IBM - Basic Information
Hierarquia
Modelo de recursos da IBM Cloud (da documentação):
Forma recomendada de dividir projetos:
IAM
Usuários
Os usuários têm um e-mail atribuído a eles. Eles podem acessar o console da IBM e também gerar chaves de API para usar suas permissões de forma programática. Permissões podem ser concedidas diretamente ao usuário com uma política de acesso ou por meio de um grupo de acesso.
Perfis Confiáveis
São como os Roles da AWS ou contas de serviço do GCP. É possível atribuí-los a instâncias de VM e acessar suas credenciais via metadados, ou até mesmo permitir que Provedores de Identidade os usem para autenticar usuários de plataformas externas. Permissões podem ser concedidas diretamente ao perfil confiável com uma política de acesso ou por meio de um grupo de acesso.
IDs de Serviço
Esta é outra opção para permitir que aplicativos interajam com a nuvem da IBM e realizem ações. Neste caso, em vez de atribuí-lo a uma VM ou Provedor de Identidade, uma Chave de API pode ser usada para interagir com a IBM de forma programática. Permissões podem ser concedidas diretamente ao ID de serviço com uma política de acesso ou por meio de um grupo de acesso.
Provedores de Identidade
Provedores de Identidade Externa podem ser configurados para acessar recursos da nuvem da IBM de plataformas externas acessando perfis confiáveis.
Grupos de Acesso
No mesmo grupo de acesso, vários usuários, perfis confiáveis e IDs de serviço podem estar presentes. Cada principal no grupo de acesso herdará as permissões do grupo de acesso. Permissões podem ser concedidas diretamente ao perfil confiável com uma política de acesso. Um grupo de acesso não pode ser membro de outro grupo de acesso.
Funções
Uma função é um conjunto de permissões granulares. Uma função é dedicada a um serviço, o que significa que conterá apenas permissões desse serviço. Cada serviço do IAM já terá algumas funções possíveis para escolher para conceder a um principal acesso a esse serviço: Visualizador, Operador, Editor, Administrador (embora possa haver mais).
As permissões da função são concedidas por meio de políticas de acesso aos principais, portanto, se você precisar dar, por exemplo, uma combinação de permissões de um serviço de Visualizador e Administrador, em vez de dar essas 2 (e conceder privilégios excessivos a um principal), você pode criar uma nova função para o serviço e dar a essa nova função as permissões granulares necessárias.
Políticas de Acesso
As políticas de acesso permitem anexar 1 ou mais funções de 1 serviço a 1 principal. Ao criar a política, você precisa escolher:
O serviço onde as permissões serão concedidas
Recursos afetados
Acesso ao serviço e plataforma que será concedido
Estes indicam as permissões que serão concedidas ao principal para realizar ações. Se alguma função personalizada for criada no serviço, você também poderá escolhê-la aqui.
Condições (se houver) para conceder as permissões
Para conceder acesso a vários serviços a um usuário, você pode gerar várias políticas de acesso
Referências
Última actualización