Hiyerarşi

IBM Cloud kaynak modeli (dokümantasyondan):

Projeleri bölmek için önerilen yol:

IAM

Kullanıcılar

Kullanıcılara bir e-posta atanır. IBM konsoluna erişebilirler ve izinlerini programatik olarak kullanmak için API anahtarları oluşturabilirler. İzinler, kullanıcıya bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.

Güvenilir Profiller

Bunlar, AWS'nin Rollerine veya GCP'nin hizmet hesaplarına benzer. Bunlar, bir VM örneğine atanabilir ve kimlik bilgilerine meta veriler aracılığıyla erişebilir veya hatta Kimlik Sağlayıcıların bunları kullanmasına izin vererek harici platformlardan kullanıcıları kimlik doğrulamak için kullanabilir. İzinler, güvenilir profile bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.

Hizmet Kimlikleri

Bu, uygulamaların IBM bulutuyla etkileşimde bulunmasına ve işlemler gerçekleştirmesine izin vermek için başka bir seçenektir. Bu durumda, bir VM'ye veya Kimlik Sağlayıcıya atamak yerine, IBM ile programatik olarak etkileşimde bulunmak için bir API Anahtarı kullanılabilir. İzinler, hizmet kimliğine bir erişim politikası veya bir erişim grubu aracılığıyla doğrudan verilebilir.

Kimlik Sağlayıcılar

Harici Kimlik Sağlayıcılar, harici platformlardan IBM bulutu kaynaklarına erişmek için güvenilir profilleri güvenerek yapılandırılabilir.

Erişim Grupları

Aynı erişim grubunda birçok kullanıcı, güvenilir profil ve hizmet kimliği bulunabilir. Erişim grubundaki her bir temsilci, erişim grubu izinlerini miras alır. İzinler, güvenilir profile bir erişim politikası aracılığıyla doğrudan verilebilir. Bir erişim grubu başka bir erişim grubunun üyesi olamaz.

Roller

Bir rol, aşamalı izinler kümesidir. Bir rol, yalnızca o hizmetin izinlerini içereceği için bir hizmete özgüdür. IAM'nin her bir hizmeti, bir temsilciye erişim sağlamak için seçilebilecek bazı olası rolleri zaten içerecektir: Görüntüleyici, Operatör, Düzenleyici, Yönetici (ancak daha fazla olabilir).

Rol izinleri, temsilcilere erişim politikaları aracılığıyla verilir, bu nedenle örneğin bir hizmetin Görüntüleyici ve Yönetici izinlerinin kombinasyonunu vermek isterseniz (ve bir temsilciyi aşırı yetkilendirme riskini önlemek için), bu hizmet için yeni bir rol oluşturabilir ve bu yeni role ihtiyaç duyduğunuz aşamalı izinleri verebilirsiniz.

Erişim Politikaları

Erişim politikaları, 1 hizmetin 1 veya daha fazla rolünü 1 temsilciye eklemeyi sağlar. Politika oluştururken aşağıdakileri seçmeniz gerekmektedir:

• İzinlerin verileceği hizmet

• Etkilenen kaynaklar

• Verilecek olan Hizmet ve Platform erişimi

• Bu, temsilcinin eylemleri gerçekleştirmek için verilecek olan izinleri belirtir. Hizmette herhangi bir özel rol oluşturulduysa, burada da seçebilirsiniz.

• İzinleri vermek için koşullar (varsa)

Referanslar

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises

• https://cloud.ibm.com/docs/account?topic=account-iamoverview