階層

IBM Cloudリソースモデル（ドキュメントから）：

プロジェクトを分割するための推奨方法：

IAM

ユーザー

ユーザーにはメールが割り当てられています。彼らはIBMコンソールにアクセスすることができ、またAPIキーを生成して許可されたプログラム的に使用することができます。 アクセス権は、アクセスポリシーを使用してユーザーに直接付与するか、アクセスグループを介して付与することができます。

信頼されたプロファイル

これらはAWSのロールやGCPのサービスアカウントのようなものです。これらをVMインスタンスに割り当てて、その資格情報にメタデータ経由でアクセスしたり、Identity Providersがこれらを使用して外部プラットフォームのユーザーを認証することもできます。 アクセス権は、アクセスポリシーを使用して信頼されたプロファイルに直接付与するか、アクセスグループを介して付与することができます。

サービスID

これはアプリケーションがIBMクラウドとやり取りし、アクションを実行するためのオプションです。この場合、VMやIdentity Providerに割り当てる代わりに、APIキーを使用してIBMとプログラム的にやり取りすることができます。 アクセス権は、アクセスポリシーを使用してサービスIDに直接付与するか、アクセスグループを介して付与することができます。

Identity Providers

外部のIdentity Providersを構成して、外部プラットフォームからIBMクラウドリソースにアクセスできるようにすることができます。

アクセスグループ

同じアクセスグループには複数のユーザー、信頼されたプロファイル、サービスIDが存在することができます。アクセスグループ内の各主体は、アクセスグループのアクセス権を継承します。 アクセス権は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます。 アクセスグループは別のアクセスグループのメンバーになることはできません。

ロール

ロールは細かい権限のセットです。ロールはサービスに専用されており、そのサービスの権限のみを含みます。 IAMの各サービスには、そのサービスに主体にアクセス権を付与するための可能なロールがすでにいくつか用意されています：Viewer、Operator、Editor、Administrator（他にもあるかもしれません）。

ロールの権限は、アクセスポリシーを使用して主体に与えられるため、たとえばサービスのViewerとAdministratorの組み合わせの権限を与える必要がある場合、これら2つを与える代わりに（主体に権限を過剰に与えることなく）、サービス用の新しいロールを作成し、必要な細かい権限をその新しいロールに与えることができます。

アクセスポリシー

アクセスポリシーを使用すると、1つのサービスの1つ以上のロールを1つの主体にアタッチすることができます。 ポリシーを作成する際には、次のことを選択する必要があります：

• 権限が付与されるサービス

• 影響を受けるリソース

• 付与されるサービスとプラットフォームのアクセス

• これらは、主体がアクションを実行するために与えられる権限を示します。サービスでカスタムロールが作成されている場合、ここでも選択できます。

• 権限を付与するための条件（あれば）

参照

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview