IBM Cloud Docs
Zugriff auf Ressourcen mithilfe von Tags steuern

Zugriff auf Ressourcen mithilfe von Tags steuern

In diesem Lernprogramm werden die Schritte erläutert, mit denen Sie den Zugriff auf die Ressourcen in Ihrem Konto zentral und skalierbar steuern können. Bei der Ausführung dieses Lernprogramms erfahren Sie, wie Sie einen Zugriffsverwaltungstag erstellen, den Tag zu ausgewählten Ressourcen hinzufügen und eine Richtlinie definieren, mit der Zugriffsberechtigungen für Ressourcen auf der Basis der Tags dieser Ressourcen zugewiesen werden.

Bei Zugriffsverwaltungstags handelt es sich um Metadaten, die zu Ressourcen hinzugefügt werden, um Zugriffssteuerungsbeziehungen zu organisieren. Sie ermöglichen die Erstellung flexibler und einfach zu verwaltender Ressourcengruppierungen. Die Verwendung von Tags für die Steuerung des Zugriffs auf Ihre Ressourcen ermöglicht die Entwicklung und Erweiterung der Projekte Ihres Teams, ohne dass IAM-Richtlinien aktualisiert werden müssen.

Angenommen, Sie leiten ein Projekt Ihres Teams, für das eine IBM Cloud® Object Storage-Instanz erforderlich ist, um sensible, projektspezifische Daten zur Analyse zu speichern. Sie möchten, dass nur die Mitglieder dieses Projekts über Zugriff auf die Serviceinstanz verfügen und mit den Projektdaten arbeiten.

Dieses Lernprogramm bezieht sich ausschließlich auf Ressourcen, die für IAM aktiviert sind. Sie müssen über Administratorrechte für alle Kontoverwaltungsdienste verfügen, um Zugriffsverwaltungs-Tags erstellen und löschen zu können. Für das Zuordnen von Zugriffsverwaltungstags und das Aufheben dieser Zuordnung benötigen Sie mindestens eine Administratorrolle für die Ressourcen, zu denen der Tag hinzugefügt wird.

Vorbereitende Schritte

Wenn Sie mit der Verwendung von IAM noch nicht vertraut sind, lesen Sie die folgenden Ressourcen, um mehr über die Funktionen, Konzepte und Komponenten des Zugriffsmanagementsystems zu erfahren:

Zugriffsverwaltungstag erstellen

Erstellen Sie einen Zugriffsmanagementtag, den Sie Ihrem Object Storagezuordnen werden.

  1. Rufen Sie Verwalten > Konto in der IBM Cloud-Konsole auf und wählen Sie Tags aus.
  2. Klicken Sie auf Zugriffsverwaltungstags.
  3. Geben Sie den Tagnamen project:analysis ein und klicken Sie auf Tags erstellen. Im Abschnitt Taggingregeln finden Sie Informationen zur Syntax und zu Einschränkungen.

Da Tags im gesamten Konto angezeigt werden, verwenden Sie keine personenbezogenen Daten, wie z. B. Namen, Adressen, Telefonnummern, E-Mail-Adressen oder andere Identifikationsinformationen oder urheberrechtlich geschützten Informationen.

Zugriffsverwaltungstag einer Ressource zuordnen

Nach dem Erstellen des Tags können Sie ihn nun zu Ihrer Ressource hinzufügen.

  1. Klicken Sie auf das Navigationsmenüsymbol Navigationsmenüsymbol > Ressourcenliste, um auf die Liste der Ressourcen in Ihrem Konto zuzugreifen.
  2. Suchen Sie Ihre IBM Cloud® Object Storage-Instanz und klicken Sie auf das Aktionen-Symbol Aktionen-Symbol > Tags hinzufügen.
  3. Geben Sie project:analysis ein und drücken Sie die Eingabetaste.

Zugriffsgruppe erstellen

Sie definieren die Zugriffsebene, über die Benutzer für Ihre Object Storage-Instanz verfügen sollen, auf der Basis der zuvor erstellten Tags. Beispiele für die jeweilige Zugriffsebene sind nachfolgend aufgeführt:

  • Mit der Rolle eines Leseberechtigten können Benutzer Objekte in Buckets auflisten und herunterladen.
  • Mit der Rolle eines Schreibberechtigten können Benutzer Buckets erstellen und löschen.
  • Mit der Rolle eines Managers können Benutzer alle Aspekte der Datenspeicherung steuern, z. B. das Hinzufügen einer Aufbewahrungsrichtlinie und einer Bucket-Firewall.

Erstellen Sie zuerst eine Zugriffsgruppe, um das Zuweisen von Zugriffsberechtigungen zu mehreren Benutzern zu optimieren:

  1. Klicken Sie in der IBM Cloud-Konsole auf Verwalten > Zugriff (IAM) und wählen Sie Zugriffsgruppen.
  2. Klicken Sie auf Erstellen.
  3. Geben Sie einen eindeutigen Namen zur Identifizierung der Zugriffsgruppe und optional eine Beschreibung ein und klicken Sie auf Erstellen.

Richtlinie zuweisen

Weisen Sie dann der Gruppe eine Richtlinie zu:

  1. Klicken Sie auf "Zugriff" > "Zugriff zuweisen ".
  2. Wählen Sie Alle Services mit aktiviertem Identity and Access Management als Service aus.
  3. Legen Sie den Geltungsbereich des Zugriffs auf Spezifische Ressourcen > Tags für Zugriffsmanagement fest, um Zugriff auf der Basis des zugeordneten Zugriffsmanagementtags zu erteilen.
  4. Geben Sie project:analysis ein oder wählen Sie den Eintrag in der Liste der Optionen aus.
  5. Wählen Sie den Ressourcengruppenzugriff aus.
  6. Wählen Sie alle zutreffenden Rollen aus. Wenn Sie eine Liste aller Aktionen anzeigen möchten, die einer bestimmten Rolle zugeordnet sind, klicken Sie auf die Zahlen neben der jeweiligen Rolle.
  7. Klicken Sie auf Überprüfung.
  8. Klicken Sie auf Hinzufügen, um die Richtlinienkonfiguration zu Ihrer Richtlinienzusammenfassung hinzuzufügen.
  9. Klicken Sie auf Zuweisen.

Benutzer Ihrer Zugriffsgruppe hinzufügen

Fügen Sie dann Benutzer zur Zugriffsgruppe hinzu:

  1. Klicken Sie auf Benutzer > Benutzer hinzufügen.
  2. Wählen Sie die Mitglieder des Projekts in der Liste aus und klicken Sie auf Zu Gruppe hinzufügen.

Nach dem Erstellen der Zugriffsrichtlinie können Zugriffsberechtigungen für andere Ressourcen erteilt oder widerrufen werden, indem derselben Zugriffsverwaltungstag den betreffenden Ressourcen zugeordnet bzw. indem die Zuordnung des Tags zur diesen Ressourcen aufgehoben wird.

Nächste Schritte

Informationen dazu, wie Sie dieselben Aktionen mithilfe von CLI- und API-Befehlen ausführen können, finden Sie im Abschnitt Mit Tags arbeiten.