IBM Cloud IAM-Rollen
Alle Services, die in einer Ressourcengruppe in Ihrem Konto zusammengefasst sind, werden mithilfe von IBM Cloud Identity and Access Management (IAM) verwaltet. Kontoeignern wird automatisch die Kontoadministratorrolle zugewiesen. Als Kontoadministrator können Sie Benutzern Zugriff zuweisen und verwalten, Ressourcengruppen erstellen, Zugriffsgruppen erstellen, vertrauenswürdige Profile erstellen, Abrechnungsdetails anzeigen und die Nutzung verfolgen sowie Serviceinstanzen erstellen. Sie stellen Zugriff für Benutzer, Service-IDs, Zugriffsgruppen und vertrauenswürdige Profile bereit, indem Sie Richtlinien erstellen, die ein Ziel für den Zugriff des Subjekts der Richtlinie und eine Rolle festlegen, die definiert, welche Art von Zugriff zulässig ist.
IAM-Rollen
Sie können Zugriffsberechtigungen auf der Basis bestimmter Rollen für Benutzer und Ressourcen in Ihrem Konto verwalten und definieren.
-
Plattformmanagement-Rollen decken eine Reihe von Aktionen ab, einschließlich der Möglichkeit, Instanzen zu erstellen und zu löschen, Anmeldeinformationen zu verwalten und den Zugriff zu steuern. Die Plattformrollen sind: Administrator, Bearbeiter, Operator und Anzeigeberechtigter (Viewer). Plattformmanagementrollen werden auch auf Kontoverwaltungsservices angewendet, die Benutzern je nach ihrer zugewiesenen Rolle für einen Kontoverwaltungsservice das Einladen von Benutzern, Verwalten von Service-IDs, Zugriffsrichtlinien und Katalogeinträgen sowie das Verfolgen von Abrechnungen und der Nutzung ermöglichen.
-
Servicezugriffsrollen definieren die Möglichkeit eines Benutzers oder eines Service, bestimmte Aktionen für eine Serviceinstanz auszuführen. Hierzu zählen beispielsweise der Zugriff auf die Konsole oder das Ausführen von API-Aufrufen. Die gängigsten Servicezugriffsrollen sind Manager, Schreibberechtigter und Leseberechtigter. Für jeden Service werden den einzelnen Rollen bestimmte Aktionen für die Arbeit mit dem Service zugeordnet.
Möglicherweise werden nicht alle hier als Optionen aufgeführten Rollen angezeigt, wenn Sie Richtlinien in der Benutzerschnittstelle zuweisen, da nur die Rollen angezeigt werden, die für den von Ihnen ausgewählten Service verfügbar sind. Weitere Informationen zu den aktivierten Rollen und zu den Aktionen, die die einzelnen Zugriffsrollen für den jeweiligen Service ermöglichen, sind in der Dokumentation für den betreffenden Service beschrieben.
-
Angepasste Rollen für einen Service können auf der Seite mit den IAM-Rollen durch den Kontoeigner oder durch einen Benutzer erstellt werden, dem die Administratorrolle für den Rollenverwaltungsservice zugewiesen ist.
Sie können die verfügbaren Rollen und zugehörigen Aktionen für einen bestimmten Dienst überprüfen, indem Sie die Seite Rollen aufrufen und den Dienst auswählen, über den Sie mehr erfahren möchten. Auf dieser Seite können Sie auch eine angepasste Rolle in der Konsole erstellen.
Plattformmanagementrollen
Mit Plattformmanagementrollen können Benutzern unterschiedliche Berechtigungsstufen für die Durchführung von Plattformaktionen innerhalb des Kontos und für einen Service zugewiesen werden. Zum Beispiel ermöglichen die Plattformmanagementrollen, die für Katalogressourcen zugewiesen sind, dem Benutzer solche Aktionen wie das Erstellen, Löschen, Bearbeiten und Anzeigen von Serviceinstanzen. Zudem ermöglichen die Plattformmanagementrollen, die für Kontoverwaltungsservices zugewiesen sind, dem Benutzer Aktionen wie das Einladen und Entfernen von Benutzern, das Arbeiten mit Ressourcengruppen und das Anzeigen von Abrechnungsinformationen. Weitere Informationen zu Kontoverwaltungsservices finden Sie in Zugriff auf Kontoverwaltungsservices zuweisen.
Wählen Sie beim Erstellen einer Richtlinie alle gültigen Rollen aus. Jede Rolle ermöglicht die Ausführung separater Aktionen und übernimmt nicht die Aktionen untergeordneter Rollen.
Die folgende Tabelle enthält Beispiele für einige der Plattformmanagementaktionen, die Benutzer im Kontext von Katalogressourcen und Ressourcengruppen durchführen können. Lesen Sie die Dokumentation für jedes Katalogprodukt, um zu verstehen, wie die Rollen für Benutzer im Kontext des verwendeten Dienstes gelten.
| Plattformmanagementrolle | Einen oder alle IAM-aktivierten Services | Ausgewählten Service in einer Ressourcengruppe | Zugriff von Ressourcengruppen |
|---|---|---|---|
| Rolle 'Anzeigeberechtigter' | Instanzen und Anmeldeinformationen anzeigen | Nur angegebene Instanzen in der Ressourcengruppe anzeigen | Ressourcengruppe anzeigen |
| Operatorrolle | Instanzen anzeigen und Anmeldeinformationen verwalten | Nicht zutreffend | Nicht zutreffend |
| Bearbeiterrolle | Instanzen erstellen, löschen, bearbeiten und anzeigen. Berechtigungsnachweise verwalten | Nur angegebene Instanzen in der Ressourcengruppe erstellen, löschen, bearbeiten, aussetzen, wiederaufnehmen, anzeigen und binden | Name der Ressourcengruppe anzeigen und bearbeiten |
| Administratorrolle | Alle Verwaltungsaktionen für Services | Alle Verwaltungsaktionen für die angegebenen Instanzen in der Ressourcengruppe | Zugriff für die Ressourcengruppe anzeigen, bearbeiten und verwalten |
Informationen zu den spezifischen Aktionen, die Benutzer auf der Basis ihrer zugewiesenen Rolle für Kontoverwaltungsservices ausführen können, finden Sie in Zugriff auf Kontoverwaltungsservices zuweisen.
Einige Services ordnen möglicherweise bestimmte Aktionen den Plattformmanagementrollen zu, die nicht zum Servicezugriff, sondern zur Serviceverwaltung gehören. Die folgende Tabelle bietet Beispiele mit Details zu den Kubernetes Service-Serviceaktionen, die diesen Rollen zugeordnet sind.
| Plattformmanagementrolle | Aktionen | Beispielaktionen für Kubernetes Service |
|---|---|---|
| Anzeigeberechtigter | Serviceinstanzen anzeigen, nicht jedoch ändern |
|
| Bearbeiter | Alle Plattformaktionen ausführen mit Ausnahme der Kontoverwaltung und der Zuweisung von Zugriffsrichtlinien |
|
| Operator | Plattformaktionen ausführen, die für die Konfiguration und den Betrieb von Serviceinstanzen erforderlich sind, z. B. Anzeigen eines Service-Dashboards |
|
| Administrator | Alle Plattformaktionen basierend auf der Ressource ausführen, der diese Rolle zugewiesen ist, einschließlich dem Zuweisen von Zugriffsrichtlinien zu anderen Benutzern |
|
Servicezugriffsrollen
Mit Servicezugriffsrollen können Benutzern unterschiedliche Berechtigungsstufen für das Aufrufen der Service-APIs und den Zugriff auf die Benutzerschnittstelle des Service zugewiesen werden. Die folgende Tabelle enthält Beispiele für Aktionen, die abhängig von den zugewiesenen Rollen auf Basis der Verwendung des Object Storage-Service ausgeführt werden können.
Welche Aktionen, die je nach zugewiesener Rolle ausgeführt werden können, hängt jeweils davon ab, welcher Service für die Richtlinie ausgewählt wurde. Nicht alle Services verwenden diese Typen von Rollen. Weitere Details enthält die Dokumentation für den Service.
| Servicezugriffsrolle | Aktionen | Beispielaktionen für den Object Storage-Service |
|---|---|---|
| Leseberechtigter | Aktionen mit Lesezugriff innerhalb eines Service durchführen, z. B. servicespezifische Ressourcen anzeigen | Objekte auflisten und herunterladen |
| Schreibberechtigter | Berechtigungen, die über die Rolle der Leseberechtigten hinausgehen, einschließlich Erstellen und Bearbeiten servicespezifischer Ressourcen | Buckets und Objekte erstellen und löschen |
| Manager | Berechtigungen, die über die Rolle der Schreibberechtigten hinausgehen, um Aktionen durchzuführen, für die vom Service definierte spezielle Berechtigungen erforderlich sind, sowie das Erstellen und Bearbeiten servicespezifischer Ressourcen | Alle Aspekte der Datenspeicherung verwalten, Buckets und Objekte erstellen und löschen |
Angepasste Zugriffsrollen
Ein Kontoeigner oder Benutzer, dem die Administratorrolle für den Rollenverwaltungsservice zugeordnet ist, kann angepasste Rollen für einen Service auf der Seite für IAM-Rollen erstellen. Alle Aktionen, die für einen Service für eine beliebige Plattform- oder Servicerolle verfügbar sind, können kombiniert und einer angepassten benannten Rolle hinzugefügt werden.
Nachdem die Rolle erstellt wurde, wird die neue angepasste Rolle für jeden Benutzer, der Zugriff für diesen Service zuweisen kann, als Option angezeigt. Weitere Informationen finden Sie unter Angepasste Rollen erstellen.