IBM - Basic Information
Hierarchia
Model zasobów IBM Cloud (z dokumentacji):
Zalecany sposób podziału projektów:
IAM
Użytkownicy
Użytkownicy mają przypisany adres e-mail. Mogą uzyskać dostęp do konsoli IBM oraz generować klucze API do programowego korzystania z ich uprawnień. Uprawnienia mogą być udzielane bezpośrednio użytkownikowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
Zaufane Profile
Są to podobne do ról AWS lub kont usług z GCP. Można je przypisać do instancji VM i uzyskać dostęp do ich poświadczeń poprzez metadane, a nawet umożliwić dostawcom tożsamości ich użycie do uwierzytelniania użytkowników z zewnętrznych platform. Uprawnienia mogą być udzielane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
ID Usług
Jest to kolejna opcja umożliwiająca aplikacjom interakcję z chmurą IBM i wykonywanie działań. W tym przypadku zamiast przypisywać go do VM lub dostawcy tożsamości, można użyć klucza API do interakcji z IBM w programowy sposób. Uprawnienia mogą być udzielane bezpośrednio identyfikatorowi usługi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
Dostawcy Tożsamości
Zewnętrzni dostawcy tożsamości mogą być skonfigurowani do dostępu do zasobów chmury IBM z zewnętrznych platform poprzez dostęp do zaufanych profili.
Grupy Dostępu
W tej samej grupie dostępu mogą być obecni kilku użytkownicy, zaufane profile i identyfikatory usług. Każdy podmiot w grupie dostępu będzie dziedziczył uprawnienia grupy dostępu. Uprawnienia mogą być udzielane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu. Grupa dostępu nie może być członkiem innej grupy dostępu.
Role
Rola to zbiór szczegółowych uprawnień. Rola jest dedykowana dla usługi, co oznacza, że będzie zawierać tylko uprawnienia tej usługi. Każda usługa IAM będzie już miała kilka możliwych ról do wyboru, aby udzielić podmiotowi dostępu do tej usługi: Viewer, Operator, Editor, Administrator (choć może być ich więcej).
Uprawnienia roli są udzielane za pomocą polityk dostępu dla podmiotów, więc jeśli potrzebujesz na przykład kombinacji uprawnień usługi Viewer i Administrator, zamiast udzielać tych 2 (i nadmiernie uprzywilejować podmiot), możesz utworzyć nową rolę dla usługi i nadać tej nowej roli szczegółowe uprawnienia, których potrzebujesz.
Polityki Dostępu
Polityki dostępu pozwalają na przypisanie 1 lub więcej ról 1 usługi do 1 podmiotu. Tworząc politykę, musisz wybrać:
Usługę, do której będą udzielane uprawnienia
Dotknięte zasoby
Dostęp do usługi i platformy, który będzie udzielany
Wskazują one uprawnienia, które zostaną udzielone podmiotowi do wykonywania działań. Jeśli w usłudze została utworzona niestandardowa rola, będziesz mógł również ją wybrać tutaj.
Warunki (jeśli jakiekolwiek) do udzielenia uprawnień
Aby udzielić dostępu do kilku usług użytkownikowi, można wygenerować kilka polityk dostępu
Odnośniki
Last updated