'accesso a quel servizio: Visualizzatore, Operatore, Editore, Amministratore (anche se potrebbero essercene di più).

Le autorizzazioni del ruolo vengono date tramite policy di accesso ai principali, quindi se è necessario dare ad esempio una combinazione di autorizzazioni di un servizio di Visualizzatore e Amministratore, anziché dare quei 2 (e sovra-privilegiare un principale), è possibile creare un nuovo ruolo per il servizio e dare a quel nuovo ruolo le autorizzazioni granulari necessarie.

Politiche di Accesso

Le politiche di accesso consentono di associare 1 o più ruoli di 1 servizio a 1 principale. Quando si crea la policy è necessario scegliere:

• Il servizio in cui saranno concesse le autorizzazioni

• Risorse interessate

• Accesso al servizio e alla piattaforma concesso

• Questi indicano le autorizzazioni che saranno date al principale per eseguire azioni. Se viene creato un ruolo personalizzato nel servizio, sarà anche possibile sceglierlo qui.

• Condizioni (se presenti) per concedere le autorizzazioni

Riferimenti

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview