IBM - Basic Information

계층 구조

IBM Cloud 리소스 모델 (문서 참조):

프로젝트를 나누는 권장 방법:

IAM

사용자

사용자는 이메일이 할당되어 있습니다. IBM 콘솔에 액세스할 수 있으며 권한을 프로그래밍적으로 사용하기 위해 API 키를 생성할 수 있습니다. 권한은 액세스 정책을 사용하여 사용자에게 직접 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

신뢰할 수 있는 프로필

이들은 AWS의 역할 또는 GCP의 서비스 계정과 유사합니다. VM에 할당하고 메타데이터를 통해 자격 증명에 액세스하거나 Identity Providers가 외부 플랫폼의 사용자를 인증하기 위해 사용할 수 있습니다. 권한은 액세스 정책을 사용하여 직접 신뢰할 수 있는 프로필에 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

서비스 ID

이것은 응용 프로그램이 IBM 클라우드와 상호 작용하고 작업을 수행하는 데 사용하는 또 다른 옵션입니다. 이 경우 VM이나 Identity Provider에 할당하는 대신 API 키를 사용하여 IBM과 프로그래밍 방식으로 상호 작용할 수 있습니다. 권한은 액세스 정책을 사용하여 직접 서비스 ID에 부여하거나 액세스 그룹을 통해 부여할 수 있습니다.

Identity Providers

외부 Identity Providers를 구성하여 외부 플랫폼에서 IBM 클라우드 리소스에 액세스할 수 있습니다. 이를 통해 신뢰할 수 있는 프로필에 액세스할 수 있습니다.

액세스 그룹

동일한 액세스 그룹에 여러 사용자, 신뢰할 수 있는 프로필 및 서비스 ID가 있을 수 있습니다. 액세스 그룹의 각 주체는 액세스 그룹 권한을 상속받습니다. 권한은 액세스 정책을 사용하여 직접 신뢰할 수 있는 프로필에 부여할 수 있습니다. 액세스 그룹은 다른 액세스 그룹의 구성원이 될 수 없습니다.

역할

역할은 세분화된 권한 집합입니다. 역할은 서비스에 전용되어 있으며 해당 서비스의 권한만 포함합니다. IAM의 각 서비스는 해당 서비스에 액세스 권한을 부여할 수 있는 가능한 역할을 이미 선택할 수 있습니다: Viewer, Operator, Editor, Administrator (더 많을 수 있음).

역할 권한은 주체에게 액세스 정책을 통해 부여되므로 예를 들어 서비스의 Viewer 및 Administrator 권한 조합을 부여해야 하는 경우, 이러한 2개를 부여하는 대신 (주체에게 과도한 권한을 주는 것보다) 해당 서비스에 대한 새 역할을 만들고 필요한 세분화된 권한을 부여할 수 있습니다.

액세스 정책

액세스 정책을 사용하여 1개 이상의 서비스 역할을 1개 주체에 첨부할 수 있습니다. 정책을 생성할 때 다음을 선택해야 합니다:

• 권한이 부여될 서비스

• 영향을 받는 리소스

• 부여될 서비스 및 플랫폼 액세스

• 주체가 수행할 수 있는 권한을 나타냅니다. 서비스에서 사용자 정의 역할이 생성된 경우 여기에서 선택할 수도 있습니다.

• 권한을 부여하기 위한 조건 (있는 경우)

참고 자료

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview