Funktionsweise von IBM Cloud-IAM
Hier erfahren Sie, was IBM Cloud Identity and Access Management (IAM) ist, wie IAM funktioniert, welche Features verfügbar sind und wie Sie für die Arbeit mit IAM in Ihrem Konto auf die Konsole, die Befehlszeilenschnittstelle und APIs zugreifen können.
IAM ermöglicht Ihnen die sichere Authentifizierung von Benutzern für Plattformservices und die einheitliche Steuerung des Zugriffs auf Ressourcen innerhalb von IBM Cloud. Eine Gruppe von IBM Cloud-Services ist für die Verwendung von IBM Cloud IAM für die Zugriffssteuerung aktiviert und in Ressourcengruppen innerhalb Ihres Kontos organisiert, sodass Sie Benutzern ohne großen Zeitaufwand Zugriff auf mehrere Ressourcen gleichzeitig ermöglichen können. Jede dieser Services ist im Katalog als "Für IAM aktiviert" gekennzeichnet. IAM-Zugriffsrichtlinien werden verwendet, um Benutzern, Service-IDs und vertrauenswürdigen Profilen Zugriff auf die Ressourcen in Ihrem Konto zuzuweisen. Darüber hinaus können Sie Benutzer, Service-IDs und vertrauenswürdige Profile in einer Zugriffsgruppe zusammenfassen, um allen Mitgliedern der Gruppe ohne großen Aufwand eine Zugriffsberechtigung derselben Ebene zuzuweisen.
Sie können vertrauenswürdige Profile verwenden, um die Gruppierung und die Erteilung von Zugriffsberechtigungen für Benutzer, Services und App-Identitäten zu automatisieren. Indem Sie für Benutzer, deren Identität aus einem externen Identitätsprovider föderiert wird, auf SAML-Attributen basierende Bedingungen angeben, kann Benutzern der Zugriff auf Ressourcen erteilt werden, ohne dass die Benutzer zum Konto eingeladen werden müssen (sofern die Benutzer die definierten Bedingungen erfüllen). Für Service- und App-Identitäten können Sie eine differenzierte Autorisierung für alle in einer Rechenressource ausgeführten Anwendungen definieren, ohne dass Sie Service-IDs erstellen oder den Lebenszyklus von API-Schlüsseln für Anwendungen verwalten müssen.
Für die klassische Infrastruktur, die die Verwendung von IBM Cloud IAM-Richtlinien für die Verwaltung des Zugriffs nicht unterstützt, können Sie die Dokumentation Berechtigungen für die klassische Infrastruktur verwenden.
Welche Funktionen werden bereitgestellt?
IBM Cloud IAM stellt eine breite Palette von Features für den Bedarf Ihrer Identitäts- und Zugriffsverwaltung bereit.
Benutzermanagement
Mit einem einheitlichen Benutzerverwaltung können Sie Benutzer in einem Konto für Plattformservices und Services der klassischen Infrastruktur hinzufügen und löschen. Sie können eine Gruppe von Benutzern in einer so genannten Zugriffsgruppe zusammenfassen, um so die Zuweisung von Zugriffsberechtigungen für mehrere Benutzer oder Service-IDs gleichzeitig zu beschleunigen und zu vereinfachen.
Differenzierte Zugriffssteuerung
Der Zugriff für Benutzer, Service-IDs, Zugriffsgruppen und vertrauenswürdige Profile wird durch eine Richtlinie definiert. Innerhalb der Richtlinie kann der Zugriffsbereich einer Gruppe von Ressourcen in einer Ressourcengruppe, einer einzelnen Ressource oder Kontoverwaltungsservices zugeordnet werden. Nachdem das Ziel festgelegt wurde, können Sie definieren, welche Aktionen für das Subjekt der Richtlinie zulässig sind, indem Sie die Zugriffsrollen auswählen. Rollen bieten eine Möglichkeit zur Anpassung der für das Richtliniensubjekt erteilten Zugriffsebene, um Aktionen für das Ziel der Richtlinie auszuführen, seien es Plattformverwaltungstasks innerhalb des Kontos, der Zugriff auf die Benutzerschnittstelle eines Service oder die Ausführung von API-Aufrufen.
Sie können auch zeitbasierte Bedingungen zu einer Richtlinie hinzufügen, die definiert, wann die Richtlinie Zugriff gewährt, ob Sie temporären Zugriff auf Ressourcen in Ihrem Account erteilen oder den Zugriff in wiederholt auftretenden Zeitfenstern zulassen möchten. Weitere Informationen finden Sie unter Zugriff mit zeitbasierten Bedingungen begrenzen.
Zugriffsgruppen für eine optimierte Zugriffsverwaltung
Weisen Sie schnell und einfach Zugriff für eine Gruppe von Benutzern, Service-IDs oder vertrauenswürdigen Profilen zu, die in einer Zugriffsgruppe organisiert sind. Weisen Sie dazu der Gruppe den Zugriff zu und fügen Sie anschließend nach Bedarf Identitäten hin oder entfernen Sie sie, um den Zugriff auf Kontoressourcen zu erteilen oder zu verweigern. Zugriffsgruppen ermöglichen es Ihnen, eine möglichst geringe Anzahl von Richtlinien im Konto zu verwalten. Weitere Informationen finden Sie im Abschnitt zum Einrichten von Zugriffsgruppen.
Vertrauenswürdige Profile zur Beseitigung der Notwendigkeit, Berechtigungsnachweise zu verwalten
Erteilen Sie föderierten Benutzern automatisch Zugriff auf Ihr Konto unter Bedingungen, die auf SAML-Attributen aus Ihrem Unternehmensverzeichnis basieren. Vertrauenswürdige Profile können auch verwendet werden, um differenzierte Berechtigungen für Anwendungen einzurichten, die in Rechenressourcen ausgeführt werden. So müssen Sie keine Service-IDs oder API-Schlüssel für die Rechenressourcen erstellen. Weisen Sie den Zugriff auf das Profil zu, indem Sie das Profil zu einer Zugriffsgruppe hinzufügen oder indem Sie einzelne Richtlinien zuweisen, und fügen Sie dann nach Bedarf Bedingungen hinzu oder entfernen Sie sie, um den Zugriff auf Kontoressourcen zu erteilen oder zu verweigern. Mithilfe von vertrauenswürdigen Profilen können Sie den Lebenszyklus des Zugriffs auf mehrere IBM Cloud-Assets zentral verwalten. Weitere Informationen finden Sie unter Vertrauenswürdige Profile erstellen.
Föderierte Benutzer
Möglicherweise verfügen die Benutzer bereits über Identitäten außerhalb von IBM Cloud in Ihrem Unternehmensverzeichnis. Wenn Ihre Benutzer mit IBM Cloud-Ressourcen arbeiten müssen oder mit Anwendungen arbeiten, die auf diese Ressourcen zugreifen, dann benötigen auch diese Benutzer IBM Cloud-Berechtigungsnachweise. Sie können ein vertrauenswürdiges Profil verwenden, um Berechtigungen für Benutzer anzugeben, deren Identität von Ihrer Organisation oder einem externen IdP eingebunden wurde. Mithilfe Ihres IdP können Sie eine Möglichkeit für Benutzer in Ihrem Unternehmen bereitstellen, die einmalige Anmeldung (Single Sign-on, SSO) zu verwenden. Um Ihre eingebundenen Benutzer mit IBM Cloud-Ressourcen zu verbinden, siehe Einbinden von Benutzern in IBM Cloud.
Videomitschrift
Wir freuen uns, Ihnen den neuesten und besten Identitätstyp vorstellen zu können: vertrauenswürdige Profile in IBM Cloud. Sie erwarten, dass Ihnen die zuverlässigste und effizienteste Methode für die Verwaltung des Zugriffs auf Ihr Konto bereitgestellt wird. Daher kann es für Sie interessant sein zu erfahren, wie Sie vertrauenswürdige Profile verwenden können.
Bisher war die Organisation von Identitäten und die Zuweisung von Zugriffsberechtigungen auf Zugriffsgruppen beschränkt, bei denen jeder Benutzer manuell zum Konto hinzugefügt wird.
Als Kontoeigner können Sie Zeit sparen und föderierten Benutzern automatisch Zugriff auf Ihre Konten gewähren, indem Sie die Attribute nutzen, die bereits im Unternehmensverzeichnis vorhanden sind.
Fügen Sie einfach auf SAML-Attributen basierende Bedingungen hinzu, um zu definieren, welche föderierten Benutzer ein Profil anwenden können. Auf diese Weise wirken sich Änderungen in Ihrem Verzeichnis sofort auf den Zugriff auf Ressourcen aus.
Als föderierter Benutzer haben Sie möglicherweise die Möglichkeit, eines von mehreren vertrauenswürdigen Profilen anzuwenden. Nach der Anmeldung können Sie ein Profil anwenden oder mit der Konsole fortfahren.
Stellen Sie sich ein Szenario vor, bei dem Sie entwicklerbezogene Tasks, wie etwa die Arbeit mit Serviceinstanzen aus Ihren Anwendungskomponenten, ausführen möchten. Sie können bei der Anmeldung das Entwicklerprofil auswählen, um sicherzustellen, dass Sie über den erforderlichen Zugriff verfügen.
Wenn Sie eine administratorbezogene Task ausführen möchten, können Sie dagegen das Administratorprofil auswählen, das über privilegierte Berechtigungen verfügt. Auf diese Weise verringern Sie das Risiko, versehentlich privilegierte Aktionen auszuführen.
Sie haben auch die Möglichkeit, sich am Konto anzumelden, ohne ein Profil anzuwenden, indem Sie mit der Konsole fortfahren.
Weitere Informationen zur Funktionsweise der vertrauenswürdigen Profile finden Sie in der Dokumentation zu IBM Cloud Identity and Access Management, die Lernprogramme und weitere hilfreiche Ressourcen für den Einstieg enthält.
Rechenressourcen
Mithilfe von vertrauenswürdigen Profilen können Sie eine differenzierte Autorisierung für alle Anwendungen definieren, die in einer Rechenressource ausgeführt werden, ohne Service-IDs zu erstellen oder den Lebenszyklus von API-Schlüsseln für Anwendungen zu verwalten. Die vertrauenswürdigen Profile bieten ein besseres Steuerelement für die Gewährung des Zugriffs auf Rechenressourcen.
- Anwendungsentwickler können über das Programm ein Token abrufen, das der Identität der Rechenressource zugeordnet ist, auf der sie ausgeführt werden. Dieses Token wird verwendet, um das Identitätstoken des vertrauenswürdigen Profils zu erhalten, das für den Zugriff auf Services und Ressourcen in IBM Cloud verwendet wird.
- Anwendungen, die auf einer Rechenressource ausgeführt werden, verfügen über eine flexible, aber sichere Möglichkeit, von Rechenressourcen aus auf andere IBM Cloud-Services zuzugreifen. Es ist zum Beispiel sicherer, keine API-Schlüssel speichern zu müssen.
- Bei allen Rechenressourceninstanzen, die bestimmte Bedingungen wie Name, Namensbereich, Tags oder Standort gemein haben, werden die Identitäten einem gemeinsamen Profil zugeordnet und können die Zugriffsberechtigung für IBM Cloud-Ressourcen gemeinsam nutzen. Durch diese gemeinsame Identität können die Anwendungen innerhalb verschiedener Rechenressourcen insgesamt (und nicht für jeden Cluster separat) die Zugriffsberechtigung für eine externe Ressource erhalten.
Unternehmensorientierte IAM-Vorlagen für die zentrale Verwaltung des Zugriffs in Unternehmen
Ihr Unternehmen kann mithilfe von unternehmensverwalteten IAM-Vorlagen das Zugriffsmanagement ohne großen Aufwand skalieren und konsistente Kontosicherheitseinstellungen im gesamten Unternehmen sicherstellen. Sie können Vorlagen für IAM-Ressourcen wie Zugriffsgruppen, vertrauenswürdige Profile und Kontosicherheitseinstellungen erstellen, die Sie im gesamten Unternehmen zuweisen. Wenn Sie untergeordneten Konten eine IAM-Vorlage zuweisen, werden in den von Ihnen ausgewählten untergeordneten Konten unternehmensverwaltete IAM-Ressourcen erstellt.
Es kann beispielsweise einen bestimmten Aufgabenbereich in jedem untergeordneten Konto geben, der dieselben Berechtigungen erfordert. Sie können eine Zugriffsgruppenschablone mit den erforderlichen Zugriffsrichtlinien erstellen und die Schablone allen untergeordneten Konten in Ihrem Unternehmen zuordnen. Auf diese Weise verringern Sie die Richtlinienabweichung und können sicher sein, dass Benutzer mit diesem Aufgabenbereich nur über den erforderlichen Zugriff in jedem Konto verfügen.
Weitere Informationen finden Sie unter How enterprise-managed IAM works.
API-Schlüssel für die Benutzerauthentifizierung
Sie können mehrere API-Schlüssel für einen Benutzer erstellen, um Schlüsselrotationsszenarios zu unterstützen, und derselbe Schlüssel kann für den Zugriff auf mehrere Services verwendet werden. IBM Cloud-API-Schlüssel ermöglichen Benutzern, die die Zwei-Faktor-Authentifizierung oder eine föderierte ID verwenden, die Automatisierung der Authentifizierung für die Konsole über die Befehlszeile. Ein Benutzer kann auch über einen einzigen API-Schlüssel für die klassische Infrastruktur verfügen, der für den Zugriff auf APIs der klassischen Infrastruktur verwendet werden kann. Dies ist jedoch nicht erforderlich, da Sie mit den IBM Cloud-API-Schlüsseln auf dieselben APIs zugreifen können. Weitere Informationen finden Sie in Informationen zu API-Schlüsseln.
Service-IDs
Eine Service-ID dient (ähnlich wie eine Benutzer-ID, die einen Benutzer identifiziert) zur Identifikation eines Service oder einer Anwendung. Es existieren IDs, die von Anwendungen zur Authentifizierung bei einem IBM Cloud-Service verwendet werden können. Jeder Service-ID können Richtlinien zugeordnet sein, um die Zugriffsebene zu steuern, die für eine Anwendung zulässig ist, von der die Service-ID verwendet wird; zum Aktivieren der Authentifizierung kann ein API-Schlüssel erstellt werden. Weitere Informationen finden Sie in Service-IDs erstellen und verwenden.
Infrastructure-as-a-Service (IaAS) unterstützt keine Operationen von Service-IDs. Wenn ein Konto IaaS und PaaS enthält, funktionieren Verwaltungsfunktionen, die von einer Service-ID ausgeführt werden, möglicherweise nicht wie beabsichtigt, wenn die Operation von API-Aufrufen an IaaS abhängt. Stellen Sie in einem Konto, das IaaS enthält, sicher, dass Kontoverwalter die Verwaltungsfunktionen ausführen. Beispielsweise können Funktions-IDs für Verwaltungsfunktionen verwendet werden. In bestimmten Fällen kann der IBM Support Sie bei Verwaltungsfunktionen unterstützen, die sowohl IaaS als auch PaaS umfassen.
Mehrfaktorauthentifizierung
Sie können für jeden Benutzer im Konto oder nur für Benutzer mit nicht eingebundenen IDs, die kein SSO verwenden, eine Multifaktorauthentifizierung (MFA) erforderlich machen. Alle Benutzer mit einer IBMid verwenden einen TOTP-MFA-Faktor (Time-Based One-Time-Passcode; zeitbasierter einmaliger Kenncode) und alle Benutzer mit einem anderen ID-Typ müssen für die Verwendung von TOTP, Sicherheitsfragen oder externen Authentifizierungsfaktoren separat aktiviert sein. Weitere Informationen finden Sie in Typen der Mehrfaktorauthentifizierung.
Wie verwende ich IBM Cloud IAM?
Der Zugriff auf und die Verwendung von IBM Cloud IAM erfolgt über die Benutzerschnittstelle (UI), die Befehlszeilenschnittstelle (CLI) oder die Anwendungsprogrammierschnittstelle (API) für Identity and Access Management (IAM).
- Für den Zugriff auf IBM Cloud IAM über die Konsole rufen Sie Verwalten > Zugriff (IAM) auf.
- Lesen Sie den Abschnitt IAM-Zugriff, API-Schlüssel, Service-IDs und Zugriffsgruppen verwalten, um mehr zu den verfügbaren CLI-Befehlen zu erfahren.
- Konsultieren Sie die folgenden API-Dokumente, um mehr zu den verfügbaren APIs zu erfahren: