Hierarquia

Modelo de recursos da IBM Cloud (da documentação):

Forma recomendada de dividir projetos:

IAM

Usuários

Os usuários têm um e-mail atribuído a eles. Eles podem acessar o console da IBM e também gerar chaves de API para usar suas permissões de forma programática. Permissões podem ser concedidas diretamente ao usuário com uma política de acesso ou por meio de um grupo de acesso.

Perfis Confiáveis

São como os Roles da AWS ou contas de serviço do GCP. É possível atribuí-los a instâncias de VM e acessar suas credenciais via metadados, ou até mesmo permitir que Provedores de Identidade os usem para autenticar usuários de plataformas externas. Permissões podem ser concedidas diretamente ao perfil confiável com uma política de acesso ou por meio de um grupo de acesso.

IDs de Serviço

Esta é outra opção para permitir que aplicativos interajam com a nuvem da IBM e realizem ações. Neste caso, em vez de atribuí-lo a uma VM ou Provedor de Identidade, uma Chave de API pode ser usada para interagir com a IBM de forma programática. Permissões podem ser concedidas diretamente ao ID de serviço com uma política de acesso ou por meio de um grupo de acesso.

Provedores de Identidade

Provedores de Identidade Externa podem ser configurados para acessar recursos da nuvem da IBM de plataformas externas acessando perfis confiáveis.

Grupos de Acesso

No mesmo grupo de acesso, vários usuários, perfis confiáveis e IDs de serviço podem estar presentes. Cada principal no grupo de acesso herdará as permissões do grupo de acesso. Permissões podem ser concedidas diretamente ao perfil confiável com uma política de acesso. Um grupo de acesso não pode ser membro de outro grupo de acesso.

Funções

Uma função é um conjunto de permissões granulares. Uma função é dedicada a um serviço, o que significa que conterá apenas permissões desse serviço. Cada serviço do IAM já terá algumas funções possíveis para escolher para conceder a um principal acesso a esse serviço: Visualizador, Operador, Editor, Administrador (embora possa haver mais).

As permissões da função são concedidas por meio de políticas de acesso aos principais, portanto, se você precisar dar, por exemplo, uma combinação de permissões de um serviço de Visualizador e Administrador, em vez de dar essas 2 (e conceder privilégios excessivos a um principal), você pode criar uma nova função para o serviço e dar a essa nova função as permissões granulares necessárias.

Políticas de Acesso

As políticas de acesso permitem anexar 1 ou mais funções de 1 serviço a 1 principal. Ao criar a política, você precisa escolher:

• O serviço onde as permissões serão concedidas

• Recursos afetados

• Acesso ao serviço e plataforma que será concedido

• Estes indicam as permissões que serão concedidas ao principal para realizar ações. Se alguma função personalizada for criada no serviço, você também poderá escolhê-la aqui.

• Condições (se houver) para conceder as permissões

Referências

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview