Conceptos de acceso de IAM
El concepto de gestión de acceso consta de algunos componentes interrelacionados, incluidos los usuarios, los ID de servicio, los grupos de acceso, los perfiles de confianza, los recursos, las políticas, los roles, las acciones y el sistema de control de IAM IBM Cloud, que permite a los usuarios realizar acciones en recursos de una cuenta.
IBM Cloud IAM sigue un patrón eventualmente consistente que es común a muchos servicios nativos de la nube. Como resultado, IAM sigue estando altamente disponible y ofrece un alto rendimiento en varias regiones de todo el mundo. Los cambios realizados en las políticas de acceso de IAM, las autorizaciones, los ID de servicio, las claves de API, los grupos de acceso, los perfiles de confianza, los grupos de recursos, los usuarios o cualquier otro control de acceso se registran y propagan en todos los componentes de IAM y en los servicios habilitados para IAM en todo el mundo. Es posible que los cambios de acceso no entren en vigor hasta que se haya completado el proceso de propagación.
Grupos de acceso
Se puede organizar un grupo de usuarios e ID de servicio para que se pueda asignar el mismo acceso a todos los miembros del grupo utilizando una o varias políticas. Con los grupos de acceso, puede agilizar el proceso de asignación de acceso para poder gestionar menos políticas y reducir el número de políticas en una cuenta, lo que a su vez aumenta el rendimiento. Los grupos de acceso permiten otorgar y revocar acceso simplemente añadiendo o eliminando usuarios o ID de servicio en el grupo de acceso. Una vez que se han configurado los grupos, puede empezar a asignar políticas seleccionando un grupo de acceso como el sujeto de la política. Para obtener más información, consulte Grupos de acceso para la gestión de acceso optimizada.
Perfiles de confianza
Con los perfiles de confianza, gestiona las identidades de los usuarios dentro de su propio directorio corporativo. Y puede gestionar de forma centralizada el ciclo de vida de acceso a varias cuentas y activos de IBM Cloud para usuarios federados sin necesidad de configurar políticas de acceso para cada entidad dentro de cada cuenta. No es necesario invitar a los usuarios a su cuenta para que puedan acceder a los recursos de IBM Cloud.
También puede definir una autorización precisa para todas las aplicaciones que se ejecutan en un recurso de cálculo sin necesidad de crear ID de servicio ni gestionar el ciclo de vida de claves de API de las aplicaciones. Para empezar a crear perfiles de confianza para la organización, consulte Perfiles de confianza para eliminar la necesidad de gestionar credenciales.
Recursos
Los recursos de la cuenta son las instancias de servicio que se seleccionan del catálogo o los recursos más específicos dentro de una instancia de servicio, como un bucket de IBM Cloud® Object Storage. Los recursos habilitados para IAM se añaden a un grupo de recursos cuando se crean desde el catálogo.
La gestión de acceso de IAM permite un acceso preciso, lo que significa que se puede establecer una política en una escala amplia para todos los recursos de un grupo de recursos, por ejemplo, o para una instancia de servicio específica de la cuenta e incluso un tipo de recurso como un grupo de IBM Cloud Object Storage dentro de una instancia específica.
Políticas de acceso
Las políticas de acceso especifican cómo se otorga permiso a los usuarios, los ID de servicio, los grupos de acceso y los perfiles de confianza de la cuenta para acceder y realizar acciones en los recursos de la cuenta. Las políticas incluyen un sujeto, un destino y un rol. El sujeto es el usuario, el ID de servicio o el grupo de acceso al que está proporcionando acceso. El objetivo de la política es el recurso al que desea proporcionar acceso. Y los roles de IAM definen el nivel de acceso o las acciones permitidas sobre el objetivo de la política.
Una política asigna al sujeto uno o varios roles que definen el nivel de acceso y uno o varios atributos que definen el destino al que la política permite acceder. La política puede proporcionar acceso a un único servicio a nivel de instancia, a un conjunto de recursos que se organizan conjuntamente en un grupo de recursos o a cualquier conjunto de recursos que puede definir mediante un conjunto de atributos como, por ejemplo, la ubicación o el tipo de recurso. Una política también puede proporcionar acceso a los servicios de gestión de cuentas. En función de los roles de IAM que asigne, se permite al sujeto distintos niveles de acceso para completar tareas de gestión de cuentas, trabajar con instancias de servicio o acceder a un servicio utilizando la consola o completando llamadas de API.
Hay distintos tipos de políticas que permiten acceder a recursos de la cuenta para usuarios e ID de servicio: una política de grupo de recursos, una política de instancia de recursos, una política de toda la cuenta para acceder a todos los servicios habilitados para IAM o todas las instancias de un servicio especificado y una política sobre un servicio de gestión de cuenta o sobre varios servicios de gestión de cuenta. En función de sus selecciones, es posible que estén disponibles opciones de configuración personalizadas como, por ejemplo, definir el acceso a recursos en una ubicación específica o definir el acceso al nivel granular de un recurso específico de servicio dentro de una instancia.
Además de las políticas de acceso para los usuarios y los ID de servicio, existe un tipo de política que se denomina una autorización que permite a determinados servicios o instancias de servicios acceder a otros servicios. Puede obtener más información sobre la asignación de acceso entre servicios en la documentación de Utilización de autorizaciones para otorgar acceso entre servicios.
Roles
Los roles de acceso de IBM Cloud son un grupo de acciones. Los roles de acceso permiten a los usuarios y los ID de servicio realizar tareas específicas dentro del contexto de los recursos de destino definidos en la política. Hay dos tipos de roles de acceso predefinidos: gestión de plataforma y acceso de servicio. El tercer tipo de rol de acceso es un rol personalizado que puede crear para que un servicio combine cualquier conjunto de acciones disponibles para satisfacer sus necesidades organizativas.
Los roles de gestión de plataforma definen las acciones permitidas, como asignar el acceso de usuario y la creación de instancias de servicio, para gestionar recursos a nivel de plataforma. Los roles de la plataforma también se aplican a las acciones que se pueden realizar en el contexto de los servicios de gestión de cuentas, como invitar y eliminar usuarios, gestionar grupos de acceso, gestionar ID de servicio y productos de catálogo privado.
Los roles de acceso al servicio definen acciones permitidas, como llamar a las API de servicio o acceder al panel de control de un servicio. Estos roles se personalizan en función del servicio seleccionado en la política.
Al asignar acceso dentro de la consola, junto al rol puede ver el número de acciones que se correlacionan con cada rol y profundizar en dicha lista para ver exactamente lo que permite cada rol.
Para obtener más información, consulte Roles de IAM.
Acciones
Las acciones se correlacionan con roles de IBM Cloud IAM para que los usuarios puedan realizar solo tareas específicas cuando se les asignen los distintos roles. A veces también se hace referencia a las acciones como permisos u operaciones. Las acciones permitidas para cada rol cambian en función del servicio al que se está accediendo puesto que cada servicio define cómo se correlaciona ese rol con el uso del servicio. Para obtener más información, consulte Roles y acciones de IAM.
Plantillas de IAM gestionadas por la empresa
Las plantillas de IAM gestionadas por la empresa son una herramienta útil para estandarizar la gestión de accesos y los valores de seguridad de cuentas en una empresaEstructura jerárquica de cuentas con una cuenta centralizada y gestión de facturación en un entorno de nube.. Las plantillas le permiten definir grupos de acceso, perfiles de confianza y valores de seguridad utilizados habitualmente de forma coherente, garantizando que las políticas de seguridad se aplican de forma uniforme en toda la empresa. Esto puede ser especialmente importante para el cumplimiento de los estándares de la organización, lo que puede requerir que determinados valores de seguridad y gestión de acceso se configuren de forma coherente en todas o algunas cuentas. Mediante el uso de plantillas de IAM, puede simplificar la gestión de las políticas de seguridad, reducir el riesgo de errores de configuración o de errores humanos y mejorar la postura de seguridad general. Para obtener más información, consulte Cómo funciona IAM gestionado por la empresa.
Los recursos de IAM gestionados por la empresa en su cuenta hijo tienen la etiqueta enterprise-managed.
Controles de acción
Los controles de acción aplican sus preferencias sobre qué operaciones pueden tomar los administradores de cuentas hijo en los recursos de IAM gestionados por la empresa en sus cuentas. Es posible que desee permitir que los administradores de cuentas hijo añadan miembros a un grupo de acceso gestionado por la empresa que asigne en su cuenta. En este caso, puede habilitar el control de acción para añadir miembros. O bien, es posible que desee impedir que los administradores de cuentas hijo añadan nuevas políticas a un perfil de confianza. De forma predeterminada, los controles de acción restringen que los administradores de cuentas hijo realicen cambios en los recursos de IAM gestionados por la empresa en su cuenta.
Sistema de gestión de acceso
El sistema de control de IBM Cloud IAM permite o deniega acciones por parte de usuarios o ID de servicio en el contexto de un servicio en función de sus políticas de acceso asignadas. De forma predeterminada, cada usuario e ID de servicio no tiene acceso. Cada política de acceso que se añade permite al usuario o al ID de servicio realizar una acción dentro de la cuenta en función del destino y el rol especificados seleccionados en la política de acceso. Cuando un usuario intenta completar una acción específica, el sistema de control utiliza los atributos definidos en la política para determinar si el usuario tiene permiso para realizar esa tarea. Para obtener más información, consulte Cómo funciona IBM Cloud IAM.
¿Qué es ABAC y RBAC?
Hay dos tipos comunes de sistemas IAM en los proveedores de nube y comprender cada uno de estos modelos puede ayudarle a comprender mejor cómo funciona IAM en IBM Cloud.
-
El control de acceso basado en atributos (ABAC) utiliza atributos de identidades, como usuarios e ID de servicio, entornos y recursos. Un motor de decisiones de acceso utiliza estos atributos para determinar si se debe permitir o denegar una solicitud de acceso. ABAC proporciona más flexibilidad, control y características que los sistemas de control de acceso basados en roles. ABAC se suele utilizar cuando se necesita un control de acceso preciso, o si una amplia variedad de casos de uso de control de acceso necesita ser resuelta por el mismo motor de decisiones. ABAC ayuda a reducir los riesgos de seguridad proporcionando un control de acceso preciso y normalmente es más complejo, especialmente durante la configuración inicial.
-
El control de acceso basado en roles (RBAC) utiliza una correlación de una identidad, como un usuario o un ID de servicio, con un rol. El rol RBAC define el tipo de acceso que una identidad con el rol RBAC puede tomar frente a un recurso. Normalmente se puede otorgar acceso para un tipo de recurso o una agrupación de recursos. Los roles RBAC se suelen definir en función de las responsabilidades de trabajo dentro de una organización. El rol RBAC otorga el acceso necesario para que una identidad realice su trabajo. Se trata de un modelo sencillo porque los administradores de IAM gestionan la correlación de roles RBAC con una identidad. La configuración de roles RBAC puede ser más sencilla que la configuración inicial de ABAC.
IBM Cloud IAM utiliza un modelo ABAC utilizando atributos de identidad y recursos. IBM Cloud IAM utiliza políticas de acceso para almacenar la información de atributos que necesita el motor de decisiones de acceso de IAM. Asimismo, las políticas de acceso indican al motor de decisiones de IAM qué atributos necesita el autor de la política para otorgar acceso a un recurso.
Los atributos soportados para las identidades son iam_id y el ID de grupo de acceso. Los atributos soportados para los recursos pertenecen a una de las siguientes categorías:
- Campos definidos en el recurso CRN, por ejemplo el nombre de servicio.
- Atributos de recursos definidos en todo el sistema, tales como grupos de recursos.
- Atributos de recursos específicos del servicio, como espacios de nombres o grupos.
Cada servicio define los atributos soportados para los recursos que gestiona. Para obtener más información, consulte la documentación del servicio que está utilizando.
Una práctica recomendada en IBM Cloud IAM es utilizar grupos de acceso para gestionar el acceso para identidades. Una vez definidas las políticas de acceso del grupo de acceso, el otorgamiento y la revocación del acceso es simplemente una cuestión de añadir y eliminar identidades en los grupos de acceso. Un ID de usuario o de servicio puede pertenecer a tantos grupos de acceso como desee el administrador, y los miembros del grupo heredan todos los accesos que se asignen al grupo de acceso. Este enfoque proporciona las ventajas de acceso preciso de ABAC con la simplicidad de RBAC.
Los administradores de IAM familiarizados con RBAC pueden utilizar grupos de acceso para imitar un modelo de RBAC. Conceptualmente un grupo de acceso es similar a un rol RBAC. Si está más familiarizado con el uso de los roles RBAC tradicionales como el administrador del sistema, el administrador de red o el administrador de almacenamiento, se pueden definir en IBM Cloud IAM utilizando grupos de acceso con políticas de acceso específicas que se asignan a cada uno de ellos. Para obtener más información sobre la utilización de grupos de acceso y las mejores prácticas para asignar acceso, consulte Prácticas recomendadas para organizar recursos y asignar accesos.
Por ejemplo, puede crear un grupo de acceso denominado Storage Administrators
. Cuando se crea por primera vez, no se otorga acceso a ningún miembro del grupo de acceso. A continuación, se pueden asignar al grupo de acceso políticas
que otorguen el rol de Administrador a todos los recursos de almacenamiento de la cuenta actual, así como a los que se creen en el futuro. Si un nuevo usuario se une al equipo y su trabajo en la organización es el de administrador del almacenamiento
de la cuenta, entonces puede ser simplemente añadido al grupo de acceso y tener todo el acceso que necesita para hacer su trabajo.
Este es un ejemplo sencillo, pero el enfoque se puede aplicar a cualquier trabajo, rol o responsabilidad en una organización. Las políticas de acceso asignadas al grupo de acceso pueden ser muy detalladas, permitiendo casos de uso como el de administrador de todo el almacenamiento en un grupo de recursos específico, e incluso solo para un tipo de almacenamiento específico.
Para obtener más información sobre cómo activar y ejecutar rápidamente IBM Cloud IAM mediante la configuración de grupos de acceso para asignaciones de acceso rápido, la invitación de usuarios a su cuenta y la gestión de su acceso, consulte Asignación de acceso a recursos.