계층 구조

IBM Cloud 리소스 모델 (문서에서 가져옴):

프로젝트를 나누는 권장 방법:

IAM

사용자

사용자는 이메일이 할당되어 있습니다. IBM 콘솔에 액세스하고 권한을 프로그래밍 방식으로 사용하기 위해 API 키를 생성할 수 있습니다. 권한은 액세스 정책을 사용하여 사용자에게 직접 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

신뢰할 수 있는 프로필

이들은 AWS의 역할이나 GCP의 서비스 계정과 유사합니다. VM에 할당하고 메타데이터를 통해 자격 증명에 액세스하거나 Identity Providers가 외부 플랫폼의 사용자를 인증하기 위해 사용할 수도 있습니다. 권한은 액세스 정책을 사용하여 직접 신뢰할 수 있는 프로필에 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

서비스 ID

이것은 응용 프로그램이 IBM 클라우드와 상호 작용하고 작업을 수행하는 데 사용하는 다른 옵션입니다. 이 경우 VM이나 Identity Provider에 할당하는 대신 API 키를 사용하여 IBM과 프로그래밍 방식으로 상호 작용할 수 있습니다. 권한은 액세스 정책을 사용하여 직접 서비스 ID에 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

Identity Providers

외부 Identity Providers를 구성하여 외부 플랫폼에서 IBM 클라우드 리소스에 액세스할 수 있습니다. 이를 통해 신뢰할 수 있는 프로필에 액세스할 수 있습니다.

액세스 그룹

동일한 액세스 그룹에 여러 사용자, 신뢰할 수 있는 프로필 및 서비스 ID가 있을 수 있습니다. 액세스 그룹의 각 주체는 액세스 그룹 권한을 상속받습니다. 권한은 액세스 정책을 사용하여 직접 신뢰할 수 있는 프로필에 부여할 수 있습니다. 액세스 그룹은 다른 액세스 그룹의 구성원이 될 수 없습니다.

역할

역할은 세분화된 권한 집합입니다. 역할은 서비스에 전용되어 해당 서비스의 권한만 포함합니다. IAM의 각 서비스는 이미 주요 역할을 선택하여 주체에게 해당 서비스에 대한 액세스를 부여할 수 있습니다: Viewer, Operator, Editor, Administrator (더 많을 수 있음).

역할 권한은 주체에게 액세스 정책을 통해 부여되므로 예를 들어 서비스의 Viewer 및 Administrator 권한 조합을 제공해야 하는 경우, 이를 위해 이 두 가지를 부여하는 대신 서비스에 대한 새 역할을 만들고 필요한 세분화된 권한을 부여할 수 있습니다.

액세스 정책

액세스 정책을 사용하여 1개 이상의 서비스 역할을 1개 주체에 첨부할 수 있습니다. 정책을 생성할 때 다음을 선택해야 합니다:

• 권한이 부여될 서비스

• 영향을 받는 리소스

• 부여될 서비스 및 플랫폼 액세스

• 주체가 수행할 수 있는 권한을 나타냅니다. 서비스에서 사용자 정의 역할이 생성된 경우 여기에서 선택할 수도 있습니다.

• 권한을 부여하기 위한 조건 (있는 경우)

참고 자료

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview