IBM - Basic Information
階層
IBM Cloudのリソースモデル(ドキュメントから):
プロジェクトを分割する推奨方法:
IAM
ユーザー
ユーザーにはメールが割り当てられています。IBMコンソールにアクセスしたり、APIキーを生成してプログラムで権限を使用することができます。 権限は、アクセスポリシーを使用してユーザーに直接付与するか、アクセスグループを介して付与することができます。
信頼されたプロファイル
これらはAWSのロールやGCPのサービスアカウントのようなものです。これらをVMインスタンスに割り当てて、メタデータを介してその資格情報にアクセスしたり、Identity Providersがこれらを使用して外部プラットフォームのユーザーを認証することも可能です。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与するか、アクセスグループを介して付与することができます。
サービスID
これはアプリケーションがIBMクラウドとやり取りし、アクションを実行するためのオプションです。この場合、VMやIdentity Providerに割り当てる代わりに、APIキーを使用してIBMとプログラム的にやり取りすることができます。 権限は、アクセスポリシーを使用してサービスIDに直接付与するか、アクセスグループを介して付与することができます。
Identity Providers
外部のIdentity Providersを構成して、外部プラットフォームからIBMクラウドリソースにアクセスできるようにすることができます。
アクセスグループ
同じアクセスグループには、複数のユーザー、信頼されたプロファイル、サービスIDが存在することができます。アクセスグループ内の各主体は、アクセスグループの権限を継承します。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます。 アクセスグループは、別のアクセスグループのメンバーになることはできません。
ロール
ロールは細かい権限のセットです。ロールはサービスに専用されており、そのサービスの権限のみを含みます。 IAMの各サービスには、そのサービスへのアクセスを主体に付与するための可能なロールがすでにいくつか用意されています: Viewer、Operator、Editor、Administrator(他にもあるかもしれません)。
ロールの権限は、アクセスポリシーを使用して主体に与えられるため、たとえばサービスのViewerとAdministratorの組み合わせの権限を与える必要がある場合、これら2つを与える代わりに(主体に権限を過剰に与えることなく)、サービス用の新しいロールを作成し、必要な細かい権限をその新しいロールに与えることができます。
アクセスポリシー
アクセスポリシーを使用すると、1つのサービスの1つ以上のロールを1つの主体にアタッチすることができます。 ポリシーを作成する際には、次のことを選択する必要があります:
権限を付与するサービス
影響を受けるリソース
付与されるサービスとプラットフォームのアクセス
これらは、主体がアクションを実行するために与えられる権限を示します。サービスでカスタムロールが作成されている場合、ここでそれを選択することもできます。
権限を付与するための条件(あれば)
1人のユーザーに複数のサービスへのアクセス権を付与するには、複数のアクセスポリシーを生成できます
参考
Last updated
