IBM Cloud Docs
Service-IDs erstellen und verwenden

Service-IDs erstellen und verwenden

Eine Service-ID dient (ähnlich wie eine Benutzer-ID, die einen Benutzer identifiziert) zur Identifikation eines Service oder einer Anwendung. Sie können eine von Ihnen erstellte Service-ID dazu verwenden, einer Anwendung außerhalb von IBM Cloud den Zugriff auf Ihre IBM Cloud-Services zu ermöglichen. Sie können der Service-ID spezielle Zugriffsrichtlinien zuweisen, die die Berechtigungen zur Verwendung bestimmter Services einschränken, oder auch die Berechtigungen für den Zugriff auf unterschiedliche Services kombinieren. Da Service-IDs nicht an einen bestimmten Benutzer gebunden sind, bleibt die Service-ID erhalten, wenn ein Benutzer eine Organisation verlässt und aus dem Account gelöscht wird. Auf diese Weise bleibt Ihre Anwendung oder Ihr Service betriebsbereit.

Wenn Sie eine Dienst-ID erstellen, vergeben Sie einen eindeutigen Namen und eine Beschreibung, die Sie in der Konsole leicht identifizieren und bearbeiten können. Nach der Erstellung der Service-ID können Sie für jede Service-ID spezifische API-Schlüssel erstellen, über die sich Ihre Anwendung bei Ihren IBM Cloud-Services authentifizieren kann. Um sicherzustellen, dass Ihre Anwendung über die korrekten Zugriffsberechtigungen für die Authentifizierung bei Ihren IBM Cloud-Services verfügt, können Sie die Zugriffsrichtlinien verwenden, die den von Ihnen erstellten Service-IDs zugewiesen werden.

Die Zugriffsrichtlinien, die einer Service-ID zugeordnet sind, ermöglichen bestimmte Aktionen, die ausgeführt werden können, wenn diese Service-ID für den Zugriff auf einen bestimmten Service verwendet wird. Einer Service-ID können mehrere Richtlinien für verschiedene Identitäts- und Zugriffs-aktivierte Dienste und sogar verschiedene Instanzen eines einzelnen Dienstes zugewiesen werden. Nehmen Sie als Beispiel an, dass Sie über zwei Services mit jeweils zwei Serviceinstanzen verfügen. Sie könnten die Viewer-Rolle für alle verfügbaren Instanzen eines Dienstes und die Editor-Rolle nur für eine Instanz eines zweiten Dienstes zuweisen. Auf diese Weise können Sie den Zugang zu mehreren Diensten anpassen, aber einen einzigen API-Schlüssel für die Authentifizierung für alle verwenden.

Alle Benutzer verfügen über die Zugriffsberechtigung zum Erstellen einer Service-ID in einem Konto, bei dem sie Mitglied sind. Um jedoch einem Benutzer in einem Konto den Zugriff auf die Anzeige oder Verwaltung einer Service-ID zu ermöglichen, die er nicht selbst erstellt hat, muss er über einen Zugriff mit einer Rolle auf den IAM Identity Account Management Service verfügen. Weitere Informationen finden Sie in IAM Identity Service.

Service-ID-Gruppen organisieren Service-IDs effektiver in Gruppen und verbessern so die Effizienz von Auflistungsvorgängen, indem sie die Anzahl der zu verarbeitenden Service-IDs reduzieren. Service-ID-Gruppen sind nicht in die Zugriffsverwaltung integriert und können daher nicht in IAM-Richtlinien zur Zugriffssteuerung verwendet werden.

Sie können jedem beliebigen Identitätszugriff zum Anzeigen oder Verwalten einer Service-ID mithilfe von Zugriffsmanagementtags zuweisen. Weitere Informationen finden Sie unter Tags einer Service-ID zuordnen.

Wenn in den Einstellungen Ihres IAM-Kontos die Option Erstellung von Service-IDs einschränken aktiviert ist, können alle Benutzer des Kontos, einschließlich der Kontobesitzer, keine Service-IDs erstellen, es sei denn, ihnen wird explizit Zugriff gewährt. Weitere Informationen finden Sie unter Erstellen von Service-IDs durch Benutzer einschränken.

Erstellen einer Dienst-ID über die Konsole

Wenn Sie eine Service-ID erstellen, muss sie zu einer Service-ID-Gruppe hinzugefügt werden. Die Standardgruppe wird automatisch für Sie erstellt, aber Sie können bei Bedarf weitere Gruppen erstellen. Wenn Sie keine weiteren Gruppen erstellen, werden die Dienst-IDs der Standardgruppe hinzugefügt. Führen Sie die folgenden Schritte aus, um eine Service-ID zu erstellen:

  1. Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) auf und wählen Sie Service-IDs aus.
  2. (Optional) Wählen Sie eine Gruppe aus dem Menü Service-ID-Gruppe. Die Standardgruppe wird für Sie ausgewählt. Sie können eine Service-ID nicht in eine andere Gruppe verschieben. Stellen Sie also sicher, dass die richtige Gruppe ausgewählt ist, bevor Sie die Service-ID erstellen.
  3. Klicken Sie auf Erstellen.
  4. Befolgen Sie die Vorgehensweise, um einen Namen und eine Beschreibung für Ihre Service-ID zu erstellen.
  5. Klicken Sie auf Erstellen.

Service-ID über die Befehlszeilenschnittstelle erstellen

Service-ID-Gruppen helfen Ihnen, wenn die Anzahl der zulässigen Service-IDs für ein Konto begrenzt ist. Anstatt diese Grenzen zu erhöhen, was zu Leistungsproblemen führen könnte, bieten Service-ID-Gruppen eine Möglichkeit, mehr Service-IDs zu erstellen, ohne die Systemleistung zu beeinträchtigen.

Wenn Sie eine Service-ID erstellen, muss sie zu einer Service-ID-Gruppe hinzugefügt werden. Die Standardgruppe wird automatisch für Sie erstellt, aber Sie können bei Bedarf weitere Gruppen erstellen. Wenn Sie keine Dienst-ID-Gruppe angeben, wird Ihre Dienst-ID der Standardgruppe hinzugefügt.

Sie können eine Service-ID nicht in eine andere Gruppe verschieben. Stellen Sie also sicher, dass die richtige Gruppe im Befehl angegeben ist, bevor Sie die Service-ID erstellen.

Um eine Service-ID zu erstellen, verwenden Sie den ibmcloud iam service-id-create befehl.

Service-ID über die Anwendungsprogrammierschnittstelle (API) erstellen

Service-ID-Gruppen helfen Ihnen, wenn die Anzahl der zulässigen Service-IDs für ein Konto begrenzt ist. Anstatt diese Grenzen zu erhöhen, was zu Leistungsproblemen führen könnte, bieten Service-ID-Gruppen eine Möglichkeit, mehr Service-IDs zu erstellen, ohne die Systemleistung zu beeinträchtigen.

Wenn Sie eine Service-ID erstellen, muss sie zu einer Service-ID-Gruppe hinzugefügt werden. Die Standardgruppe wird automatisch für Sie erstellt, aber Sie können bei Bedarf weitere Gruppen erstellen. Wenn Sie keine Dienst-ID-Gruppe angeben, wird Ihre Dienst-ID der Standardgruppe hinzugefügt.

Sie können eine Service-ID nicht in eine andere Gruppe verschieben. Stellen Sie also sicher, dass die richtige Gruppe in der API angegeben ist, bevor Sie die Service-ID erstellen.

Um eine Service-ID zu erstellen, verwenden Sie die API-Methode Create a service ID.

Verwaltung einer Dienst-ID über die Konsole

Sie können eine Service-ID jederzeit bearbeiten, indem Sie den Namen und die Beschreibung ändern. Sie können bei Bedarf auch API-Schlüssel löschen und neu erstellen, die zugewiesenen Zugriffsrichtlinien aktualisieren oder die Service-ID löschen.

Sie können eine Service-ID nicht in eine andere Service-ID-Gruppe verschieben. Löschen Sie stattdessen die Service-ID und legen Sie eine neue in der gewünschten Service-ID-Gruppe an.

Alle Änderungen, die Sie an einer vorhandenen Service-ID durchführen, wie zum Beispiel das Ändern der zugewiesenen Richtlinien oder das Löschen eines verwendeten API-Schlüssels, können bei Anwendungen, die diese Service-ID verwenden, Serviceunterbrechungen verursachen. Beim Löschen einer Service-ID werden auch alle zugeordneten API-Schlüssel und Richtlinien gelöscht. Diese Aktion kann nicht rückgängig gemacht werden und kann zu Unterbrechungen zwischen abhängigen Services führen.

  1. Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) auf und wählen Sie Service-IDs aus.
  2. (Optional) Wählen Sie eine Gruppe aus dem Menü Service-ID-Gruppe. Die Standardgruppe wird für Sie ausgewählt.
  3. Bewegen Sie den Mauszeiger über die Zeile einer Service-ID und klicken Sie auf das Symbol Aktionen Aktionen Aktionen, um Ihre Service-ID zu verwalten.

Um den Zugang schnell zuzuweisen oder API-Schlüssel zu erstellen, klicken Sie auf den Namen der Service-ID in der Zeile. Weitere Informationen zum Arbeiten mit API-Schlüsseln finden Sie in API-Schlüssel für Service-IDs verwalten.

Verwaltung einer Service-ID über die CLI

Mit der Befehlszeilenschnittstelle (CLI) können Sie Details zu einer Service-ID anzeigen, den Namen und die Beschreibung aktualisieren, eine Service-ID löschen und vieles mehr.

  • Um Details zu einer Dienst-ID anzuzeigen, verwenden Sie den ibmcloud iam service-id befehl.

  • Um den Namen und die Beschreibung einer Service-ID zu aktualisieren, verwenden Sie den ibmcloud iam service-id-update befehl.

  • Um eine Service-ID zu löschen, verwenden Sie den ibmcloud iam service-id-delete befehl.

    Beim Löschen einer Service-ID werden auch alle zugeordneten API-Schlüssel und Richtlinien gelöscht. Diese Aktion kann nicht rückgängig gemacht werden und kann zu Unterbrechungen zwischen abhängigen Services führen.

Eine vollständige Liste der Dienst-ID-Befehle, Parameter und Beispiele finden Sie in der IAM CLI-Dokumentation.

Verwaltung einer Dienst-ID über die API

Sie können die API verwenden, um Details zu einer Service-ID anzuzeigen, den Namen und die Beschreibung zu aktualisieren, eine Service-ID zu löschen und vieles mehr.

  • Um Details zu einer Service-ID anzuzeigen, verwenden Sie die API-Methode Service-ID aktualisieren.

  • Um den Namen und die Beschreibung einer Service-ID zu aktualisieren, verwenden Sie die API-Methode Service-ID aktualisieren.

  • Um eine Service-ID zu löschen, verwenden Sie die API-Methode Delete a service ID and associated API keys.

    Beim Löschen einer Service-ID werden auch alle zugeordneten API-Schlüssel und Richtlinien gelöscht. Diese Aktion kann nicht rückgängig gemacht werden und kann zu Unterbrechungen zwischen abhängigen Services führen.

Eine vollständige Liste der Service-ID-Methoden, optionalen und erforderlichen Anforderungsparameter sowie Beispiele finden Sie in der IAM Identity Services API-Dokumentation.

Service-ID sperren

Um zu vermeiden, dass Ihre Service-ID gelöscht wird und dadurch ein Ausfall oder eine Störung für die Nutzer Ihres Dienstes verursacht wird, können Sie Ihre Service-ID sperren. Das Sperren einer Service-ID verhindert darüber hinaus, dass Zugriffsrichtlinien geändert, gelöscht oder zugewiesen werden. Sie können eine Service-ID nicht nur sperren, sondern auch einzelne API-Schlüssel sperren, die jeder Service-ID zugeordnet sind, die Sie in Ihrem Konto erstellen.

Gesperrte Service-IDs können zwar nicht aus dem Konto gelöscht und die Zugriffsrichtlinien können nicht aktualisiert werden, doch sie können immer noch aus jeder Zugriffsgruppe entfernt werden, zu der sie hinzugefügt wurden. Das bedeutet, dass jeder Zugriff, der einer ID durch ihre Mitgliedschaft in einer Zugriffsgruppe zugeordnet wurde, entfernt wird, wenn die Service-ID aus der Zugriffsgruppe entfernt wird.

Bereitstellung eines Benutzerzugangs zum Sperren und Entsperren von Service-IDs

Damit ein Benutzer über Zugriff zum Sperren und Entsperren von Service-IDs und API-Schlüsseln verfügt, die Service-IDs zugeordnet sind, müssen sie einer bestimmten Zugriffsrichtlinie zugeordnet sein. Der notwendige Zugriff kann über zwei Arten von Zugriffsrichtlinien erteilt werden: Zugriff auf alle Service-IDs im Konto oder Zugriff auf eine bestimmte Service-ID im Konto.

Wenn Sie Zugriff auf alle Service-IDs in einem Konto zuweisen möchten, definieren Sie eine Zugriffsrichtlinie für Kontoverwaltungsservices mit den folgenden Details:

  • Bearbeiter- oder Administratorrolle
  • IAM Identity Service

Wenn Sie Zugriff auf eine bestimmte Service-ID in einem Konto zuordnen möchten, definieren Sie eine Zugriffsrichtlinie für Kontoverwaltungsservices mit den folgenden Details:

  • Bearbeiter- oder Administratorrolle
  • IAM Identity Service
  • Geben Sie im Feld Ressourcentyp serviceid an
  • Angabe der Service-ID im Feld für die Ressourcen-ID

Zum Abrufen der ID einer bestimmten Service-ID gehen Sie in der IBM Cloud-Konsole auf Verwalten > Zugriff (IAM) und wählen Sie Service-IDs. Wählen Sie die Service-ID aus, zu der Sie die Details anzeigen möchten, und kopieren Sie den ID-Wert.

Sperren und Entsperren einer Service-ID über die Konsole

Sie müssen über die entsprechende Zugriffsstufe verfügen, um eine Service-ID zu sperren oder zu entsperren. Um eine Service-ID zu sperren oder zu entsperren, führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der IBM Cloud-Konsole auf Verwalten > Zugriff (IAM) und wählen Sie dann Service-IDs.
  2. Bewegen Sie den Mauszeiger über die Zeile einer Service-ID und klicken Sie auf das Symbol Aktionen Aktionen Aktionen, um eine Service-ID zu sperren oder zu entsperren.

Service-ID über die Befehlszeilenschnittstelle sperren bzw. entsperren

Sie müssen über die erforderliche Zugriffsstufe zum Entsperren einer Service-ID verfügen.

Sperren und Entsperren einer Dienst-ID über die API

Sie müssen über die erforderliche Zugriffsstufe zum Entsperren einer Service-ID verfügen.

Erstellen und Arbeiten mit Service-ID-Gruppen über die Konsole

Wenn Sie eine Service-ID erstellen, muss sie zu einer Service-ID-Gruppe hinzugefügt werden. Die Standardgruppe wird automatisch für Sie erstellt, aber Sie können bei Bedarf weitere Gruppen erstellen. Jede Service-ID-Gruppe kann bis zu 2.000 Service-IDs enthalten, mit einer Höchstgrenze von 100.000 Service-IDs in Ihrem Konto.

Erstellen einer Dienst-ID-Gruppe mit Hilfe der Konsole

Führen Sie die folgenden Schritte aus, um eine Service-ID-Gruppe zu erstellen:

  1. Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) auf und wählen Sie Service-IDs aus.
  2. Klicken Sie auf Gruppe erstellen.
  3. Folgen Sie dem Prozess, um einen Namen und eine Beschreibung für Ihre Service-ID-Gruppe zu erstellen.
  4. Klicken Sie auf Erstellen.

Löschen einer Service-ID-Gruppe über die Konsole

Um eine Service-ID-Gruppe zu löschen, muss sie leer sein. Löschen Sie alle Dienst-IDs innerhalb der Gruppe, bevor Sie die Gruppe löschen. Gehen Sie anschließend wie folgt vor:

  1. Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) auf und wählen Sie Service-IDs aus.

  2. Wählen Sie eine Gruppe aus dem Menü Service-ID-Gruppe.

    Die Standard-Service-ID-Gruppe kann nicht gelöscht werden.

  3. Klicken Sie in der Kopfzeile der Tabelle auf Löschen.

  4. Klicken Sie zur Bestätigung auf Löschen.

Erstellen und Arbeiten mit Service-ID-Gruppen mithilfe der CLI

Sie können Service-ID-Gruppen über die Konsole erstellen und verwalten. Um die Schritte zu sehen, wechseln Sie zu den UI-Anweisungen.

Erstellen und Arbeiten mit Dienst-ID-Gruppen mithilfe der API

Sie können Service-ID-Gruppen über die Konsole erstellen und verwalten. Um die Schritte zu sehen, wechseln Sie zu den UI-Anweisungen.