Zuordnung von IBM Cloud IAM-Konzepten zu anderen Cloud-Providern
Die Identitäts-und Zugriffsverwaltung wird verwendet, um Benutzer sicher zu authentifizieren und den Zugriff auf Cloudressourcen zu ermöglichen. Der Cloud-Provider-übergreifende Einsatz von IAM ist zwar eine konsistente Möglichkeit, Authentifizierung und Zugriff zu schützen, die Konzepte der jeweiligen Cloud-Provider und deren Anwendung können jedoch variieren. Anhand der folgenden Tabelle können Sie sich über die Konzepte von IBM Cloud IAM im Vergleich zu denen anderer Cloud-Provider informieren und so eine reibungslose Integration in IBM Cloud sicherstellen.
IAM-Konzepte vergleichen
Bei den folgenden Zuordnungen von IBM Cloud IAM-Konzepten zu denen anderer Cloud-Provider, wie z. B. Amazon Web Services (AWS), Google Cloud Platform und Microsoft Azure, handelt es sich möglicherweise nicht um exakte 1:1-Übereinstimmungen. Wenn Sie jedoch mit einem bestimmten Konzept eines anderen Providers vertraut sind, kann Sie diese Zuordnung dabei unterstützen, das ähnlichste Konzept in IBM Cloud zu finden.
| IBM Cloud-Konzept | IBM Cloud Beschreibung | AWS | Azure | Google Cloud Platform |
|---|---|---|---|---|
| Identitäten | Benutzer und Service-IDs | Benutzer, Gruppen und Rollen | Benutzer, Gruppe, Serviceprinzipal, verwaltete Identität | Benutzer- und Servicekonten. Unterstützte Identitätstypen: Google-Konto, Servicekonto, Google-Gruppe, G Suite-Domäne, Cloud-Identitätsdomäne |
| Benutzer | Außerhalb von IAM verwaltet. Benuter werden in IBM Cloud eindeutig anhand des Werts für iam_id identifiziert, können jedoch aus IBMid, App ID oder SoftLayer stammen. | In IAM verwaltet. Die Identität wird zur Verwendung in externen Identitätsverwaltungssystemen föderiert. | In Active Directory verwaltet. | Außerhalb von IAM verwaltet. Die Identität wird zur Verwendung in externen Identitätsverwaltungssystemen föderiert. |
| Service-IDs | ID für eine App oder einen Service. | Rollen, die einer App zugeordnet sind | Einem Benutzer zugewiesene Identität | Servicekonten |
| API-Schlüssel | Ein Berechtigungsnachweis, der für einen Benutzer oder eine Service-ID verwendet wird | Zugriffsschlüssel | API-Schlüssel | API-Schlüssel |
| Zugriffsgruppen | Methode zur Organisation von Benutzern und Service-IDs, bei der allen Mitgliedern der Gruppe dieselbe Zugriffsberechtigung zugewiesen wird. | Gruppen, Rollen | Active Directory-Gruppen | Google-Gruppen |
| Vertrauenswürdige Profile | Eine Möglichkeit, den Zugriff auf eingebundene Benutzer auf der Grundlage von SAML-Attributen oder für alle Anwendungen, die in einer Rechenressource ausgeführt werden, zuzuweisen, ohne dass Berechtigungsnachweise verwaltet und getauscht werden müssen. | Rollen | Verwaltete Identität | Workload-Identität |
| policy | Zuweisung von Zugriffsberechtigungen, die aus einem Subjekt, einem Ziel und einer Rolle besteht. | policy | Rollenzuweisung | policy |
| Richtliniensubjekt | Benutzer, Service-ID oder Zugriffsgruppe | IAM-Benutzer, Gruppe oder Rolle | Sicherheitsprinzipal | Ressource |
| Rollen | Eine Rolle ist eine Zusammenstellung von Aktionen für eine bestimmte Ressource, die als Baustein für eine Zugriffsrichtlinie dienen. | Von AWS verwaltete Richtlinie | Rollendefinition | Vordefinierte Rollen |
| Custom roles | Vom Kunden definierte und benannte Rolle, die nur die vom Benutzer ausgewählten Aktionen umfasst. | Vom Kunden verwaltete Richtlinien | Custom roles | Custom roles |
| Aktionen | Innerhalb des Kontexts der Plattform oder des Service zulässige Vorgänge | Aktionen | Berechtigungen | Berechtigungen |
| Ressourcen | Ziel einer Zugriffsrichtlinie | Ressourcen | Ressourcen | Ressourcen |
| Ressourcengruppen | Logischer Organisationscontainer für die für IAM aktivierten Services | Tags | Ressourcengruppen | Projekte |
| Öffentlicher Zugriff | Öffentlicher Zugriff auf bestimmte Ressourcen wird mithilfe einer Standardzugriffsgruppe namens 'Öffentlicher Zugriff' ermöglicht. Dieses Feature kann für jedes Konto inaktiviert werden. | Feature von Amazon S3, das für bestimmte Ressourcen aktiviert und auf Konto- oder Bucketebene inaktiviert werden kann. | Öffentlicher Lesezugriff kann für bestimmte Kontotypen oder Ressourcen aktiviert werden. Er kann auf Speicherkonto- oder Containerebene inaktiviert werden. | Google verwendet eine ID für alle authentifizierten Benutzer (allAuthenticatedUsers), die alle Servicekonten und alle Benutzer darstellt, die bei einem Google-Konto authentifiziert sind, und der auch Zugriffsberechtigungen erteilt werden können. |
| Protokollierung | Prüfung mit IBM Cloud Activity Tracker Event Routing | Audit mit AWS CloudTrail | Azure Logging and Auditing-Aktivitätenprotokolle | Audit mit Auditprotokollierung |
| Unternehmensorientiertes IAM | Zentrale Verwaltung von Zugriffs-und Sicherheitseinstellungen für eine IBM Cloud-Umgebung mit mehreren Konten. | AWS Kontrollturm |
Benutzer in IBM Cloud föderieren
IBM Cloud bietet zwei Möglichkeiten zur Föderierung des Identitätsproviders (IdP) Ihres Unternehmens. Durch die Föderierung wird Anmeldevorgang vereinfacht, indem die Mitarbeiter über ihren Unternehmensbenutzernamen und das zugehörige Kennwort auf IBM Cloud zugreifen können. Sie können mit IBMideinbindenoder Sie haben die Möglichkeit, eine IBM Cloud App ID-Serviceinstanz zu erstellen und diese als Möglichkeit zum Einbinden von Benutzern in ein IBM Cloud-Konto zu verwenden. Weitere Informationen finden Sie unter Authentifizierung von externem Identitätsprovider aktivieren.
Für beide Föderationsoptionen ist erforderlich, dass der Benutzer Mitglied des Kontos ist oder über ein vertrauenswürdiges Profil Zugriff auf das Konto hat, um Operationen ausführen zu können. Wenn keine vertrauenswürdigen Profile konfiguriert sind, muss der Kontoinhaber oder der Administrator einzelne IBMids in das IBM Cloud-Konto einladen. Nur wenn die eingeladene IBMid die Einladung akzeptiert, wird der Benutzer als aktiver Benutzer zum Konto hinzugefügt. Bei der Verwendung von App ID wird der Benutzer automatisch in IBM Cloud aufgenommen, ohne dass jeder Benutzer einzeln in das Konto eingeladen werden muss. Bei beiden Föderationstypen sind die Benutzer aktive IBM Cloud-Kontobenutzer, die abhängig von ihrem zugewiesenen Zugriff auf die Plattform zugreifen können, einschließlich IAM-fähiger Ressourcen und klassischer Infrastruktur.
Vertrauenswürdige Profile bearbeiten eingebundene Benutzer unterschiedlich. Wenn der Kunde seinen Unternehmens-IdP föderiert, werden Benutzer aus diesem IdP nicht als typische Benutzer zu einem Konto hinzugefügt. Stattdessen werden die auf SAML basierenden Attribute des Identitätsproviders für die Benutzer bei der Anmeldung evaluiert. Falls alle Bedingungen für ein vertrauenswürdiges Profil erfüllt sind, werden sie zur Anwendung eines oder mehrerer vertrauenswürdiger Profile aufgefordert. Vertrauenswürdige Profile erteilen Benutzern die Zugriffsebene, die erforderlich ist, um während eines begrenzten Zeitraums (z. B. 1 bis 4 Stunden) spezialisierte und definierte Tasks auszuführen. Der zeitbasierte Zugriff ermöglicht häufige Prüfungen der Authentifizierung, um die Sicherheitsrisiken zu verringern. Dabei handelt es sich in der Regel um kritische Tasks, die Sie bei Ihrer täglichen Arbeit nicht unbeabsichtigt ausführen möchten. Benutzer müssen sich nicht in die IBM Cloud integrieren, sie werden automatisch über die Vertrauensbeziehung hinzugefügt. Wenn ein Benutzer Ihr Unternehmen verlässt, können Sie die Corporate Identity des Benutzers in Ihrem Verzeichnis löschen, wodurch der Zugriff auf IBM Cloud widerrufen wird.