サービス ID の作成と処理
ユーザー ID がユーザーを識別するのと同様の方法で、サービス ID はサービスまたはアプリケーションを識別します。 サービス ID を作成し、それを使用して、IBM Cloud の外部にあるアプリケーションが IBM Cloud サービスにアクセスできるようにすることが可能です。 このサービス ID には、特定のサービスを使用するための許可を制限したり、さまざまなサービスにアクセスするための許可を結合したりする特定のアクセス・ポリシーを割り当てることができます。 サービス ID は特定のユーザーに結び付けられていないため、ユーザーが組織を離れ、アカウントから削除されても、サービス ID は残ります。 このようにして、アプリケーションまたはサービスは稼働し続けます。
サービスIDを作成すると、コンソールで識別しやすく、作業しやすい一意の名前と説明が作成されます。 サービス ID を作成した後に、アプリケーションが IBM Cloud サービスでの認証に使用できる、各サービス ID に固有の API キーを作成できます。 アプリケーションが IBM Cloud サービスで認証を行うための適切なアクセス権限を持つようにするには、作成する各サービス ID に割り当てられるアクセス・ポリシーを使用します。
サービス ID に関連付けられたアクセス・ポリシーは、特定のサービスにアクセスするためにそのサービス ID が使用された時に実行できる特定のアクションを使用可能にします。 サービスIDには、異なるアイデンティティおよびアクセス対応サービス、さらには単一サービスの異なるインスタンスに対して、複数のポリシーを割り当てることができます。 例えば、それぞれ 2 つのサービス・インスタンスを持つ 2 つのサービスがあるとします。 1つのサービスの利用可能なすべてのインスタンスにViewerロールを割り当て、2つ目のサービスの1つのインスタンスだけにEditorロールを割り当てることができます。 この方法では、複数のサービスへのアクセスをカスタマイズすることができるが、すべての認証に単一のAPIキーを使用する。
すべてのユーザーには、そのユーザーがメンバーとなっているアカウント内にサービス ID を作成するための権限があります。 ただし、アカウントのユーザが、個人的に作成したのではないサービス ID を表示または管理できるようにするには、IAM Identity アカウント管理サービスのロールを持つアクセス権を持つ必要がある。 詳しくは、IAM Identity サービスを参照してください。
サービスIDグループは、サービスIDをより効果的にグループ化し、処理が必要なサービスIDの数を減らすことで、リスト作成作業の効率を向上させます。 サービスIDグループはアクセス管理と統合されていないため、IAMポリシーでアクセス制御に使用することはできません。
アクセス管理タグを使用して、サービス ID を表示または管理するための任意の ID アクセス権限を割り当てることができます。 詳しくは、 サービス ID へのタグの関連付け を参照してください。
IAMアカウント設定で Restrict service ID creationが有効になっている場合、明示的なアクセスが割り当てられない限り、アカウント所有者を含むアカウント内の全員がサービスIDの作成をブロックされます。 詳しくは、ユーザーによるサービス ID の作成操作の制限を参照してください。
コンソールを使ってサービスIDを作成する
サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じて さらにグループを作成 することができます。 他のグループを作成しない場合、サービスIDはデフォルトグループに追加されます。 サービス ID を作成するには、以下の手順を実行します。
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
- (オプション) サービスIDグループメニューからグループを選択します。 デフォルトのグループが選択されます。 サービスIDを別のグループに移動することはできませんので、サービスIDを作成する前に、正しいグループが選択されていることを確認してください。
- 「作成」 をクリックします。
- プロセスに従って、サービス ID の名前と説明を作成します。
- 「作成」 をクリックします。
CLI を使用したサービス ID の作成
サービスIDグループは、アカウントで許可されるサービスIDの数に制限がある場合に役立ちます。 サービスIDグループは、システムのパフォーマンスに影響を与えることなく、より多くのサービスIDを作成する方法を提供します。
サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 サービスIDグループを指定しない場合、サービスIDはデフォルトグループに追加されます。
サービスIDを別のグループに移動することはできないので、サービスIDを作成する前に、コマンドで正しいグループが指定されていることを確認してください。
サービスIDを作成するには ibmcloud iam service-id-create
コマンドを使ってください。
API を使用したサービス ID の作成
サービスIDグループは、アカウントで許可されるサービスIDの数に制限がある場合に役立ちます。 サービスIDグループは、システムのパフォーマンスに影響を与えることなく、より多くのサービスIDを作成する方法を提供します。
サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 サービスIDグループを指定しない場合、サービスIDはデフォルトグループに追加されます。
サービスIDを別のグループに移動することはできませんので、サービスIDを作成する前に、APIで正しいグループが指定されていることを確認してください。
サービスIDを作成するには、 Create a service ID APIメソッド を使用します。
コンソールを使ったサービスIDの管理
サービスIDは、いつでも名前と説明を変更して編集することができます。 また、必要に応じてAPIキーを削除・新規作成したり、割り当てられたアクセスポリシーを更新したり、サービスIDを削除したりすることもできます。
サービスIDを別のサービスIDグループに移動することはできません。 代わりに、サービスIDを削除し、使用するサービスIDグループに別のIDを作成してください。
割り当てられているポリシーを変更したり、使用されている API キーを削除したりするなど、既存のサービス ID に対して変更を行うと、そのサービス ID を使用するアプリケーションでサービスの中断が発生する可能性があります。 サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
- (オプション) サービスIDグループメニューからグループを選択します。 デフォルトのグループが選択されます。
- サービスIDの行にカーソルを合わせ、 アクションアイコン
サービスIDを管理するためのアクションをクリックします。
アクセス権の割り当てやAPIキーの作成を素早く行うには、行内のサービスID名をクリックします。 API キーの処理について詳しくは、『サービス ID の API キーの管理』を参照してください。
CLIを使用したサービスIDの管理
CLIを使用して、サービスIDの詳細の表示、名前と説明の更新、サービスIDの削除などを行うことができます。
-
サービスIDの詳細を表示するには
ibmcloud iam service-id
コマンドを使ってください。 -
サービスIDの名前と説明を更新するには
ibmcloud iam service-id-update
コマンドを使ってください。 -
サービスIDを削除するには
ibmcloud iam service-id-delete
コマンドを使います。サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。
サービスIDコマンドの完全なリスト、パラメータ、例については、 IAM CLIのドキュメント を参照してください。
APIを使用したサービスIDの管理
APIを使用して、サービスIDの詳細を表示したり、名前や説明を更新したり、サービスIDを削除したりすることができます。
-
サービスIDの詳細を表示するには、 Update service ID APIメソッドを使用してください。
-
サービスIDの名前と説明を更新するには、 Update service ID APIメソッドを使用します。
-
サービスIDを削除するには、 Delete a service ID and associated API keys APIメソッドを使用します。
サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。
サービス ID メソッドの全リスト、オプションおよび必須のリクエストパラメータ、例については、 IAM Identity Services API ドキュメント を参照すること。
サービス ID のロック
サービスIDが削除され、サービス利用者に障害や混乱が発生する事態を避けるため、サービスIDをロックすることができます。 サービス ID をロックすることにより、ポリシーの変更、削除、割り当てを防止することもできます。 サービス ID をロックできることに加え、アカウント内に作成する各サービス ID に関連付けられている個々の API キーをロックできます。
ロックされたサービス ID をアカウントから削除することはできず、アクセス・ポリシーを更新することもできませんが、ロックされたサービス ID をそれらが追加されたアクセス・グループから削除することはできます。 つまり、アクセス・グループ内のメンバーシップによって ID に割り当てられているアクセス権限はいずれも、サービス ID がアクセス・グループから削除されたときに削除されます。
サービスIDのロックとロック解除のためのユーザーアクセスの提供
サービス ID およびサービス ID に関連付けられている API キーをロックおよびアンロックするためのアクセス権限をユーザーが持つためには、特定のアクセス・ポリシーが割り当てられている必要があります。 アカウント内のすべてのサービス ID へのアクセス権限、またはアカウント内の特定のサービス ID へのアクセス権限という 2 つのタイプのアクセス・ポリシーで、適切なアクセス権限を付与できます。
アカウント内のすべてのサービス ID へのアクセス権限を割り当てるには、以下の詳細を使用してアカウント管理サービスのアクセス・ポリシーを設定します。
- エディターまたは管理者の役割
- IAM Identity Service
アカウント内の特定のサービス ID へのアクセス権限を割り当てるには、以下の詳細を使用してアカウント管理サービスのアクセス・ポリシーを設定します。
- エディターまたは管理者の役割
- IAM Identity Service
- リソースタイプ欄に
serviceid
を指定する - 「リソース ID」フィールドにサービス ID の識別子を指定する
特定のサービス ID の ID を取得するには、IBM Cloud コンソールで管理 > アクセス (IAM) に移動し、サービス IDを選択します。 詳細を表示するサービス ID を選択し、ID の値をコピーします。
コンソールを使ったサービスIDのロックとロック解除
サービスIDをロックまたはアンロックするには、適切なレベルのアクセス権が必要です。 サービスIDをロックまたはロック解除するには、以下の手順を実行します:
- IBM Cloud コンソールで、管理 > アクセス (IAM) をクリックし、サービス ID を選択します。
- サービスIDの行にカーソルを合わせ、 アクションアイコン
サービスIDをロックまたはロック解除するアクションをクリックします。
CLI を使用したサービス ID のロックおよびアンロック
- サービスIDをロックするには
ibmcloud iam service-id-lock
コマンドを使用します。 - サービスIDのロックを解除するには
ibmcloud iam service-id-unlock
コマンドを使用します。
サービス ID をアンロックするには、適切なレベルのアクセス権限を持っている必要があります。
APIを使用したサービスIDのロックとロック解除
- サービスIDをロックするには、 Lock the service ID APIメソッドを使用します。
- サービスIDのロックを解除するには、 Unlock the service ID APIメソッドを使用します。
サービス ID をアンロックするには、適切なレベルのアクセス権限を持っている必要があります。
コンソールを使用したサービスIDグループの作成と操作
サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 各サービスIDグループには、最大2,000のサービスIDを含めることができます。
コンソールを使ったサービスIDグループの作成
サービスIDグループを作成するには、以下の手順に従ってください:
- IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
- **「グループの作成」**をクリックします。
- サービスIDグループの名前と説明を作成する手順に従ってください。
- 「作成」 をクリックします。
コンソールを使ったサービスIDグループの削除
サービスIDグループを削除するには、空でなければなりません。 グループを削除する前に、グループ内のすべてのサービスIDを削除してください。 次に、以下の手順を実行します。
-
IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
-
サービスIDグループメニューからグループを選択します。
デフォルトのサービスIDグループは削除できません。
-
テーブルヘッダの削除をクリックする。
-
**「削除」**をクリックして、確認します。
CLIを使用したサービスIDグループの作成と操作
コンソールを使用してサービスIDグループを作成し、管理することができます。 手順を見るには、UIの説明に切り替えてください。
APIを使用したサービスIDグループの作成と操作
コンソールを使用してサービスIDグループを作成し、管理することができます。 手順を見るには、UIの説明に切り替えてください。