IBM Cloud Docs
Was sind IAM-Richtlinien und wer kann sie zuweisen?

Was sind IAM-Richtlinien und wer kann sie zuweisen?

Eine Richtlinie weist einem Subjekt eine oder mehrere Rollen für eine Gruppe von Ressourcen zu, sodass im Kontext der angegebenen Zielressourcen bestimmte Aktionen ausgeführt werden können.

Mit der folgenden Abbildung wird Ihnen erläutert, wie die IAM-Richtlinie erstellt wird. Richtlinien werden immer erstellt, indem zunächst das Subjekt angegeben wird. Das Subjekt ist ein bestimmter Benutzer, eine Service-ID, eine Zugriffsgruppe oder ein vertrauenswürdiges Profil. Als Nächstes wird das Ziel der Richtlinie ausgewählt, das dem Benutzer Zugriff gewährt, z. B. auf alle Services in einer Ressourcengruppe, auf alle IAM-fähigen Services im Konto, auf Kontenverwaltungsservices oder auf eine bestimmte Serviceinstanz. Zum Schluss vervollständigen Sie Ihre Zugriffsrichtlinie, indem Sie aus den verfügbaren Rollen eine Auswahl treffen. Diese Rollen definieren genau, welche Aktionen ein Benutzer ausführen kann. Abhängig von dem Service, den Sie auswählen, können weitere Konfigurationsoptionen verfügbar sein.

Erstellen von IAM-Richtlinien unter Verwendung eines Betreffs, eines Ziels und einer Rolle
Wie IAM-Zugriffsrichtlinien unter Verwendung eines Betreffs, eines Ziels und einer Rolle erstellt werden

Sie können Richtlinien zuweisen und verwalten, wenn Sie die entsprechende Rolle haben. In der folgenden Tabelle werden die Richtlinienmanagementtasks und die jeweils erforderliche Rolle aufgeführt.

Benutzer, die Zugriffsrichtlinien erstellen dürfen
Aktion Erforderliche Rolle
Richtlinie für ein Konto für alle Services und Instanzen erstellen Kontoeigner oder Administrator für alle Kontoverwaltungsservices und alle Services mit aktiviertem Identity and Access Management
Richtlinie für einen Service in einem Konto erstellen Kontoeigner, Administrator für alle Services mit aktiviertem Identity and Access Management oder Administrator für den Service im Konto
Richtlinie für eine Serviceinstanz erstellen Kontoeigner, Administrator für alle Services mit aktiviertem Identity and Access Management, Administrator für den Service im Konto, Administrator für alle Services in der betreffenden Ressourcengruppe oder Administrator für die Serviceinstanz

Allgemeine Typen von Zugriffsrichtlinien

Sie können differenzierten Zugriff für Benutzer, Service-IDs oder Zugriffsgruppen bereitstellen, indem Sie die folgenden Typen von Zugriffsrichtlinien zuweisen:

  • Alle Kontoverwaltungsservices
  • Bestimmter Kontoverwaltungsservice
  • Alle IAM-Kontoverwaltungsservices, bei denen es sich um eine Untergruppe der Kontoverwaltungsservices handelt, einschließlich IAM-Identität, IAM-Zugriffsmanagement, IAM-Benutzerverwaltung und IAM-Gruppen
  • Ein bestimmter IAM-Service
  • Alle Ressourcen im Konto
  • Alle Ressourcen in allen Services, die einer einzelnen Ressourcengruppe angehören, mit der Möglichkeit, die Ressourcengruppe zu verwalten.
  • Alle Ressourcen innerhalb eines einzelnen Service in einer Ressourcengruppe, mit der Möglichkeit, die Ressourcengruppe zu verwalten.
  • Alle Ressourcen in einem einzelnen Service innerhalb des gesamten Kontos unabhängig von der Ressourcengruppe, der sie zugewiesen sind.
  • Ressourcen in einer einzelnen Instanz.
  • Ein einzelner Ressourcentyp in einer Instanz, z. B. ein Bucket in einer Object Storage-Instanz.

Wenn Sie einem Benutzer vollständigen Administratorzugriff gewähren möchten, um die Aufgaben der Kontoverwaltung zu erledigen, wie z. B. das Einladen und Entfernen von Benutzern, das Anzeigen von Abrechnungen und Nutzung, das Verwalten von Service-IDs, das Verwalten von Zugriffsgruppen, das Verwalten des Benutzerzugriffs und den Zugriff auf alle Kontoressourcen, müssen Sie einem Benutzer den folgenden Zugriff zuweisen:

  • Eine Richtlinie für alle Dienste mit aktivierter Identitäts- und Zugriffsfunktion innerhalb des Kontos mit zugewiesenen Administrator- und Managerrollen.
  • Eine Richtlinie mit der zugewiesenen Administratorrolle für alle Account-Management-Dienste.

Gruppen von Dienstleistungen

Sie können Zugriff auf eine Gruppe von Services zuweisen, sodass Sie nur eine einzige Richtlinie benötigen, um Zugriff auf mehrere Services zuzuweisen. Auf diese Weise verringern Sie die Anzahl der Richtlinien in Ihrem Konto und reduzieren den Zeit-und Arbeitsaufwand für die Verwaltung des Zugriffs.

  • Alle Services mit aktiviertem Identity and Access Management: Alle Katalogservices, die IAM für das Zugriffsmanagement verwenden
  • Alle Kontoverwaltungsservices: Plattformservices wie Abrechnung und Nutzung, Lizenz und Berechtigungen, Unternehmen usw. Weitere Informationen finden Sie in Zugriffsberechtigungen für Kontoverwaltungsservices zuweisen.
    • Alle IAM-Kontoverwaltungsservices: Eine Untergruppe von Kontoverwaltungsservices, die die IAM-Plattformservices IAM Identity, IAM-Zugriffsmanagement, IAM-Benutzer, IAM-Gruppen und zukünftige IAM-Services umfasst.

IBM Cloud-Zugriffsrichtlinien zuordnen

Die nachfolgend beschriebenen Details zu Zugriffsrichtlinien und das dargestellte Beispiel veranschaulichen, wie in IBM Cloud Zugriffsberechtigungen anhand von Zugriffsrichtlinien zugewiesen werden, und stellen die Vorgehensweise anderen Cloud-Providern gegenüber, mit denen Sie möglicherweise vertraut sind.

IBM Cloud IAM-Richtlinien bestehen aus der Identität (Subjekt), die die Zugriffsberechtigung erhält, beispielsweise einem Benutzer oder einer Service-ID, aus den spezifischen Ressourcen oder Services (Ziel), auf die der Zugriff ermöglicht wird, und aus Rollen, die definieren, welche Aktionen im Kontext der ausgewählten Ressource oder des ausgewählten Service zulässig sind.

In IBM Cloud verfügen Benutzer, Service-IDs oder Mitglieder einer Zugriffsgruppe standardmäßig über keinerlei Zugriffsberechtigungen. Das Zugriffsmodell von IBM Cloud ist einfach, wenn es darum geht zu verstehen, wie Sie bestimmte Aktionen ausführen dürfen oder nicht. Erst wenn ein Administrator eine Zugriffsrichtlinie mit einer spezifischen Zugriffsrolle zuweist, wird die Zugriffsberechtigung erteilt. Das IAM-System muss keine Zulassungs- und Ablehnungsrichtlinien auswerten, um festzustellen, welche Aktionen zulässig sind. Stattdessen ermittelt das System nur, für welche Ressourcen Richtlinien vorhanden sind und welche Zugriffsebenen durch die zugewiesenen Rollen zugelassen werden.

Um die Anzahl der Richtlinien im Konto zu reduzieren und nur den für jeden Benutzer erforderlichen Mindestzugriff beizubehalten, können Sie die selten verwendeten Zugriffsrichtlinien identifizieren und entfernen. Weitere Informationen finden Sie unter Inaktive Richtlinien verwalten.

Da IBM Cloud attributbasiert ist, können Sie beim Angeben einer Ressource in einer Richtlinie eine breite Palette von Ressourcen angeben, für die ein Benutzer Zugriffsberechtigungen erhalten soll, beispielsweise alle Ressourcen in einer Ressourcengruppe. Oder Sie können den Zugriff des Benutzers auf eine bestimmte Instanz eines einzelnen Service oder sogar auf einen untergeordneten Ressourcentyp wie beispielsweise ein Object Storage-Bucket eingrenzen. IBM Cloud-IAM bietet ein hohes Maß an Flexibilität und Granularität, damit Sie nur die Art von Zugriff zuweisen können, die erforderlich ist. Im Folgenden sind einige Beispiele für die verschiedenen Zugriffsebenen aufgeführt, die Sie anhand von Attributen in einer Zugriffsrichtlinie zuweisen können:

  • Alle Kontoverwaltungsservices
  • Bestimmter Kontoverwaltungsservice
  • Alle Services mit aktiviertem Identity and Access Management im Konto, einschließlich aller Katalogservices, die IAM für das Zugriffsmanagement verwenden.
  • Alle Ressourcen, die zu einer Ressourcengruppe gehören
  • Alle Ressourcentypen eines einzelnen Service im gesamten Konto, unabhängig von der Zuweisung zu einer Ressourcengruppe
  • Bestimmte Instanz eines Service im Konto
  • Einzelner untergeordneter Ressourcentyp in einer Instanz, z. B. ein Bucket in einer Object Storage-Instanz

Wenn eine bestimmte vordefinierte Plattform- oder Servicerolle nicht dem entspricht, was Sie beim Zuweisen der Zugriffsebene benötigen, können Sie eine angepasste Rolle für einen spezifischen Service erstellen und dann eine oder mehrere der verfügbaren Aktionen auswählen, um die Rolle zu erhalten, die den Anforderungen Ihrer Organisation entspricht.

Beispiel für eine Richtlinie

Mit dieser Beispielrichtlinie wird die Zugriffsberechtigung für alle Serviceressourcen in der Ressourcengruppe default mit der ID abcd2e6fg1h74i44j5kl467m701n5289 und der zugewiesenen Plattformrolle eines Anzeigeberechtigten (Viewer) erteilt. Diese Richtlinie kann einem Benutzer, einer Service-ID oder einer Zugriffsgruppe zugewiesen werden. In diesem Fall wird sie einem Benutzer mit der IAM-ID IBMid-3IAMISBEST1 zugewiesen.

Bei Zugriffsgruppen handelt es sich nicht um Identitäten, wie z. B. einen Benutzer oder eine Service-ID, sondern um Gruppierungsmechanismen für Identitäten. Eine Zugriffsgruppe kann als Subjekt einer Zugriffsrichtlinie definiert werden; die Zugriffsberechtigung, die der Gruppe zugewiesen wird, gilt für alle zur Gruppe hinzugefügten Mitglieder.

{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-3IAMISBEST1"
        }
      ]
    }
  ],
  "roles": [
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
    }
  ],
  "resources": [
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "7e522a19eb77477e88e96a600c44fb22"
        },
        {
          "name": "resourceGroupId",
          "value": "abcd2e6fg1h74i44j5kl467m701n5289"
        }
      ]
    }
  ]
}

Zusätzlich zu einer Zugriffsrichtlinie für einen Benutzer, eine Service-ID oder eine Zugriffsgruppe, die den Zugriff auf einen Service, eine bestimmte Ressource oder eine Ressourcengruppe im Konto bereitstellen kann, weist IBM Cloud auch die Funktionalität zu, eine Zugriffsrichtlinie zuzuweisen, die als Service für die Serviceautorisierung bezeichnet wird und den Zugriff zwischen Services ermöglicht. Ein Beispiel für diesen Richtlinientyp finden Sie in Autorisierung über die API erstellen.