Asignación de acceso a los servicios de gestión de cuentas
Como propietario de cuenta o administrador de un servicio de gestión de cuentas, puede otorgar a los usuarios acceso para que invitar usuarios a la cuenta, realizar un seguimiento de la facturación y del uso y trabajar con casos de soporte. Los usuarios con políticas de acceso de gestión de cuentas también pueden gestionar ID de servicio, políticas de acceso, entradas de catálogo, grupos de acceso, recursos para el servicio Security and Compliance Center y trabajar con restricciones basadas en contexto.
Asignación del acceso en la consola
Para asignar acceso a uno o a todos los servicios de gestión de cuentas, siga los pasos siguientes:
- En la consola de IBM Cloud®, pulse Gestionar > Acceso (IAM) y seleccione Usuarios.
- Haga clic en el usuario al que desea asignar acceso y, a continuación, vaya a Acceso > Asignar acceso.
- Para el servicio, seleccione Todos los servicios de gestión de cuentas o seleccione un servicio de gestión de cuentas específico. A continuación, pulse Siguiente.
- Limite el acceso a Todos los recursos o a Recursos específicos. A continuación, pulse Siguiente.
- Seleccione la combinación que desee de roles o permisos y pulse Revisar.
- Pulse Añadir para añadir la configuración de política a su resumen de políticas.
- Pulse Asignar.
Para otorgar acceso completo a la cuenta a otro usuario con el fin de gestionar accesos de usuario y todos los recursos de la cuenta habilitados para IAM, debe asignar dos políticas. Para crear la primera política, seleccione Todos los servicios habilitados para Identidad y Acceso con el rol de plataforma Administrador y el rol de servicio Gerente. Para crear la segunda política, seleccione Todos los servicios de gestión de cuentas con el rol de Administrador asignado.
Los usuarios con el rol de administrador para los servicios de gestión de cuentas pueden cambiar el acceso de otros usuarios y eliminar usuarios de la cuenta, incluidos otros usuarios con el rol de administrador.
Acciones y roles para los servicios de gestión de cuentas
En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.
Todos los servicios de gestión de cuentas
Para proporcionar rápidamente a los usuarios una amplia gama de acceso a la gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.
Otorgue a los usuarios acceso al grupo de Todos los servicios de gestión de cuentas para que puedan trabajar con los servicios siguientes:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
- Facturación
- Gestión de catálogos
- Restricciones basadas en contexto
- Enterprise
- Catálogo global
- Valores de IBM Cloud Shell
- Licencia y titularidad
- Centro de socios
- Centro de socios - Vender
- Proyectos
- Security and Compliance Center
- Instancia de software
- Centro de soporte
Roles | Acciones |
---|---|
Visor | Todas las acciones del rol de visor para los servicios de gestión de cuentas |
Operador | Todas las acciones del rol de operador para los servicios de gestión de cuentas |
Editor | Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Administrador | Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Todos los servicios de gestión de cuentas de IAM
Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso al grupo de Todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los servicios siguientes:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
Roles | Acciones |
---|---|
Visor | Todas las acciones de rol de visor para servicios de IAM |
Operador | Todas las acciones de rol de operador para servicios de IAM |
Editor | Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos |
Administrador | Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos |
Creador de claves de API de usuario | Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada |
Creador de ID de servicio | Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada |
Administrador de plantillas | Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz. |
Administrador de asignaciones de plantillas | Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz. |
Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.
Facturación
Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.
Roles | Acciones |
---|---|
Visor | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver nombre de cuenta Ver balances de suscripción y realizar un seguimiento del uso |
Operador | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver y cambiar el nombre de cuenta |
Editor | Ver y actualizar los valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y de característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso |
Administrador | Ver y actualizar valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso Crear una empresa |
Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.
Gestión de catálogos
Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.
Roles | Acciones |
---|---|
Visor | Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud
Ver catálogos privados |
Operador | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Editor | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Administrador | Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud
Crear, actualizar y suprimir catálogos privados Publicar productos aprobados por IBM Asignar políticas de acceso |
Publicador | Publicar productos aprobados por IBM desde un catálogo privado |
Restricciones basadas en contexto
Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.
El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.
Roles | Acciones |
---|---|
Visor | Ver zonas de red |
Editor | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Administrador | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Enterprise
Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.
Roles | Acciones |
---|---|
Visor | Ver la empresa, los grupos de cuentas y las cuentas |
Operador | No aplicable |
Editor | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas. |
Administrador | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso |
Visor de informes de uso | Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa. |
Catálogo global
Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.
Roles | Acciones |
---|---|
Visor | Ver servicios privados |
Operador | Ver servicios privados |
Editor | Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados |
Administrador | Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público |
Grupos de acceso de IAM
Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.
Roles | Acciones |
---|---|
Visor | Ver miembros y grupos de acceso |
Operador | No aplicable |
Editor | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios de grupos |
Administrador | Ver, crear, editar y eliminar grupos
Añadir o eliminar usuarios, incluidos otros administradores Asignar acceso a un grupo Gestionar el acceso para trabajar con grupos de acceso Habilitar o deshabilitar el acceso público a los recursos a nivel de cuenta |
Servicio de gestión de acceso de IAM
Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.
Roles | Acciones |
---|---|
Visor | Ver políticas de acceso y roles personalizados |
Operador | Ver políticas de acceso y roles personalizados |
Editor | Ver y editar roles personalizados
Ver información de IAM, políticas y valores |
Administrador | Ver, crear, editar y suprimir roles personalizados
Ver y actualizar valores de IAM Asignar acceso a un grupo Ver, crear, editar y suprimir políticas de acceso |
Gestión de roles
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta. Servicio hijo del servicio de gestión de acceso de IAM.
Roles | Acciones |
---|---|
Visor | Ver roles personalizados |
Operador | No aplicable |
Editor | Editar y actualizar roles personalizados en una cuenta |
Administrador | Crear, editar, actualizar y suprimir roles personalizados en una cuenta |
Servicio de identidad IAM
Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.
Roles | Acciones |
---|---|
Visor | Ver ID |
Operador | Crear y suprimir los ID y las claves de API
Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Suprimir perfiles de confianza |
Editor | Crear y actualizar ID y claves API
Ver y actualizar IdPs Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario Actualizar perfiles de confianza |
Administrador | Crear, actualizar y suprimir los ID y las claves de API
Asignar políticas de acceso a los ID Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Crear perfiles de confianza |
Creador de claves de API de usuario | Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API. |
Creador de ID de servicio | Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio. |
Valores de IBM Cloud Shell
Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | No aplicable |
Administrador | Ver y actualizar valores de IBM Cloud Shell |
Operador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud. |
Desarrollador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada). |
File Manager | Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas). |
Licencia y titularidad
Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido. |
Administrador | Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta. |
Platform Analytics
Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.
Roles | Acciones |
---|---|
Visor | Ver, buscar, crear, actualizar y compartir datos y gráficos |
Administrador | Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics. |
Centro de socios
Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte. |
Editor | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Operador | |
Administrador | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Centro de socios - Vender
Puede dar acceso a los usuarios para incorporar, validar y publicar productos.
Roles | Acciones |
---|---|
Administrador | Crear, editar, validar y publicar productos |
Editor | Validar y editar productos |
Aprobador | Aprueba o rechaza la tarea de una instancia de flujo de trabajo |
Proyectos
Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).
Roles | Acciones |
---|---|
Visor | Ver detalles sobre proyectos, configuraciones y despliegues. |
Operador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración |
Editor | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos |
Administrador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos. Forzar la aprobación de cambios que han fallado la validación |
Security and Compliance Center
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.
Roles | Acciones |
---|---|
Visor | Ver perfiles y archivos adjuntos disponibles
Ver recursos creados, como ámbitos, credenciales o reglas Ver la configuración global del servicio |
Operador | Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales
Crear un registro de auditoría para supervisar la actividad de conformidad |
Editor | Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores
Actualizar los valores de parámetros de un objetivo Crear, actualizar o suprimir reglas y plantillas Editar valores de administración global para el servicio |
Administrador | Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios. |
Gestor | Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio. |
Lector | Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio. |
Writer | Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio. |
Instancia de software
Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.
Roles | Acciones |
---|---|
Visor | Ver la página de detalles de instancia de software |
Operador | Actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Editor | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Administrador | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software Ver los registros de la instancia de software Asignar permisos IAM |
Centro de soporte
Puede otorgar a los usuarios acceso para gestionar casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver casos
Buscar casos |
Operador | No aplicable |
Editor | Ver casos
Buscar casos Actualizar casos Crear casos |
Administrador | Ver casos
Buscar casos Actualizar casos Crear casos |
Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.
Gestión de usuarios
Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.
Roles | Acciones |
---|---|
Visor | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Operador | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Editor | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
Administrador | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.
Activity Tracker Event Routing
Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.
Roles | Acciones |
---|---|
Visor | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Operador | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Editor | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing. |
Administrador | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta. |
Nombres de servicios de gestión de cuentas
Si está asignando acceso utilizando la CLI o la API, los servicios de gestión de cuentas utilizan los siguientes atributos y valores:
Servicio de gestión de cuentas | Atributo y valor |
---|---|
Todos los servicios de gestión de cuentas | serviceType=platform_service |
Todos los servicios de gestión de cuentas de IAM | service_group_id=IAM |
Facturación | serviceName=billing |
Gestión de catálogos | serviceName=globalcatalog-collection |
Restricciones basadas en contexto | serviceName=context-based-restrictions |
Enterprise | serviceName=enterprise |
Catálogo global | serviceName=globalcatalog |
Servicio de grupos de acceso de IAM | serviceName=iam-groups |
Servicio de identidad IAM | serviceName=iam-identity |
IBM Cloud Shell | serviceName=cloudshell |
Licencia y titularidad | serviceName=entitlement |
Proyectos | serviceName=project |
Gestión de roles | serviceName=iam-access-management |
Security and Compliance Center | serviceName=security-compliance |
Centro de soporte | serviceName=support |
Gestión de usuarios | serviceName=user-management |
Asignación de acceso mediante la API
El siguiente ejemplo asigna una política con el rol de Administrador en el servicio de gestión de cuentas de grupos de acceso de IAM.
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceName",
"value": "iam-groups"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
.name("serviceName")
.value("iam-groups")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceNameResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
name: 'serviceName',
value: 'iam-groups',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_name_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceName"),
Value: core.StringPtr("iam-groups"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceNameResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
El siguiente ejemplo asigna una política con el rol de Administrador en todos los servicios de Gestión de Cuenta.
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceType",
"value": "platform-service"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
.name("serviceType")
.value("platform-service")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceTypeResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
name: 'serviceType',
value: 'platform-service',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceType', value='platform-service')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_type_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceType"),
Value: core.StringPtr("platform-service"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceTypeResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
Acciones y roles para los servicios de gestión de cuentas
En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.
Todos los servicios de gestión de cuentas
Para proporcionar rápidamente a los usuarios una amplia gama de acceso a la gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.
El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
- Facturación
- Gestión de catálogos
- Restricciones basadas en contexto
- Enterprise
- Catálogo global
- Valores de IBM Cloud Shell
- Licencia y titularidad
- Centro de socios
- Centro de socios - Vender
- Proyectos
- Security and Compliance Center
- Instancia de software
- Centro de soporte
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Todas las acciones del rol de visor para los servicios de gestión de cuentas | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Todas las acciones del rol de operador para los servicios de gestión de cuentas | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos | crn:v1:bluemix:public:iam::::role:Administrator |
Todos los servicios de gestión de cuentas de IAM
Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Todas las acciones de rol de visor para servicios de IAM | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Todas las acciones de rol de operador para servicios de IAM | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos | crn:v1:bluemix:public:iam::::role:Administrator |
Creador de claves de API de usuario | Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
Creador de ID de servicio | Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
Administrador de plantillas | Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz. | crn:v1:bluemix:public:iam::::role:TemplateAdministrator |
Administrador de asignaciones de plantillas | Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz. | crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator |
Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.
Facturación
Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver nombre de cuenta Ver balances de suscripción y realizar un seguimiento del uso |
crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver y cambiar el nombre de cuenta |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver y actualizar los valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y de característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver y actualizar valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso Crear una empresa |
crn:v1:bluemix:public:iam::::role:Administrator |
Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.
Gestión de catálogos
Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud
Ver catálogos privados |
crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud
Crear, actualizar y suprimir catálogos privados Publicar productos aprobados por IBM Asignar políticas de acceso |
crn:v1:bluemix:public:iam::::role:Administrator |
Publicador | Publicar productos aprobados por IBM desde un catálogo privado | crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter |
Restricciones basadas en contexto
Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.
El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver zonas de red | crn:v1:bluemix:public:iam::::role:Viewer |
Editor | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
crn:v1:bluemix:public:iam::::role:Administrator |
Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar restricciones basadas en contexto y zonas de red.
Enterprise
Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver la empresa, los grupos de cuentas y las cuentas | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | No aplicable | |
Editor | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas. | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso | crn:v1:bluemix:public:iam::::role:Administrator |
Visor de informes de uso | Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa. | crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer |
Catálogo global
Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver servicios privados | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | No aplicable | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público | crn:v1:bluemix:public:iam::::role:Administrator |
Grupos de acceso de IAM
Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver miembros y grupos de acceso | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | No aplicable | |
Editor | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios de grupos |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios Asignar acceso a un grupo Gestionar acceso para trabajar con grupos de acceso Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta |
crn:v1:bluemix:public:iam::::role:Administrator |
Servicio de gestión de acceso de IAM
Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver políticas de acceso y roles personalizados | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver políticas de acceso y roles personalizados | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver y editar roles personalizados
Ver información de IAM, políticas y valores |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver, crear, editar y suprimir roles personalizados
Ver y actualizar valores de IAM Asignar acceso a un grupo Ver, crear, editar y suprimir políticas de acceso |
crn:v1:bluemix:public:iam::::role:Administrator |
Gestión de roles
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver roles personalizados | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | No aplicable | |
Editor | Editar y actualizar roles personalizados en una cuenta | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Crear, editar, actualizar y suprimir roles personalizados en una cuenta | crn:v1:bluemix:public:iam::::role:Administrator |
Servicio de identidad IAM
Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver ID | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Crear y suprimir los ID y las claves de API
Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Suprimir perfiles de confianza |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Crear y actualizar ID y claves API
Ver y actualizar IdPs Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario Actualizar perfiles de confianza |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Crear, actualizar y suprimir los ID y las claves de API
Asignar políticas de acceso a los ID Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Crear perfiles de confianza |
crn:v1:bluemix:public:iam::::role:Administrator |
Creador de claves de API de usuario | Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API. | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
Creador de ID de servicio | Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio. | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
Valores de IBM Cloud Shell
Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | No aplicable | |
Operador | No aplicable | |
Editor | No aplicable | |
Administrador | Ver y actualizar valores de IBM Cloud Shell | crn:v1:bluemix:public:iam::::role:Administrator |
Operador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud. | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator |
Desarrollador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada). | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper |
File Manager | Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas). | crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager |
Licencia y titularidad
Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | No aplicable | |
Operador | No aplicable | |
Editor | Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido. | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta. | crn:v1:bluemix:public:iam::::role:Administrator |
Platform Analytics
Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver, buscar, crear, actualizar y compartir datos y gráficos | crn:v1:bluemix:public:iam::::role:Viewer |
Administrador | Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics. | crn:v1:bluemix:public:iam::::role:Administrator |
Centro de socios
Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte. | crn:v1:bluemix:public:iam::::role:Viewer |
Editor | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. | crn:v1:bluemix:public:iam::::role:Editor |
Operador | ||
Administrador | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. | crn:v1:bluemix:public:iam::::role:Administrator |
Centro de socios - Vender
Puede dar acceso a los usuarios para incorporar, validar y publicar productos.
Roles | Acciones | Valor role_ID |
---|---|---|
Administrador | Crear, editar, validar y publicar productos | |
Editor | Validar y editar productos | crn:v1:bluemix:public:iam::::role:Editor |
Aprobador | Aprueba o rechaza la tarea de una instancia de flujo de trabajo | crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover |
Proyectos
Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver detalles sobre proyectos, configuraciones y despliegues. | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos. Forzar la aprobación de cambios que han fallado la validación |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver perfiles y archivos adjuntos disponibles
Ver recursos creados, como ámbitos, credenciales o reglas Ver la configuración global del servicio |
crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales
Crear un registro de auditoría para supervisar la actividad de conformidad |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores
Actualizar los valores de parámetros de un objetivo Crear, actualizar o suprimir reglas y plantillas Editar valores de administración global para el servicio |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios. | crn:v1:bluemix:public:iam::::role:Administrator |
Gestor | Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio. | crn:v1:bluemix:public:iam::::serviceRole:Manager |
Lector | Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio. | crn:v1:bluemix:public:iam::::serviceRole:Reader |
Writer | Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio. | crn:v1:bluemix:public:iam::::serviceRole:Writer |
Instancia de software
Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver la página de detalles de instancia de software | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Actualizar una instancia de software
Ver la página de detalles de la instancia de software |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software Ver los registros de la instancia de software Asignar permisos IAM |
crn:v1:bluemix:public:iam::::role:Administrator |
Centro de soporte
Puede otorgar a los usuarios acceso para gestionar casos de soporte.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver casos
Buscar casos |
crn:v1:bluemix:public:iam::::role:Viewer |
Operador | No aplicable | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver casos
Buscar casos Actualizar casos Crear casos |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver casos
Buscar casos Actualizar casos Crear casos |
crn:v1:bluemix:public:iam::::role:Administrator |
Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de la lista de usuarios está establecida en restringida, la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo puede estar limitada.
Gestión de usuarios
Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
crn:v1:bluemix:public:iam::::role:Administrator |
El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.
Activity Tracker Event Routing
Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. | crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing. | crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta. |
crn:v1:bluemix:public:iam::::role:Administrator |
Nombres de servicios de gestión de cuentas
Si está asignando acceso utilizando la CLI o la API, los servicios de gestión de cuentas utilizan los siguientes atributos y valores:
Servicio de gestión de cuentas | Atributo y valor |
---|---|
Todos los servicios de gestión de cuentas | serviceType=platform_service |
Todos los servicios de gestión de cuentas de IAM | service_group_id=IAM |
Facturación | serviceName=billing |
Gestión de catálogos | serviceName=globalcatalog-collection |
Restricciones basadas en contexto | serviceName=context-based-restrictions |
Enterprise | serviceName=enterprise |
Catálogo global | serviceName=globalcatalog |
Servicio de grupos de acceso de IAM | serviceName=iam-groups |
Servicio de identidad IAM | serviceName=iam-identity |
IBM Cloud Shell | serviceName=cloudshell |
Licencia y titularidad | serviceName=entitlement |
Proyectos | serviceName=project |
Gestión de roles | serviceName=iam-access-management |
Security and Compliance Center | serviceName=security-compliance |
Centro de soporte | serviceName=support |
Gestión de usuarios | serviceName=user-management |
Asignación de acceso mediante la CLI
Para asignar acceso, ejecute el mandato user-policy-create
. Para obtener más información, consulte ibmcloud iam user-policy-create. El siguiente
mandato de ejemplo asigna una política con el rol de creador de claves de la API de usuario para el servicio de gestión de cuentas de identidad de IAM.
ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity
Para ver los nombres de servicio que debe utilizar en el mandato de CLI para cada servicio de gestión de cuentas, consulte la Tabla 1. Sin embargo, para una política sobre todos los servicios de gestión de cuentas en la CLI, utilice --account-management
en lugar de --service-name SERVICE_NAME
. Para los roles que tienen más de una palabra, utilice el nombre de visualización con comillas.
El siguiente comando de ejemplo asigna una política con el rol de Administrador para todos los servicios de Gestión de Cuenta.
ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service
Acciones y roles para los servicios de gestión de cuentas
En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.
Todos los servicios de gestión de cuentas
Para proporcionar rápidamente a los usuarios un amplio conjunto de acceso de gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.
El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
- Facturación
- Gestión de catálogos
- Restricciones basadas en contexto
- Enterprise
- Catálogo global
- Valores de IBM Cloud Shell
- Licencia y titularidad
- Centro de socios
- Centro de socios - Vender
- Proyectos
- Security and Compliance Center
- Instancia de software
- Centro de soporte
Roles | Acciones |
---|---|
Visor | Todas las acciones del rol de visor para los servicios de gestión de cuentas |
Operador | Todas las acciones del rol de operador para los servicios de gestión de cuentas |
Editor | Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Administrador | Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Todos los servicios de gestión de cuentas de IAM
Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
Roles | Acciones |
---|---|
Visor | Todas las acciones de rol de visor para servicios de IAM |
Operador | Todas las acciones de rol de operador para servicios de IAM |
Editor | Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos |
Administrador | Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos |
Creador de claves de API de usuario | Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada |
Creador de ID de servicio | Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada |
Administrador de plantillas | Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz. |
Administrador de asignaciones de plantillas | Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz. |
Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.
Facturación
Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.
Roles | Acciones |
---|---|
Visor | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver nombre de cuenta Ver balances de suscripción y realizar un seguimiento del uso |
Operador | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver y cambiar el nombre de cuenta |
Editor | Ver y actualizar los valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y de característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso |
Administrador | Ver y actualizar valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso Crear una empresa |
Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.
Gestión de catálogos
Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.
Roles | Acciones |
---|---|
Visor | Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud
Ver catálogos privados |
Operador | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Editor | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Administrador | Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud
Crear, actualizar y suprimir catálogos privados Publicar productos aprobados por IBM Asignar políticas de acceso |
Publicador | Publicar productos aprobados por IBM desde un catálogo privado |
Restricciones basadas en contexto
Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.
El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.
Roles | Acciones |
---|---|
Visor | Ver zonas de red |
Editor | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Administrador | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Enterprise
Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.
Roles | Acciones |
---|---|
Visor | Ver la empresa, los grupos de cuentas y las cuentas |
Operador | No aplicable |
Editor | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas. |
Administrador | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso |
Visor de informes de uso | Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa. |
Catálogo global
Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.
Roles | Acciones |
---|---|
Visor | Ver servicios privados |
Operador | No aplicable |
Editor | Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados |
Administrador | Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público |
Grupos de acceso de IAM
Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.
Roles | Acciones |
---|---|
Visor | Ver miembros y grupos de acceso |
Operador | No aplicable |
Editor | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios de grupos |
Administrador | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios Asignar acceso a un grupo Gestionar acceso para trabajar con grupos de acceso Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta |
Servicio de gestión de acceso de IAM
Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.
Roles | Acciones |
---|---|
Visor | Ver políticas de acceso y roles personalizados |
Operador | Ver políticas de acceso y roles personalizados |
Editor | Ver y editar roles personalizados
Ver información de IAM, políticas y valores |
Administrador | Ver, crear, editar y suprimir roles personalizados
Ver y actualizar valores de IAM Asignar acceso a un grupo Ver, crear, editar y suprimir políticas de acceso |
Gestión de roles
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.
Roles | Acciones |
---|---|
Visor | Ver roles personalizados |
Operador | No aplicable |
Editor | Editar y actualizar roles personalizados en una cuenta |
Administrador | Crear, editar, actualizar y suprimir roles personalizados en una cuenta |
Servicio de identidad IAM
Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.
Roles | Acciones |
---|---|
Visor | Ver ID |
Operador | Crear y suprimir los ID y las claves de API
Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Suprimir perfiles de confianza |
Editor | Crear y actualizar ID y claves API
Ver y actualizar IdPs Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario Actualizar perfiles de confianza |
Administrador | Crear, actualizar y suprimir los ID y las claves de API
Asignar políticas de acceso a los ID Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Crear perfiles de confianza |
Creador de claves de API de usuario | Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API. |
Creador de ID de servicio | Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio. |
Valores de IBM Cloud Shell
Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | No aplicable |
Administrador | Ver y actualizar valores de IBM Cloud Shell |
Operador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud. |
Desarrollador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada). |
File Manager | Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas). |
Licencia y titularidad
Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido. |
Administrador | Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta. |
Platform Analytics
Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.
Roles | Acciones |
---|---|
Visor | Ver, buscar, crear, actualizar y compartir datos y gráficos |
Administrador | Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics. |
Centro de socios
Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte. |
Editor | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Operador | |
Administrador | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Centro de socios - Vender
Puede dar acceso a los usuarios para incorporar, validar y publicar productos.
Roles | Acciones |
---|---|
Administrador | Crear, editar, validar y publicar productos |
Editor | Validar y editar productos |
Aprobador | Aprueba o rechaza la tarea de una instancia de flujo de trabajo |
Proyectos
Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).
Roles | Acciones | Valor role_ID |
---|---|---|
Visor | Ver detalles sobre proyectos, configuraciones y despliegues. | crn:v1:bluemix:public:iam::::role:Viewer |
Operador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración |
crn:v1:bluemix:public:iam::::role:Operator |
Editor | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos |
crn:v1:bluemix:public:iam::::role:Editor |
Administrador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos. Forzar la aprobación de cambios que han fallado la validación |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.
Roles | Acciones |
---|---|
Visor | Ver perfiles y archivos adjuntos disponibles
Ver recursos creados, como ámbitos, credenciales o reglas Ver la configuración global del servicio |
Operador | Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales
Crear un registro de auditoría para supervisar la actividad de conformidad |
Editor | Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores
Actualizar los valores de parámetros de un objetivo Crear, actualizar o suprimir reglas y plantillas Editar valores de administración global para el servicio |
Administrador | Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios. |
Gestor | Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio. |
Lector | Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio. |
Writer | Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio. |
Instancia de software
Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.
Roles | Acciones |
---|---|
Visor | Ver la página de detalles de instancia de software |
Operador | Actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Editor | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Administrador | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software Ver los registros de la instancia de software Asignar permisos IAM |
Centro de soporte
Puede otorgar a los usuarios acceso para gestionar casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver casos
Buscar casos |
Operador | No aplicable |
Editor | Ver casos
Buscar casos Actualizar casos Crear casos |
Administrador | Ver casos
Buscar casos Actualizar casos Crear casos |
Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.
Gestión de usuarios
Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.
Roles | Acciones |
---|---|
Visor | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Operador | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Editor | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
Administrador | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.
Activity Tracker Event Routing
Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.
Roles | Acciones |
---|---|
Visor | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Operador | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Editor | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing. |
Administrador | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta. |
Asignación de acceso utilizando Terraform
Antes de poder asignar acceso utilizando Terraform, asegúrese de que ha completado lo siguiente:
- Instale la CLI de Terraform y configure el plugin de proveedor de IBM Cloud para Terraform. Para obtener más información, consulte la guía de aprendizaje de Iniciación a Terraform en IBM Cloud®. El plug-in abstrae las API de IBM Cloud que se utilizan para completar esta tarea.
- Cree un archivo de configuración de Terraform denominado
main.tf
. En este archivo, puede definir recursos utilizando HashiCorp Configuration Language. Para más información, consulte la documentación de Terraform.
Utilice los pasos siguientes para asignar acceso utilizando Terraform:
-
Cree un argumento en el archivo
main.tf
. El siguiente ejemplo asigna una política con el rol de administrador de políticas (Viewer
) en el servicio de gestión de cuentas de grupos de acceso de IAM.resource "ibm_iam_access_group" "accgrp" { name = "test" } resource "ibm_iam_access_group_policy" "policy" { access_group_id = ibm_iam_access_group.accgrp.id roles = ["Viewer"] }
Puede especificar el ID del grupo de acceso en la opción
access_group_id
. Para obtener más información, consulte los detalles de referencia de argumentos en la página de Terraform(Identity and Access Management, IAM ). -
Después de terminar de crear el archivo de configuración, inicialice la CLI de Terraform. Para obtener más información, consulte Inicialización de directorios de trabajo.
terraform init
-
Suministre los recursos desde el archivo
main.tf
. Para obtener más información, consulte Infraestructura de suministro con Terraform.-
Ejecute
terraform plan
para generar un plan de ejecución de Terraform para obtener una vista previa de las acciones propuestas.terraform plan
-
Ejecute
terraform apply
para crear los recursos definidos en el plan.terraform apply
-
Acciones y roles para los servicios de gestión de cuentas
En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.
Todos los servicios de gestión de cuentas
Para proporcionar rápidamente a los usuarios un amplio conjunto de acceso de gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.
El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
- Facturación
- Gestión de catálogos
- Restricciones basadas en contexto
- Enterprise
- Catálogo global
- Valores de IBM Cloud Shell
- Licencia y titularidad
- Centro de socios
- Centro de socios - Vender
- Proyectos
- Security and Compliance Center
- Instancia de software
- Centro de soporte
Roles | Acciones |
---|---|
Visor | Todas las acciones del rol de visor para los servicios de gestión de cuentas |
Operador | Todas las acciones del rol de operador para los servicios de gestión de cuentas |
Editor | Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Administrador | Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos |
Todos los servicios de gestión de cuentas de IAM
Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:
- Grupos de acceso de IAM
- Servicio de identidad IAM
- Gestión de acceso de IAM
- Gestión de roles
- Gestión de usuarios
Roles | Acciones |
---|---|
Visor | Todas las acciones de rol de visor para servicios de IAM |
Operador | Todas las acciones de rol de operador para servicios de IAM |
Editor | Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos |
Administrador | Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos |
Creador de claves de API de usuario | Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada |
Creador de ID de servicio | Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada |
Administrador de plantillas | Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz. |
Administrador de asignaciones de plantillas | Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz. |
Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.
Facturación
Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.
Roles | Acciones |
---|---|
Visor | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver nombre de cuenta Ver balances de suscripción y realizar un seguimiento del uso |
Operador | Ver valores de característica de cuenta
Ver suscripciones en la cuenta Ver y cambiar el nombre de cuenta |
Editor | Ver y actualizar los valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y de característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso |
Administrador | Ver y actualizar valores de característica de cuenta
Ver suscripciones en la cuenta Ver ofertas en la cuenta Ver y aplicar códigos de suscripción y característica Ver y cambiar nombre de cuenta Ver y actualizar límites de gasto Establecer notificaciones de gasto Ver balances de suscripción y realizar un seguimiento del uso Crear una empresa |
Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.
Gestión de catálogos
Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.
Roles | Acciones |
---|---|
Visor | Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud
Ver catálogos privados |
Operador | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Editor | Crear catálogos privados
Establecer filtros para catálogos privados Añadir y actualizar software Ver filtros a nivel de cuenta |
Administrador | Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud
Crear, actualizar y suprimir catálogos privados Publicar productos aprobados por IBM Asignar políticas de acceso |
Publicador | Publicar productos aprobados por IBM desde un catálogo privado |
Restricciones basadas en contexto
Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.
El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.
Roles | Acciones |
---|---|
Visor | Ver zonas de red |
Editor | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Administrador | Ver zonas de red
Crear zonas de red Actualizar zonas de red Eliminar zonas de red |
Enterprise
Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.
Roles | Acciones |
---|---|
Visor | Ver la empresa, los grupos de cuentas y las cuentas |
Operador | No aplicable |
Editor | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas. |
Administrador | Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso |
Visor de informes de uso | Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa. |
Catálogo global
Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.
Roles | Acciones |
---|---|
Visor | Ver servicios privados |
Operador | No aplicable |
Editor | Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados |
Administrador | Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público |
Grupos de acceso de IAM
Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.
Roles | Acciones |
---|---|
Visor | Ver miembros y grupos de acceso |
Operador | No aplicable |
Editor | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios de grupos |
Administrador | Ver, crear, editar y suprimir grupos
Añadir o eliminar usuarios Asignar acceso a un grupo Gestionar acceso para trabajar con grupos de acceso Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta |
Servicio de gestión de acceso de IAM
Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.
Roles | Acciones |
---|---|
Visor | Ver políticas de acceso y roles personalizados |
Operador | Ver políticas de acceso y roles personalizados |
Editor | Ver y editar roles personalizados
Ver información de IAM, políticas y valores |
Administrador | Ver, crear, editar y suprimir roles personalizados
Ver y actualizar valores de IAM Asignar acceso a un grupo Ver, crear, editar y suprimir políticas de acceso |
Gestión de roles
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.
Roles | Acciones |
---|---|
Visor | Ver roles personalizados |
Operador | No aplicable |
Editor | Editar y actualizar roles personalizados en una cuenta |
Administrador | Crear, editar, actualizar y suprimir roles personalizados en una cuenta |
Servicio de identidad IAM
Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.
Roles | Acciones |
---|---|
Visor | Ver ID |
Operador | Crear y suprimir los ID y las claves de API
Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Suprimir perfiles de confianza |
Editor | Crear y actualizar ID y claves API
Ver y actualizar IdPs Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario Actualizar perfiles de confianza |
Administrador | Crear, actualizar y suprimir los ID y las claves de API
Asignar políticas de acceso a los ID Ver, crear, actualizar y suprimir los IdP Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario Crear perfiles de confianza |
Creador de claves de API de usuario | Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API. |
Creador de ID de servicio | Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio. |
Valores de IBM Cloud Shell
Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | No aplicable |
Administrador | Ver y actualizar valores de IBM Cloud Shell |
Operador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud. |
Desarrollador de nube | Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada). |
File Manager | Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas). |
Licencia y titularidad
Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.
Roles | Acciones |
---|---|
Visor | No aplicable |
Operador | No aplicable |
Editor | Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido. |
Administrador | Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta. |
Platform Analytics
Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.
Roles | Acciones |
---|---|
Visor | Ver, buscar, crear, actualizar y compartir datos y gráficos |
Administrador | Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics. |
Centro de socios
Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte. |
Editor | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Operador | |
Administrador | Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. |
Centro de socios - Vender
Puede dar acceso a los usuarios para incorporar, validar y publicar productos.
Roles | Acciones |
---|---|
Administrador | Crear, editar, validar y publicar productos |
Editor | Validar y editar productos |
Aprobador | Aprueba o rechaza la tarea de una instancia de flujo de trabajo |
Proyectos
Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).
Roles | Acciones |
---|---|
Visor | Ver detalles sobre proyectos, configuraciones y despliegues. |
Operador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración |
Editor | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos |
Administrador | Ver detalles sobre proyectos, configuraciones y despliegues
Validar una configuración Editar una configuración Crear un proyecto Editar un proyecto Suprimir un proyecto Crear una configuración Descartar un borrador de configuración Desplegar cambios de configuración Destruir recursos. Forzar la aprobación de cambios que han fallado la validación |
Security and Compliance Center
Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.
Roles | Acciones |
---|---|
Visor | Ver perfiles y archivos adjuntos disponibles
Ver recursos creados, como ámbitos, credenciales o reglas Ver la configuración global del servicio |
Operador | Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales
Crear un registro de auditoría para supervisar la actividad de conformidad |
Editor | Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores
Actualizar los valores de parámetros de un objetivo Crear, actualizar o suprimir reglas y plantillas Editar valores de administración global para el servicio |
Administrador | Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios. |
Gestor | Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio. |
Lector | Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio. |
Writer | Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio. |
Instancia de software
Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.
Roles | Acciones |
---|---|
Visor | Ver la página de detalles de instancia de software |
Operador | Actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Editor | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software |
Administrador | Crear, suprimir, actualizar una instancia de software
Ver la página de detalles de la instancia de software Ver los registros de la instancia de software Asignar permisos IAM |
Centro de soporte
Puede otorgar a los usuarios acceso para gestionar casos de soporte.
Roles | Acciones |
---|---|
Visor | Ver casos
Buscar casos |
Operador | No aplicable |
Editor | Ver casos
Buscar casos Actualizar casos Crear casos |
Administrador | Ver casos
Buscar casos Actualizar casos Crear casos |
Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.
Gestión de usuarios
Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.
Roles | Acciones |
---|---|
Visor | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Operador | Ver usuarios en la cuenta
Ver valores de perfil de usuario |
Editor | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
Administrador | Ver, invitar, eliminar y actualizar usuarios de la cuenta
Ver y actualizar valores del perfil de usuario |
El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.
Activity Tracker Event Routing
Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.
Roles | Acciones |
---|---|
Visor | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Operador | Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. |
Editor | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing. |
Administrador | Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta. |