IBM Cloud Docs
サービス ID の作成と処理

サービス ID の作成と処理

ユーザー ID がユーザーを識別するのと同様の方法で、サービス ID はサービスまたはアプリケーションを識別します。 サービス ID を作成し、それを使用して、IBM Cloud の外部にあるアプリケーションが IBM Cloud サービスにアクセスできるようにすることが可能です。 このサービス ID には、特定のサービスを使用するための許可を制限したり、さまざまなサービスにアクセスするための許可を結合したりする特定のアクセス・ポリシーを割り当てることができます。 サービス ID は特定のユーザーに結び付けられていないため、ユーザーが組織を離れ、アカウントから削除されても、サービス ID は残ります。 このようにして、アプリケーションまたはサービスは稼働し続けます。

サービスIDを作成すると、コンソール上で識別しやすく、作業しやすい固有の名前と説明が作成されます。 サービス ID を作成した後に、アプリケーションが IBM Cloud サービスでの認証に使用できる、各サービス ID に固有の API キーを作成できます。 アプリケーションが IBM Cloud サービスで認証を行うための適切なアクセス権限を持つようにするには、作成する各サービス ID に割り当てられるアクセス・ポリシーを使用します。

サービス ID に関連付けられたアクセス・ポリシーは、特定のサービスにアクセスするためにそのサービス ID が使用された時に実行できる特定のアクションを使用可能にします。 サービスIDには、異なるアイデンティティおよびアクセス対応サービス、さらには単一サービスの異なるインスタンスに対して、複数のポリシーを割り当てることができます。 例えば、それぞれ 2 つのサービス・インスタンスを持つ 2 つのサービスがあるとします。 あるサービスのすべての利用可能なインスタンスにビューアの役割を割り当て、2番目のサービスの1つのインスタンスだけにエディタの役割を割り当てることもできます。 このように、複数のサービスへのアクセスをカスタマイズできますが、認証には単一の API キーを使用します。

すべてのユーザーには、そのユーザーがメンバーとなっているアカウント内にサービス ID を作成するための権限があります。 ただし、アカウント内のユーザーが、自身が作成していないサービスIDの表示や管理を行うには、IAMアイデンティティアカウント管理サービスでロールによるアクセス権限が必要です。 詳しくは、IAM Identity サービスを参照してください。

サービスIDグループは、サービスIDをより効果的にグループ化し、処理が必要なサービスIDの数を減らすことで、リスト作成作業の効率を向上させます。 サービスIDグループはアクセス管理と統合されていないため、IAMポリシーでアクセス制御に使用することはできません。

アクセス管理タグを使用して、サービス ID を表示または管理するための任意の ID アクセス権限を割り当てることができます。 詳しくは、 サービス ID へのタグの関連付け を参照してください。

IAMアカウントの設定で 「サービスIDの作成を制限する」 が有効になっている場合、アカウントの所有者を含むアカウント内の全員が、明示的なアクセス権が割り当てられていない限り、サービスIDの作成がブロックされます。 詳しくは、ユーザーによるサービス ID の作成操作の制限を参照してください。

コンソールを使用してサービスIDを作成する

サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じて さらにグループを作成 することができます。 他のグループを作成しない場合、サービスIDはデフォルトグループに追加されます。 サービス ID を作成するには、以下の手順を実行します。

  1. IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
  2. (オプション) サービスIDグループメニューからグループを選択します。 デフォルトのグループが選択されます。 サービスIDを別のグループに移動することはできませんので、サービスIDを作成する前に、正しいグループが選択されていることを確認してください。
  3. 「作成」 をクリックします。
  4. プロセスに従って、サービス ID の名前と説明を作成します。
  5. 「作成」 をクリックします。

CLI を使用したサービス ID の作成

サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 サービスIDグループを指定しない場合、サービスIDはデフォルトグループに追加されます。

サービスIDを別のグループに移動することはできないので、サービスIDを作成する前に、コマンドで正しいグループが指定されていることを確認してください。

サービスIDを作成するには ibmcloud iam service-id-create コマンドを使ってください。

API を使用したサービス ID の作成

サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 サービスIDグループを指定しない場合、サービスIDはデフォルトグループに追加されます。

サービスIDを別のグループに移動することはできませんので、サービスIDを作成する前に、APIで正しいグループが指定されていることを確認してください。

サービスIDを作成するには、 Create a service ID APIメソッド を使用します。

コンソールを使用してサービスIDを管理する

サービスIDは、名称と説明を変更することでいつでも編集できます。 また、必要に応じてAPIキーを削除・新規作成したり、割り当てられたアクセスポリシーを更新したり、サービスIDを削除したりすることもできます。

サービスIDを別のサービスIDグループに移動することはできません。 代わりに、サービスIDを削除し、使用するサービスIDグループに別のIDを作成してください。

割り当てられているポリシーを変更したり、使用されている API キーを削除したりするなど、既存のサービス ID に対して変更を行うと、そのサービス ID を使用するアプリケーションでサービスの中断が発生する可能性があります。 サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。

  1. IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
  2. (オプション) サービスIDグループメニューからグループを選択します。 デフォルトのグループが選択されます。
  3. サービスIDの行にカーソルを合わせて、 行動 アイコン アクションアイコン をクリックすると、サービスIDを管理できます。

アクセス権の割り当てやAPIキーの作成を素早く行うには、行内のサービスID名をクリックします。 API キーの処理について詳しくは、『サービス ID の API キーの管理』を参照してください。

CLI を使用したサービス ID の管理

CLIを使用して、サービスIDの詳細の表示、名前と説明の更新、サービスIDの削除などを行うことができます。

  • サービスIDの詳細を表示するには ibmcloud iam service-id コマンドを使ってください。

  • サービスIDの名前と説明を更新するには ibmcloud iam service-id-update コマンドを使ってください。

  • サービスIDを削除するには ibmcloud iam service-id-delete コマンドを使います。

    サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。

サービスIDコマンドの完全なリスト、パラメータ、例については、 IAM CLIのドキュメント を参照してください。

APIを使用してサービスIDを管理する

APIを使用して、サービスIDの詳細を表示したり、名前や説明を更新したり、サービスIDを削除したりすることができます。

  • サービスIDの詳細を表示するには、 Update service ID APIメソッドを使用してください。

  • サービスIDの名前と説明を更新するには、 Update service ID APIメソッドを使用します。

  • サービスIDを削除するには、 Delete a service ID and associated API keys APIメソッドを使用します。

    サービス ID を削除すると、関連付けられている API キーと割り当てられているポリシーもすべて削除されます。 このアクションを元に戻すことはできません。従属サービス間で中断が発生する可能性があります。

サービス ID メソッドの全リスト、オプションおよび必須のリクエストパラメータ、例については、 IAM Identity Services API ドキュメント を参照すること。

サービス ID のロック

サービスIDが削除され、サービス利用者に障害や混乱が発生する事態を避けるため、サービスIDをロックすることができます。 サービス ID をロックすることにより、ポリシーの変更、削除、割り当てを防止することもできます。 サービス ID をロックできることに加え、アカウント内に作成する各サービス ID に関連付けられている個々の API キーをロックできます。

ロックされたサービス ID をアカウントから削除することはできず、アクセス・ポリシーを更新することもできませんが、ロックされたサービス ID をそれらが追加されたアクセス・グループから削除することはできます。 つまり、アクセス・グループ内のメンバーシップによって ID に割り当てられているアクセス権限はいずれも、サービス ID がアクセス・グループから削除されたときに削除されます。

サービスIDのロックおよびロック解除のためのユーザーアクセスを提供

サービス ID およびサービス ID に関連付けられている API キーをロックおよびアンロックするためのアクセス権限をユーザーが持つためには、特定のアクセス・ポリシーが割り当てられている必要があります。 アカウント内のすべてのサービス ID へのアクセス権限、またはアカウント内の特定のサービス ID へのアクセス権限という 2 つのタイプのアクセス・ポリシーで、適切なアクセス権限を付与できます。

アカウント内のすべてのサービス ID へのアクセス権限を割り当てるには、以下の詳細を使用してアカウント管理サービスのアクセス・ポリシーを設定します。

  • エディターまたは管理者の役割
  • IAM Identity Service

アカウント内の特定のサービス ID へのアクセス権限を割り当てるには、以下の詳細を使用してアカウント管理サービスのアクセス・ポリシーを設定します。

  • エディターまたは管理者の役割
  • IAM Identity Service
  • リソースタイプのフィールドに serviceid と入力してください
  • 「リソース ID」フィールドにサービス ID の識別子を指定する

特定のサービス ID の ID を取得するには、IBM Cloud コンソールで管理 > アクセス (IAM) に移動し、サービス IDを選択します。 詳細を表示するサービス ID を選択し、ID の値をコピーします。

コンソールを使用してサービスIDのロックとロック解除を行う

サービスIDをロックまたはロック解除するには、適切なアクセス権が必要です。 サービスIDをロックまたはロック解除するには、以下の手順を実行します:

  1. IBM Cloud コンソールで、管理 > アクセス (IAM) をクリックし、サービス ID を選択します。
  2. サービスIDの行にカーソルを合わせ、 アクションアイコン アクションアイコン サービスIDをロックまたはロック解除するアクションをクリックします。

CLI を使用したサービス ID のロックおよびアンロック

サービス ID をアンロックするには、適切なレベルのアクセス権限を持っている必要があります。

APIを使用したサービスIDのロックとロック解除

  • サービスIDをロックするには、 Lock the service ID APIメソッドを使用します。
  • サービスIDのロックを解除するには、 Unlock the service ID APIメソッドを使用します。

サービス ID をアンロックするには、適切なレベルのアクセス権限を持っている必要があります。

コンソールを使用したサービスIDグループの作成と操作

サービスIDを作成する場合、サービスIDグループに追加する必要があります。 デフォルトのグループは自動的に作成されますが、必要に応じてさらにグループを作成することができます。 各サービスIDグループには、最大2,000のサービスIDを含めることができます。

コンソールを使用してサービスIDグループを作成する

サービスIDグループを作成するには、以下の手順に従います

  1. IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。
  2. **「グループの作成」**をクリックします。
  3. 手順に従って、サービスIDグループの名前と説明を作成します。
  4. 「作成」 をクリックします。

コンソールを使用してサービスIDグループを削除する

サービスIDグループを削除するには、グループが空でなければなりません。 グループを削除する前に、グループ内のすべてのサービスIDを削除してください。 次に、以下の手順を実行します。

  1. IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「サービス ID」**を選択します。

  2. サービスIDグループメニューからグループを選択します。

    デフォルトのサービスIDグループは削除できません。

  3. テーブルヘッダの削除をクリックする。

  4. **「削除」**をクリックして、確認します。

CLIを使用したサービスIDグループの作成と操作

コンソールを使用してサービスIDグループを作成し、管理することができます。 手順を確認するには、UIの説明に切り替えてください。

APIを使用したサービスIDグループの作成と操作

コンソールを使用してサービスIDグループを作成し、管理することができます。 手順を確認するには、UIの説明に切り替えてください。