IBM Cloud Docs
Asignación de acceso a los servicios de gestión de cuentas

Asignación de acceso a los servicios de gestión de cuentas

Como propietario de cuenta o administrador de un servicio de gestión de cuentas, puede otorgar a los usuarios acceso para que invitar usuarios a la cuenta, realizar un seguimiento de la facturación y del uso y trabajar con casos de soporte. Los usuarios con políticas de acceso de gestión de cuentas también pueden gestionar ID de servicio, políticas de acceso, entradas de catálogo, grupos de acceso, recursos para el servicio Security and Compliance Center y trabajar con restricciones basadas en contexto.

Asignación del acceso en la consola

Para asignar acceso a uno o a todos los servicios de gestión de cuentas, siga los pasos siguientes:

  1. En la consola de IBM Cloud®, pulse Gestionar > Acceso (IAM) y seleccione Usuarios.
  2. Haga clic en el usuario al que desea asignar acceso y, a continuación, vaya a Acceso > Asignar acceso.
  3. Para el servicio, seleccione Todos los servicios de gestión de cuentas o seleccione un servicio de gestión de cuentas específico. A continuación, pulse Siguiente.
  4. Limite el acceso a Todos los recursos o a Recursos específicos. A continuación, pulse Siguiente.
  5. Seleccione la combinación que desee de roles o permisos y pulse Revisar.
  6. Pulse Añadir para añadir la configuración de política a su resumen de políticas.
  7. Pulse Asignar.

Para otorgar acceso completo a la cuenta a otro usuario con el fin de gestionar accesos de usuario y todos los recursos de la cuenta habilitados para IAM, debe asignar dos políticas. Para crear la primera política, seleccione Todos los servicios habilitados para Identidad y Acceso con el rol de plataforma Administrador y el rol de servicio Gerente. Para crear la segunda política, seleccione Todos los servicios de gestión de cuentas con el rol de Administrador asignado.

Los usuarios con el rol de administrador para los servicios de gestión de cuentas pueden cambiar el acceso de otros usuarios y eliminar usuarios de la cuenta, incluidos otros usuarios con el rol de administrador.

Acciones y roles para los servicios de gestión de cuentas

En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.

Todos los servicios de gestión de cuentas

Para proporcionar rápidamente a los usuarios una amplia gama de acceso a la gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.

Otorgue a los usuarios acceso al grupo de Todos los servicios de gestión de cuentas para que puedan trabajar con los servicios siguientes:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
  • Facturación
  • Gestión de catálogos
  • Restricciones basadas en contexto
  • Enterprise
  • Catálogo global
  • Valores de IBM Cloud Shell
  • Licencia y titularidad
  • Centro de socios
  • Centro de socios - Vender
  • Proyectos
  • Security and Compliance Center
  • Instancia de software
  • Centro de soporte
Funciones y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas
Roles Acciones
Visor Todas las acciones del rol de visor para los servicios de gestión de cuentas
Operador Todas las acciones del rol de operador para los servicios de gestión de cuentas
Editor Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos
Administrador Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos

Todos los servicios de gestión de cuentas de IAM

Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso al grupo de Todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los servicios siguientes:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
Roles y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas IAM
Roles Acciones
Visor Todas las acciones de rol de visor para servicios de IAM
Operador Todas las acciones de rol de operador para servicios de IAM
Editor Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos
Administrador Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos
Creador de claves de API de usuario Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada
Creador de ID de servicio Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada
Administrador de plantillas Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz.
Administrador de asignaciones de plantillas Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz.

Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.

Facturación

Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.

Roles y acciones de ejemplo para el servicio de Facturación
Roles Acciones
Visor Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver nombre de cuenta

Ver balances de suscripción y realizar un seguimiento del uso

Operador Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver y cambiar el nombre de cuenta

Editor Ver y actualizar los valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y de característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Administrador Ver y actualizar valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Crear una empresa

Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.

Gestión de catálogos

Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.

Funciones y acciones de ejemplo para el servicio de gestión de catálogos
Roles Acciones
Visor Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud

Ver catálogos privados

Operador Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Editor Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Administrador Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud

Crear, actualizar y suprimir catálogos privados

Publicar productos aprobados por IBM

Asignar políticas de acceso

Publicador Publicar productos aprobados por IBM desde un catálogo privado

Restricciones basadas en contexto

Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.

El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.

Roles y acciones de ejemplo para el servicio de restricciones basadas en contexto
Roles Acciones
Visor Ver zonas de red
Editor Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Administrador Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Enterprise

Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.

Roles y acciones de ejemplo para el servicio Enterprise
Roles Acciones
Visor Ver la empresa, los grupos de cuentas y las cuentas
Operador No aplicable
Editor Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas.
Administrador Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso
Visor de informes de uso Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa.

Catálogo global

Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.

Funciones y acciones de ejemplo para el servicio de Catálogo Global
Roles Acciones
Visor Ver servicios privados
Operador Ver servicios privados
Editor Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados
Administrador Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público

Grupos de acceso de IAM

Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.

Funciones y acciones de ejemplo para el servicio de grupos de acceso de IAM
Roles Acciones
Visor Ver miembros y grupos de acceso
Operador No aplicable
Editor Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios de grupos

Administrador Ver, crear, editar y eliminar grupos

Añadir o eliminar usuarios, incluidos otros administradores

Asignar acceso a un grupo

Gestionar el acceso para trabajar con grupos de acceso

Habilitar o deshabilitar el acceso público a los recursos a nivel de cuenta

Servicio de gestión de acceso de IAM

Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.

Roles y acciones de ejemplo para el servicio IAM Access Management
Roles Acciones
Visor Ver políticas de acceso y roles personalizados
Operador Ver políticas de acceso y roles personalizados
Editor Ver y editar roles personalizados

Ver información de IAM, políticas y valores

Administrador Ver, crear, editar y suprimir roles personalizados

Ver y actualizar valores de IAM

Asignar acceso a un grupo

Ver, crear, editar y suprimir políticas de acceso

Gestión de roles

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta. Servicio hijo del servicio de gestión de acceso de IAM.

Roles y acciones de ejemplo para el servicio de gestión de roles
Roles Acciones
Visor Ver roles personalizados
Operador No aplicable
Editor Editar y actualizar roles personalizados en una cuenta
Administrador Crear, editar, actualizar y suprimir roles personalizados en una cuenta

Servicio de identidad IAM

Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.

Funciones y acciones de ejemplo para el servicio de identidad IAM
Roles Acciones
Visor Ver ID
Operador Crear y suprimir los ID y las claves de API

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Suprimir perfiles de confianza

Editor Crear y actualizar ID y claves API

Ver y actualizar IdPs

Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario

Actualizar perfiles de confianza

Administrador Crear, actualizar y suprimir los ID y las claves de API

Asignar políticas de acceso a los ID

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Crear perfiles de confianza

Creador de claves de API de usuario Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API.
Creador de ID de servicio Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio.

Valores de IBM Cloud Shell

Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.

Roles y acciones de ejemplo para el servicio IBM Cloud Shell
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor No aplicable
Administrador Ver y actualizar valores de IBM Cloud Shell
Operador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud.
Desarrollador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada).
File Manager Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas).

Licencia y titularidad

Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.

Roles y acciones de ejemplo para el servicio de licencia y titularidad
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido.
Administrador Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta.

Platform Analytics

Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.

Roles y acciones de ejemplo para el servicio Platform Analytics
Roles Acciones
Visor Ver, buscar, crear, actualizar y compartir datos y gráficos
Administrador Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics.

Centro de socios

Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.

Funciones y ejemplos de acciones para el servicio del Centro de Socios
Roles Acciones
Visor Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte.
Editor Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.
Operador
Administrador Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.

Centro de socios - Vender

Puede dar acceso a los usuarios para incorporar, validar y publicar productos.

Funciones y ejemplos de acciones para el servicio Centro de Socios - Vender
Roles Acciones
Administrador Crear, editar, validar y publicar productos
Editor Validar y editar productos
Aprobador Aprueba o rechaza la tarea de una instancia de flujo de trabajo

Proyectos

Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).

Roles y acciones de ejemplo para el servicio IBM Cloud Servicio de proyectos
Roles Acciones
Visor Ver detalles sobre proyectos, configuraciones y despliegues.
Operador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Editor Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos

Administrador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos.

Forzar la aprobación de cambios que han fallado la validación

Security and Compliance Center

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.

Roles y acciones de ejemplo para el servicio Security and Compliance Center
Roles Acciones
Visor Ver perfiles y archivos adjuntos disponibles

Ver recursos creados, como ámbitos, credenciales o reglas

Ver la configuración global del servicio

Operador Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales

Crear un registro de auditoría para supervisar la actividad de conformidad

Editor Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores

Actualizar los valores de parámetros de un objetivo

Crear, actualizar o suprimir reglas y plantillas

Editar valores de administración global para el servicio

Administrador Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios.
Gestor Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio.
Lector Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio.
Writer Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio.

Instancia de software

Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.

Roles y acciones de ejemplo para el servicio de instancia de software
Roles Acciones
Visor Ver la página de detalles de instancia de software
Operador Actualizar una instancia de software

Ver la página de detalles de la instancia de software

Editor Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Administrador Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Ver los registros de la instancia de software

Asignar permisos IAM

Centro de soporte

Puede otorgar a los usuarios acceso para gestionar casos de soporte.

Roles y acciones de ejemplo para el servicio del centro de soporte
Roles Acciones
Visor Ver casos

Buscar casos

Operador No aplicable
Editor Ver casos

Buscar casos

Actualizar casos

Crear casos

Administrador Ver casos

Buscar casos

Actualizar casos

Crear casos

Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.

Gestión de usuarios

Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.

Roles y acciones de ejemplo para el servicio de gestión de usuarios
Roles Acciones
Visor Ver usuarios en la cuenta

Ver valores de perfil de usuario

Operador Ver usuarios en la cuenta

Ver valores de perfil de usuario

Editor Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

Administrador Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.

Activity Tracker Event Routing

Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.

Roles y acciones de ejemplo para el servicio Activity Tracker Event Routing
Roles Acciones
Visor Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Operador Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Editor Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Administrador Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.

Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta.

Nombres de servicios de gestión de cuentas

Si está asignando acceso utilizando la CLI o la API, los servicios de gestión de cuentas utilizan los siguientes atributos y valores:

Nombres de servicios de gestión de cuentas
Servicio de gestión de cuentas Atributo y valor
Todos los servicios de gestión de cuentas serviceType=platform_service
Todos los servicios de gestión de cuentas de IAM service_group_id=IAM
Facturación serviceName=billing
Gestión de catálogos serviceName=globalcatalog-collection
Restricciones basadas en contexto serviceName=context-based-restrictions
Enterprise serviceName=enterprise
Catálogo global serviceName=globalcatalog
Servicio de grupos de acceso de IAM serviceName=iam-groups
Servicio de identidad IAM serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
Licencia y titularidad serviceName=entitlement
Proyectos serviceName=project
Gestión de roles serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
Centro de soporte serviceName=support
Gestión de usuarios serviceName=user-management

Asignación de acceso mediante la API

El siguiente ejemplo asigna una política con el rol de Administrador en el servicio de gestión de cuentas de grupos de acceso de IAM.

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "iam-groups"
        }
      ]
    }
  ]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceName")
        .value("iam-groups")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceNameResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);
const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
  name: 'serviceName',
  value: 'iam-groups',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });
policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_name_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceName"),
  Value:    core.StringPtr("iam-groups"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceNameResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

El siguiente ejemplo asigna una política con el rol de Administrador en todos los servicios de Gestión de Cuenta.

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceType",
          "value": "platform-service"
        }
      ]
    }
  ]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceType")
        .value("platform-service")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceTypeResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);
const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
  name: 'serviceType',
  value: 'platform-service',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });
policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceType', value='platform-service')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_type_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceType"),
  Value:    core.StringPtr("platform-service"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceTypeResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

Acciones y roles para los servicios de gestión de cuentas

En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.

Todos los servicios de gestión de cuentas

Para proporcionar rápidamente a los usuarios una amplia gama de acceso a la gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.

El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
  • Facturación
  • Gestión de catálogos
  • Restricciones basadas en contexto
  • Enterprise
  • Catálogo global
  • Valores de IBM Cloud Shell
  • Licencia y titularidad
  • Centro de socios
  • Centro de socios - Vender
  • Proyectos
  • Security and Compliance Center
  • Instancia de software
  • Centro de soporte
Funciones y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas
Roles Acciones Valor role_ID
Visor Todas las acciones del rol de visor para los servicios de gestión de cuentas crn:v1:bluemix:public:iam::::role:Viewer
Operador Todas las acciones del rol de operador para los servicios de gestión de cuentas crn:v1:bluemix:public:iam::::role:Operator
Editor Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos crn:v1:bluemix:public:iam::::role:Editor
Administrador Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos crn:v1:bluemix:public:iam::::role:Administrator

Todos los servicios de gestión de cuentas de IAM

Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
Roles y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas IAM
Roles Acciones Valor role_ID
Visor Todas las acciones de rol de visor para servicios de IAM crn:v1:bluemix:public:iam::::role:Viewer
Operador Todas las acciones de rol de operador para servicios de IAM crn:v1:bluemix:public:iam::::role:Operator
Editor Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos crn:v1:bluemix:public:iam::::role:Editor
Administrador Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos crn:v1:bluemix:public:iam::::role:Administrator
Creador de claves de API de usuario Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
Creador de ID de servicio Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator
Administrador de plantillas Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz. crn:v1:bluemix:public:iam::::role:TemplateAdministrator
Administrador de asignaciones de plantillas Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz. crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator

Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.

Facturación

Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.

Roles y acciones de ejemplo para el servicio de Facturación
Roles Acciones Valor role_ID
Visor Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver nombre de cuenta

Ver balances de suscripción y realizar un seguimiento del uso

crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver y cambiar el nombre de cuenta

crn:v1:bluemix:public:iam::::role:Operator
Editor Ver y actualizar los valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y de característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver y actualizar valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Crear una empresa

crn:v1:bluemix:public:iam::::role:Administrator

Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.

Gestión de catálogos

Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.

Funciones y acciones de ejemplo para el servicio de gestión de catálogos
Roles Acciones Valor role_ID
Visor Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud

Ver catálogos privados

crn:v1:bluemix:public:iam::::role:Viewer
Operador Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

crn:v1:bluemix:public:iam::::role:Operator
Editor Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

crn:v1:bluemix:public:iam::::role:Editor
Administrador Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud

Crear, actualizar y suprimir catálogos privados

Publicar productos aprobados por IBM

Asignar políticas de acceso

crn:v1:bluemix:public:iam::::role:Administrator
Publicador Publicar productos aprobados por IBM desde un catálogo privado crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter

Restricciones basadas en contexto

Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.

El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.

Roles y acciones de ejemplo para el servicio de restricciones basadas en contexto
Roles Acciones Valor role_ID
Visor Ver zonas de red crn:v1:bluemix:public:iam::::role:Viewer
Editor Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

crn:v1:bluemix:public:iam::::role:Administrator

Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar restricciones basadas en contexto y zonas de red.

Enterprise

Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.

Roles y acciones de ejemplo para el servicio Enterprise
Roles Acciones Valor role_ID
Visor Ver la empresa, los grupos de cuentas y las cuentas crn:v1:bluemix:public:iam::::role:Viewer
Operador No aplicable
Editor Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas. crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso crn:v1:bluemix:public:iam::::role:Administrator
Visor de informes de uso Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa. crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer

Catálogo global

Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.

Funciones y acciones de ejemplo para el servicio de Catálogo Global
Roles Acciones Valor role_ID
Visor Ver servicios privados crn:v1:bluemix:public:iam::::role:Viewer
Operador No aplicable crn:v1:bluemix:public:iam::::role:Operator
Editor Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados crn:v1:bluemix:public:iam::::role:Editor
Administrador Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público crn:v1:bluemix:public:iam::::role:Administrator

Grupos de acceso de IAM

Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.

Funciones y acciones de ejemplo para el servicio de grupos de acceso de IAM
Roles Acciones Valor role_ID
Visor Ver miembros y grupos de acceso crn:v1:bluemix:public:iam::::role:Viewer
Operador No aplicable
Editor Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios de grupos

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios

Asignar acceso a un grupo

Gestionar acceso para trabajar con grupos de acceso

Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta

crn:v1:bluemix:public:iam::::role:Administrator

Servicio de gestión de acceso de IAM

Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.

Roles y acciones de ejemplo para el servicio IAM Access Management
Roles Acciones Valor role_ID
Visor Ver políticas de acceso y roles personalizados crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver políticas de acceso y roles personalizados crn:v1:bluemix:public:iam::::role:Operator
Editor Ver y editar roles personalizados

Ver información de IAM, políticas y valores

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver, crear, editar y suprimir roles personalizados

Ver y actualizar valores de IAM

Asignar acceso a un grupo

Ver, crear, editar y suprimir políticas de acceso

crn:v1:bluemix:public:iam::::role:Administrator

Gestión de roles

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.

Funciones y acciones de ejemplo para el servicio de gestión de acceso
Roles Acciones Valor role_ID
Visor Ver roles personalizados crn:v1:bluemix:public:iam::::role:Viewer
Operador No aplicable
Editor Editar y actualizar roles personalizados en una cuenta crn:v1:bluemix:public:iam::::role:Editor
Administrador Crear, editar, actualizar y suprimir roles personalizados en una cuenta crn:v1:bluemix:public:iam::::role:Administrator

Servicio de identidad IAM

Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.

Funciones y acciones de ejemplo para el servicio de identidad IAM
Roles Acciones Valor role_ID
Visor Ver ID crn:v1:bluemix:public:iam::::role:Viewer
Operador Crear y suprimir los ID y las claves de API

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Suprimir perfiles de confianza

crn:v1:bluemix:public:iam::::role:Operator
Editor Crear y actualizar ID y claves API

Ver y actualizar IdPs

Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario

Actualizar perfiles de confianza

crn:v1:bluemix:public:iam::::role:Editor
Administrador Crear, actualizar y suprimir los ID y las claves de API

Asignar políticas de acceso a los ID

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Crear perfiles de confianza

crn:v1:bluemix:public:iam::::role:Administrator
Creador de claves de API de usuario Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API. crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
Creador de ID de servicio Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio. crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator

Valores de IBM Cloud Shell

Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.

Roles y acciones de ejemplo para el servicio IBM Cloud Shell
Roles Acciones Valor role_ID
Visor No aplicable
Operador No aplicable
Editor No aplicable
Administrador Ver y actualizar valores de IBM Cloud Shell crn:v1:bluemix:public:iam::::role:Administrator
Operador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud. crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator
Desarrollador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada). crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper
File Manager Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas). crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager

Licencia y titularidad

Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.

Roles y acciones de ejemplo para el servicio de licencia y titularidad
Roles Acciones Valor role_ID
Visor No aplicable
Operador No aplicable
Editor Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido. crn:v1:bluemix:public:iam::::role:Editor
Administrador Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta. crn:v1:bluemix:public:iam::::role:Administrator

Platform Analytics

Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.

Roles y acciones de ejemplo para el servicio Platform Analytics
Roles Acciones Valor role_ID
Visor Ver, buscar, crear, actualizar y compartir datos y gráficos crn:v1:bluemix:public:iam::::role:Viewer
Administrador Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics. crn:v1:bluemix:public:iam::::role:Administrator

Centro de socios

Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.

Funciones y ejemplos de acciones para el servicio del Centro de Socios
Roles Acciones Valor role_ID
Visor Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte. crn:v1:bluemix:public:iam::::role:Viewer
Editor Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. crn:v1:bluemix:public:iam::::role:Editor
Operador
Administrador Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte. crn:v1:bluemix:public:iam::::role:Administrator

Centro de socios - Vender

Puede dar acceso a los usuarios para incorporar, validar y publicar productos.

Funciones y ejemplos de acciones para el servicio Centro de Socios - Vender
Roles Acciones Valor role_ID
Administrador Crear, editar, validar y publicar productos
Editor Validar y editar productos crn:v1:bluemix:public:iam::::role:Editor
Aprobador Aprueba o rechaza la tarea de una instancia de flujo de trabajo crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover

Proyectos

Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).

Roles y acciones de ejemplo para el servicio IBM Cloud Servicio de proyectos
Roles Acciones Valor role_ID
Visor Ver detalles sobre proyectos, configuraciones y despliegues. crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

crn:v1:bluemix:public:iam::::role:Operator
Editor Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos.

Forzar la aprobación de cambios que han fallado la validación

crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.

Roles y acciones de ejemplo para el servicio Security and Compliance Center
Roles Acciones Valor role_ID
Visor Ver perfiles y archivos adjuntos disponibles

Ver recursos creados, como ámbitos, credenciales o reglas

Ver la configuración global del servicio

crn:v1:bluemix:public:iam::::role:Viewer
Operador Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales

Crear un registro de auditoría para supervisar la actividad de conformidad

crn:v1:bluemix:public:iam::::role:Operator
Editor Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores

Actualizar los valores de parámetros de un objetivo

Crear, actualizar o suprimir reglas y plantillas

Editar valores de administración global para el servicio

crn:v1:bluemix:public:iam::::role:Editor
Administrador Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios. crn:v1:bluemix:public:iam::::role:Administrator
Gestor Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio. crn:v1:bluemix:public:iam::::serviceRole:Manager
Lector Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio. crn:v1:bluemix:public:iam::::serviceRole:Reader
Writer Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio. crn:v1:bluemix:public:iam::::serviceRole:Writer

Instancia de software

Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.

Roles y acciones de ejemplo para el servicio de instancia de software
Roles Acciones Valor role_ID
Visor Ver la página de detalles de instancia de software crn:v1:bluemix:public:iam::::role:Viewer
Operador Actualizar una instancia de software

Ver la página de detalles de la instancia de software

crn:v1:bluemix:public:iam::::role:Operator
Editor Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

crn:v1:bluemix:public:iam::::role:Editor
Administrador Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Ver los registros de la instancia de software

Asignar permisos IAM

crn:v1:bluemix:public:iam::::role:Administrator

Centro de soporte

Puede otorgar a los usuarios acceso para gestionar casos de soporte.

Roles y acciones de ejemplo para el servicio del centro de soporte
Roles Acciones Valor role_ID
Visor Ver casos

Buscar casos

crn:v1:bluemix:public:iam::::role:Viewer
Operador No aplicable crn:v1:bluemix:public:iam::::role:Operator
Editor Ver casos

Buscar casos

Actualizar casos

Crear casos

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver casos

Buscar casos

Actualizar casos

Crear casos

crn:v1:bluemix:public:iam::::role:Administrator

Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de la lista de usuarios está establecida en restringida, la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo puede estar limitada.

Gestión de usuarios

Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.

Roles y acciones de ejemplo para el servicio de gestión de usuarios
Roles Acciones Valor role_ID
Visor Ver usuarios en la cuenta

Ver valores de perfil de usuario

crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver usuarios en la cuenta

Ver valores de perfil de usuario

crn:v1:bluemix:public:iam::::role:Operator
Editor Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

crn:v1:bluemix:public:iam::::role:Administrator

El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.

Activity Tracker Event Routing

Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.

Roles y acciones de ejemplo para el servicio Activity Tracker Event Routing
Roles Acciones Valor role_ID
Visor Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos. crn:v1:bluemix:public:iam::::role:Operator
Editor Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing. crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.

Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta.

crn:v1:bluemix:public:iam::::role:Administrator

Nombres de servicios de gestión de cuentas

Si está asignando acceso utilizando la CLI o la API, los servicios de gestión de cuentas utilizan los siguientes atributos y valores:

Nombres de servicios de gestión de cuentas
Servicio de gestión de cuentas Atributo y valor
Todos los servicios de gestión de cuentas serviceType=platform_service
Todos los servicios de gestión de cuentas de IAM service_group_id=IAM
Facturación serviceName=billing
Gestión de catálogos serviceName=globalcatalog-collection
Restricciones basadas en contexto serviceName=context-based-restrictions
Enterprise serviceName=enterprise
Catálogo global serviceName=globalcatalog
Servicio de grupos de acceso de IAM serviceName=iam-groups
Servicio de identidad IAM serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
Licencia y titularidad serviceName=entitlement
Proyectos serviceName=project
Gestión de roles serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
Centro de soporte serviceName=support
Gestión de usuarios serviceName=user-management

Asignación de acceso mediante la CLI

Para asignar acceso, ejecute el mandato user-policy-create. Para obtener más información, consulte ibmcloud iam user-policy-create. El siguiente mandato de ejemplo asigna una política con el rol de creador de claves de la API de usuario para el servicio de gestión de cuentas de identidad de IAM.

ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity

Para ver los nombres de servicio que debe utilizar en el mandato de CLI para cada servicio de gestión de cuentas, consulte la Tabla 1. Sin embargo, para una política sobre todos los servicios de gestión de cuentas en la CLI, utilice --account-management en lugar de --service-name SERVICE_NAME. Para los roles que tienen más de una palabra, utilice el nombre de visualización con comillas.

El siguiente comando de ejemplo asigna una política con el rol de Administrador para todos los servicios de Gestión de Cuenta.

ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service

Acciones y roles para los servicios de gestión de cuentas

En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.

Todos los servicios de gestión de cuentas

Para proporcionar rápidamente a los usuarios un amplio conjunto de acceso de gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.

El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
  • Facturación
  • Gestión de catálogos
  • Restricciones basadas en contexto
  • Enterprise
  • Catálogo global
  • Valores de IBM Cloud Shell
  • Licencia y titularidad
  • Centro de socios
  • Centro de socios - Vender
  • Proyectos
  • Security and Compliance Center
  • Instancia de software
  • Centro de soporte
Funciones y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas
Roles Acciones
Visor Todas las acciones del rol de visor para los servicios de gestión de cuentas
Operador Todas las acciones del rol de operador para los servicios de gestión de cuentas
Editor Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos
Administrador Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos

Todos los servicios de gestión de cuentas de IAM

Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
Roles y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas IAM
Roles Acciones
Visor Todas las acciones de rol de visor para servicios de IAM
Operador Todas las acciones de rol de operador para servicios de IAM
Editor Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos
Administrador Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos
Creador de claves de API de usuario Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada
Creador de ID de servicio Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada
Administrador de plantillas Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz.
Administrador de asignaciones de plantillas Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz.

Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.

Facturación

Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.

Roles y acciones de ejemplo para el servicio de Facturación
Roles Acciones
Visor Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver nombre de cuenta

Ver balances de suscripción y realizar un seguimiento del uso

Operador Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver y cambiar el nombre de cuenta

Editor Ver y actualizar los valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y de característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Administrador Ver y actualizar valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Crear una empresa

Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.

Gestión de catálogos

Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.

Funciones y acciones de ejemplo para el servicio de gestión de catálogos
Roles Acciones
Visor Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud

Ver catálogos privados

Operador Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Editor Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Administrador Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud

Crear, actualizar y suprimir catálogos privados

Publicar productos aprobados por IBM

Asignar políticas de acceso

Publicador Publicar productos aprobados por IBM desde un catálogo privado

Restricciones basadas en contexto

Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.

El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.

Roles y acciones de ejemplo para el servicio de restricciones basadas en contexto
Roles Acciones
Visor Ver zonas de red
Editor Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Administrador Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Enterprise

Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.

Roles y acciones de ejemplo para el servicio Enterprise
Roles Acciones
Visor Ver la empresa, los grupos de cuentas y las cuentas
Operador No aplicable
Editor Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas.
Administrador Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso
Visor de informes de uso Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa.

Catálogo global

Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.

Funciones y acciones de ejemplo para el servicio de Catálogo Global
Roles Acciones
Visor Ver servicios privados
Operador No aplicable
Editor Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados
Administrador Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público

Grupos de acceso de IAM

Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.

Funciones y acciones de ejemplo para el servicio de grupos de acceso de IAM
Roles Acciones
Visor Ver miembros y grupos de acceso
Operador No aplicable
Editor Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios de grupos

Administrador Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios

Asignar acceso a un grupo

Gestionar acceso para trabajar con grupos de acceso

Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta

Servicio de gestión de acceso de IAM

Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.

Roles y acciones de ejemplo para el servicio IAM Access Management
Roles Acciones
Visor Ver políticas de acceso y roles personalizados
Operador Ver políticas de acceso y roles personalizados
Editor Ver y editar roles personalizados

Ver información de IAM, políticas y valores

Administrador Ver, crear, editar y suprimir roles personalizados

Ver y actualizar valores de IAM

Asignar acceso a un grupo

Ver, crear, editar y suprimir políticas de acceso

Gestión de roles

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.

Funciones y acciones de ejemplo para el servicio de gestión de acceso
Roles Acciones
Visor Ver roles personalizados
Operador No aplicable
Editor Editar y actualizar roles personalizados en una cuenta
Administrador Crear, editar, actualizar y suprimir roles personalizados en una cuenta

Servicio de identidad IAM

Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.

Funciones y acciones de ejemplo para el servicio de identidad IAM
Roles Acciones
Visor Ver ID
Operador Crear y suprimir los ID y las claves de API

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Suprimir perfiles de confianza

Editor Crear y actualizar ID y claves API

Ver y actualizar IdPs

Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario

Actualizar perfiles de confianza

Administrador Crear, actualizar y suprimir los ID y las claves de API

Asignar políticas de acceso a los ID

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Crear perfiles de confianza

Creador de claves de API de usuario Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API.
Creador de ID de servicio Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio.

Valores de IBM Cloud Shell

Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.

Roles y acciones de ejemplo para el servicio IBM Cloud Shell
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor No aplicable
Administrador Ver y actualizar valores de IBM Cloud Shell
Operador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud.
Desarrollador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada).
File Manager Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas).

Licencia y titularidad

Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.

Roles y acciones de ejemplo para el servicio de licencia y titularidad
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido.
Administrador Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta.

Platform Analytics

Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.

Roles y acciones de ejemplo para el servicio Platform Analytics
Roles Acciones
Visor Ver, buscar, crear, actualizar y compartir datos y gráficos
Administrador Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics.

Centro de socios

Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.

Funciones y ejemplos de acciones para el servicio del Centro de Socios
Roles Acciones
Visor Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte.
Editor Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.
Operador
Administrador Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.

Centro de socios - Vender

Puede dar acceso a los usuarios para incorporar, validar y publicar productos.

Funciones y ejemplos de acciones para el servicio Centro de Socios - Vender
Roles Acciones
Administrador Crear, editar, validar y publicar productos
Editor Validar y editar productos
Aprobador Aprueba o rechaza la tarea de una instancia de flujo de trabajo

Proyectos

Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).

Roles y acciones de ejemplo para el servicio IBM Cloud Servicio de proyectos
Roles Acciones Valor role_ID
Visor Ver detalles sobre proyectos, configuraciones y despliegues. crn:v1:bluemix:public:iam::::role:Viewer
Operador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

crn:v1:bluemix:public:iam::::role:Operator
Editor Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos

crn:v1:bluemix:public:iam::::role:Editor
Administrador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos.

Forzar la aprobación de cambios que han fallado la validación

crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.

Roles y acciones de ejemplo para el servicio Security and Compliance Center
Roles Acciones
Visor Ver perfiles y archivos adjuntos disponibles

Ver recursos creados, como ámbitos, credenciales o reglas

Ver la configuración global del servicio

Operador Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales

Crear un registro de auditoría para supervisar la actividad de conformidad

Editor Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores

Actualizar los valores de parámetros de un objetivo

Crear, actualizar o suprimir reglas y plantillas

Editar valores de administración global para el servicio

Administrador Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios.
Gestor Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio.
Lector Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio.
Writer Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio.

Instancia de software

Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.

Roles y acciones de ejemplo para el servicio de instancia de software
Roles Acciones
Visor Ver la página de detalles de instancia de software
Operador Actualizar una instancia de software

Ver la página de detalles de la instancia de software

Editor Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Administrador Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Ver los registros de la instancia de software

Asignar permisos IAM

Centro de soporte

Puede otorgar a los usuarios acceso para gestionar casos de soporte.

Roles y acciones de ejemplo para el servicio del centro de soporte
Roles Acciones
Visor Ver casos

Buscar casos

Operador No aplicable
Editor Ver casos

Buscar casos

Actualizar casos

Crear casos

Administrador Ver casos

Buscar casos

Actualizar casos

Crear casos

Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.

Gestión de usuarios

Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.

Roles y acciones de ejemplo para el servicio de gestión de usuarios
Roles Acciones
Visor Ver usuarios en la cuenta

Ver valores de perfil de usuario

Operador Ver usuarios en la cuenta

Ver valores de perfil de usuario

Editor Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

Administrador Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.

Activity Tracker Event Routing

Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.

Roles y acciones de ejemplo para el servicio Activity Tracker Event Routing
Roles Acciones
Visor Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Operador Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Editor Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Administrador Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.

Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta.

Asignación de acceso utilizando Terraform

Antes de poder asignar acceso utilizando Terraform, asegúrese de que ha completado lo siguiente:

  • Instale la CLI de Terraform y configure el plugin de proveedor de IBM Cloud para Terraform. Para obtener más información, consulte la guía de aprendizaje de Iniciación a Terraform en IBM Cloud®. El plug-in abstrae las API de IBM Cloud que se utilizan para completar esta tarea.
  • Cree un archivo de configuración de Terraform denominado main.tf. En este archivo, puede definir recursos utilizando HashiCorp Configuration Language. Para más información, consulte la documentación de Terraform.

Utilice los pasos siguientes para asignar acceso utilizando Terraform:

  1. Cree un argumento en el archivo main.tf. El siguiente ejemplo asigna una política con el rol de administrador de políticas ( Viewer ) en el servicio de gestión de cuentas de grupos de acceso de IAM.

    resource "ibm_iam_access_group" "accgrp" {
     name = "test"
    }
    
    resource "ibm_iam_access_group_policy" "policy" {
     access_group_id = ibm_iam_access_group.accgrp.id
     roles           = ["Viewer"]
    }
    

    Puede especificar el ID del grupo de acceso en la opción access_group_id. Para obtener más información, consulte los detalles de referencia de argumentos en la página de Terraform(Identity and Access Management, IAM ).

  2. Después de terminar de crear el archivo de configuración, inicialice la CLI de Terraform. Para obtener más información, consulte Inicialización de directorios de trabajo.

    terraform init
    
  3. Suministre los recursos desde el archivo main.tf. Para obtener más información, consulte Infraestructura de suministro con Terraform.

    1. Ejecute terraform plan para generar un plan de ejecución de Terraform para obtener una vista previa de las acciones propuestas.

      terraform plan
      
    2. Ejecute terraform apply para crear los recursos definidos en el plan.

      terraform apply
      

Acciones y roles para los servicios de gestión de cuentas

En las tablas siguientes se indican las acciones que pueden realizar los usuarios cuando se les asigna un rol determinado para cada servicio de gestión de cuentas. Consulte la información para asegurarse de asignar el nivel de acceso correcto a los usuarios.

Todos los servicios de gestión de cuentas

Para proporcionar rápidamente a los usuarios un amplio conjunto de acceso de gestión de cuentas, puede asignar una política en todos los servicios de gestión de cuentas. Cuando a un usuario se le asigna un rol en Todos los servicios de gestión de cuentas, puede completar todas las acciones asociadas con dicho rol para cada servicio individual.

El grupo de Todos los servicios de gestión de cuentas incluye los servicios siguientes:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
  • Facturación
  • Gestión de catálogos
  • Restricciones basadas en contexto
  • Enterprise
  • Catálogo global
  • Valores de IBM Cloud Shell
  • Licencia y titularidad
  • Centro de socios
  • Centro de socios - Vender
  • Proyectos
  • Security and Compliance Center
  • Instancia de software
  • Centro de soporte
Funciones y ejemplos de acciones para una política de servicios de gestión de cuentas
Roles Acciones
Visor Todas las acciones del rol de visor para los servicios de gestión de cuentas
Operador Todas las acciones del rol de operador para los servicios de gestión de cuentas
Editor Todas las acciones del rol de editor para los servicios de gestión de cuentas y capacidad para crear grupos de recursos
Administrador Todas las acciones del rol de administrador los servicios de gestión de cuentas y capacidad para crear grupos de recursos

Todos los servicios de gestión de cuentas de IAM

Los servicios de Identity and Access Management (IAM) forman un subconjunto de todos los servicios de gestión de cuentas. Otorgue a los usuarios acceso a todos los servicios de gestión de cuentas de IAM para que puedan trabajar con los siguientes servicios:

  • Grupos de acceso de IAM
  • Servicio de identidad IAM
  • Gestión de acceso de IAM
    • Gestión de roles
  • Gestión de usuarios
Roles y acciones de ejemplo para una política sobre todos los servicios de gestión de cuentas IAM
Roles Acciones
Visor Todas las acciones de rol de visor para servicios de IAM
Operador Todas las acciones de rol de operador para servicios de IAM
Editor Todas las acciones de rol de editor para los servicios de IAM y la capacidad de crear grupos de recursos
Administrador Todas las acciones de rol de administrador para servicios IAM y la capacidad de crear grupos de recursos
Creador de claves de API de usuario Crear claves API cuando la configuración de la cuenta para restringir la creación de claves API está habilitada
Creador de ID de servicio Crear ID de servicio cuando la configuración de la cuenta para restringir la creación de ID de servicio está habilitada
Administrador de plantillas Cree plantillas de IAM empresariales para grupos de acceso, perfiles confiables, configuraciones de cuentas y políticas. Esta función está disponible solo en la cuenta empresarial raíz.
Administrador de asignaciones de plantillas Asigne plantillas de IAM empresariales a cuentas secundarias. Esta función está disponible solo en la cuenta empresarial raíz.

Algunos roles que puede asignar en una política para Todos los servicios de gestión de cuentas de IAM sólo afectan a determinados recursos. Por ejemplo, el rol Creador de ID de servicio es relevante sólo para el servicio de identidad de IAM.

Facturación

Puede proporcionar a los usuarios acceso para actualizar valores de cuenta, ver suscripciones, ver ofertas, aplicar códigos de suscripción y característica, actualizar límites de gasto, y realizar un seguimiento del uso utilizando el servicio de facturación.

Roles y acciones de ejemplo para el servicio de Facturación
Roles Acciones
Visor Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver nombre de cuenta

Ver balances de suscripción y realizar un seguimiento del uso

Operador Ver valores de característica de cuenta

Ver suscripciones en la cuenta

Ver y cambiar el nombre de cuenta

Editor Ver y actualizar los valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y de característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Administrador Ver y actualizar valores de característica de cuenta

Ver suscripciones en la cuenta

Ver ofertas en la cuenta

Ver y aplicar códigos de suscripción y característica

Ver y cambiar nombre de cuenta

Ver y actualizar límites de gasto

Establecer notificaciones de gasto

Ver balances de suscripción y realizar un seguimiento del uso

Crear una empresa

Es posible visualizar los balances de suscripción y uso desde la página Valores de cuenta, pero no puede ver la página Valores de cuenta con los roles de Visor ni Operador. Para acceder a la página Valores de cuenta y a la información de suscripción de dicha página, necesita el rol de Editor o uno superior.

Gestión de catálogos

Puede asignar a los usuarios acceso para ver catálogos privados y filtros de catálogos, crear catálogos privados, añadir software a catálogos privados y establecer filtros de catálogos.

Funciones y acciones de ejemplo para el servicio de gestión de catálogos
Roles Acciones
Visor Ver los filtros de nivel de cuenta establecidos para el catálogo de IBM Cloud

Ver catálogos privados

Operador Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Editor Crear catálogos privados

Establecer filtros para catálogos privados

Añadir y actualizar software

Ver filtros a nivel de cuenta

Administrador Establezca filtros a nivel de cuenta para el catálogo de IBM Cloud

Crear, actualizar y suprimir catálogos privados

Publicar productos aprobados por IBM

Asignar políticas de acceso

Publicador Publicar productos aprobados por IBM desde un catálogo privado

Restricciones basadas en contexto

Puede otorgar a los usuarios acceso para ver, crear, actualizar y eliminar zonas de red. Para crear una regla de restricción basada en contexto para un servicio, debe tener asignada una política de IAM con el rol de administrador para el que está creando una regla. Por ejemplo, si desea crear una regla para proteger una instancia de Key Protect, debe tener asignado el rol de administrador en el servicio Key Protect y el rol de visor o superior en el servicio Restricciones basadas en contexto.

El rol de Visor en el servicio de restricciones basadas en contexto le permite añadir zonas de red a la regla.

Roles y acciones de ejemplo para el servicio de restricciones basadas en contexto
Roles Acciones
Visor Ver zonas de red
Editor Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Administrador Ver zonas de red

Crear zonas de red

Actualizar zonas de red

Eliminar zonas de red

Enterprise

Puede utilizar el servicio Enterprise para asignar a los usuarios acceso para gestionar una empresa mediante la creación de cuentas dentro de la empresa, la asignación de cuentas a grupos de cuentas, la denominación de grupos de cuentas, etc. Este tipo de política solo funciona si está asignada dentro de la cuenta de empresa.

Roles y acciones de ejemplo para el servicio Enterprise
Roles Acciones
Visor Ver la empresa, los grupos de cuentas y las cuentas
Operador No aplicable
Editor Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, ver informes de uso e importar cuentas.
Administrador Ver y actualizar el nombre y el dominio de la empresa, crear cuentas y grupos de cuentas, mover cuentas de un grupo de cuentas a otro, importar cuentas existentes y ver informes de uso
Visor de informes de uso Ver la empresa, las cuentas y grupos de cuentas y ver los informes de uso de todas las cuentas de la empresa.

Catálogo global

Puede otorgar a los usuarios acceso para ver productos privados en el catálogo o cambiar la visibilidad de los productos privados de otros usuarios de la cuenta.

Funciones y acciones de ejemplo para el servicio de Catálogo Global
Roles Acciones
Visor Ver servicios privados
Operador No aplicable
Editor Cambiar los metadatos del objeto, pero no puede cambiar la visibilidad de los servicios privados
Administrador Cambiar los metadatos de objeto o la visibilidad de los servicios privados y restringir la visibilidad de un servicio público

Grupos de acceso de IAM

Puede otorgar a los usuarios acceso para ver, crear, editar y suprimir grupos de acceso en la cuenta utilizando el servicio de Grupos de acceso de IAM.

Funciones y acciones de ejemplo para el servicio de grupos de acceso de IAM
Roles Acciones
Visor Ver miembros y grupos de acceso
Operador No aplicable
Editor Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios de grupos

Administrador Ver, crear, editar y suprimir grupos

Añadir o eliminar usuarios

Asignar acceso a un grupo

Gestionar acceso para trabajar con grupos de acceso

Habilitar o inhabilitar el acceso público a recursos a nivel de cuenta

Servicio de gestión de acceso de IAM

Puede otorgar a los usuarios acceso para gestionar políticas de acceso y roles personalizados.

Roles y acciones de ejemplo para el servicio IAM Access Management
Roles Acciones
Visor Ver políticas de acceso y roles personalizados
Operador Ver políticas de acceso y roles personalizados
Editor Ver y editar roles personalizados

Ver información de IAM, políticas y valores

Administrador Ver, crear, editar y suprimir roles personalizados

Ver y actualizar valores de IAM

Asignar acceso a un grupo

Ver, crear, editar y suprimir políticas de acceso

Gestión de roles

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir roles personalizados para los servicios de la cuenta.

Funciones y acciones de ejemplo para el servicio de gestión de acceso
Roles Acciones
Visor Ver roles personalizados
Operador No aplicable
Editor Editar y actualizar roles personalizados en una cuenta
Administrador Crear, editar, actualizar y suprimir roles personalizados en una cuenta

Servicio de identidad IAM

Puede proporcionar acceso a los usuarios para gestionar los ID de servicio y los proveedores de identidades (IdP) utilizando el servicio de identidad IAM. Estas acciones se aplican a los ID de servicio e IdP dentro de la cuenta que el usuario no ha creado. Todos los usuarios pueden crear ID de servicio. Estos usuarios son el administrador de dichos ID y pueden crear las políticas de acceso y claves de API asociadas, pero solo los usuarios con el rol de operador y administrador pueden crear IdP. Este servicio de gestión de cuentas se aplica a la capacidad de ver, actualizar, suprimir y asignar acceso a los ID de servicio de la cuenta creada por otros usuarios.

Funciones y acciones de ejemplo para el servicio de identidad IAM
Roles Acciones
Visor Ver ID
Operador Crear y suprimir los ID y las claves de API

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Suprimir perfiles de confianza

Editor Crear y actualizar ID y claves API

Ver y actualizar IdPs

Actualizar la configuración de la cuenta IAM para los ID de servicio y la creación de claves API de usuario

Actualizar perfiles de confianza

Administrador Crear, actualizar y suprimir los ID y las claves de API

Asignar políticas de acceso a los ID

Ver, crear, actualizar y suprimir los IdP

Actualizar el valor de la cuenta IAM para los ID de servicio y la creación de claves de API de usuario

Crear perfiles de confianza

Creador de claves de API de usuario Puede crear claves de API cuando está habilitado el valor de la cuenta para restringir la creación de claves de API.
Creador de ID de servicio Puede crear ID de servicio cuando está habilitado el valor de la cuenta para restringir la creación del ID de servicio.

Valores de IBM Cloud Shell

Puede asignar a los usuarios acceso para ver y actualizar los valores de IBM Cloud Shell para la cuenta. Solo el propietario de la cuenta o un usuario con el rol de administrador de IBM Cloud Shell puede ver y actualizar los valores.

Roles y acciones de ejemplo para el servicio IBM Cloud Shell
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor No aplicable
Administrador Ver y actualizar valores de IBM Cloud Shell
Operador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud.
Desarrollador de nube Crear entornos de Cloud Shell para gestionar recursos de IBM Cloud y desarrollar aplicaciones para IBM Cloud (Vista previa web habilitada).
File Manager Crea entornos de Cloud Shell para gestionar recursos de IBM Cloud y gestionar archivos en el espacio de trabajo (carga de archivos y descarga de archivos habilitadas).

Licencia y titularidad

Puede asignar a los usuarios acceso para gestionar licencias y titularidades dentro de una cuenta. Cualquier miembro de una cuenta puede ver y utilizar la titularidad de una cuenta.

Roles y acciones de ejemplo para el servicio de licencia y titularidad
Roles Acciones
Visor No aplicable
Operador No aplicable
Editor Los editores pueden crear titularidades y ver, actualizar, enlazar o suprimir solo las titularidades que han adquirido.
Administrador Los administradores pueden crear titularidades y ver, actualizar, enlazar o suprimir cualquier titularidad de la cuenta.

Platform Analytics

Puede otorgar a los usuarios acceso para ver, crear y compartir gráficos de datos.

Roles y acciones de ejemplo para el servicio Platform Analytics
Roles Acciones
Visor Ver, buscar, crear, actualizar y compartir datos y gráficos
Administrador Vea, busque, cree, actualice y comparta datos y gráficos. Asignar acceso aPlatform Analytics.

Centro de socios

Puede proporcionar a los usuarios acceso para ver y editar detalles de perfil de socio, ofertas, vías rápidas y para crear y ver casos de soporte.

Funciones y ejemplos de acciones para el servicio del Centro de Socios
Roles Acciones
Visor Ver detalles sobre perfil de socio, ofertas, vías rápidas, casos de soporte.
Editor Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.
Operador
Administrador Ver y editar el perfil de socio, ofertas y vías rápidas. Crear, editar y ver casos de soporte.

Centro de socios - Vender

Puede dar acceso a los usuarios para incorporar, validar y publicar productos.

Funciones y ejemplos de acciones para el servicio Centro de Socios - Vender
Roles Acciones
Administrador Crear, editar, validar y publicar productos
Editor Validar y editar productos
Aprobador Aprueba o rechaza la tarea de una instancia de flujo de trabajo

Proyectos

Puede proporcionar a los usuarios acceso para configurar, validar y supervisar despliegues de infraestructura como código (IaC).

Roles y acciones de ejemplo para el servicio IBM Cloud Servicio de proyectos
Roles Acciones
Visor Ver detalles sobre proyectos, configuraciones y despliegues.
Operador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Editor Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos

Administrador Ver detalles sobre proyectos, configuraciones y despliegues

Validar una configuración

Editar una configuración

Crear un proyecto

Editar un proyecto

Suprimir un proyecto

Crear una configuración

Descartar un borrador de configuración

Desplegar cambios de configuración

Destruir recursos.

Forzar la aprobación de cambios que han fallado la validación

Security and Compliance Center

Puede otorgar a los usuarios acceso para crear, actualizar y suprimir recursos para el servicio de Security and Compliance Center en la cuenta para la que tiene asignado acceso.

Roles y acciones de ejemplo para el servicio Security and Compliance Center
Roles Acciones
Visor Ver perfiles y archivos adjuntos disponibles

Ver recursos creados, como ámbitos, credenciales o reglas

Ver la configuración global del servicio

Operador Acceda al panel de control Security and Compliance Center para ver la postura y los resultados actuales

Crear un registro de auditoría para supervisar la actividad de conformidad

Editor Crear, actualizar o suprimir objetos como alcances, credenciales y recopiladores

Actualizar los valores de parámetros de un objetivo

Crear, actualizar o suprimir reglas y plantillas

Editar valores de administración global para el servicio

Administrador Realizar todas las acciones de plataforma basadas en el recurso que se está asignando a este rol, incluida la asignación de políticas de acceso a otros usuarios.
Gestor Permisos que van más allá del rol de escritor para completar acciones privilegiadas definidas por el servicio. Además, puede crear y editar recursos específicos del servicio.
Lector Realizar acciones de solo lectura dentro de un servicio, como por ejemplo ver recursos específicos del servicio.
Writer Permisos que van más allá del rol de lector, incluida la creación y edición de recursos específicos de servicio.

Instancia de software

Puede otorgar a los usuarios acceso para crear, suprimir o actualizar una instancia de software. Y, puede otorgar acceso a los usuarios para ver la página de detalles y los registros de la instancia de software.

Roles y acciones de ejemplo para el servicio de instancia de software
Roles Acciones
Visor Ver la página de detalles de instancia de software
Operador Actualizar una instancia de software

Ver la página de detalles de la instancia de software

Editor Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Administrador Crear, suprimir, actualizar una instancia de software

Ver la página de detalles de la instancia de software

Ver los registros de la instancia de software

Asignar permisos IAM

Centro de soporte

Puede otorgar a los usuarios acceso para gestionar casos de soporte.

Roles y acciones de ejemplo para el servicio del centro de soporte
Roles Acciones
Visor Ver casos

Buscar casos

Operador No aplicable
Editor Ver casos

Buscar casos

Actualizar casos

Crear casos

Administrador Ver casos

Buscar casos

Actualizar casos

Crear casos

Asigne a los usuarios el rol de visor en el servicio de gestión de usuarios además de una política de acceso al centro de soporte para que el usuario pueda ver todos los casos de la cuenta, independientemente de los valores de visibilidad de la lista del usuario. Si la visibilidad de lista del usuario se establece en restringida, puede quedar limitada la capacidad de un usuario para ver, buscar y gestionar casos de soporte en una cuenta que no ha abierto él mismo.

Gestión de usuarios

Puede proporcionar a los usuarios acceso para ver usuarios en una cuenta; invitar y eliminar usuarios; y ver y actualizar los valores del perfil de usuario.

Roles y acciones de ejemplo para el servicio de gestión de usuarios
Roles Acciones
Visor Ver usuarios en la cuenta

Ver valores de perfil de usuario

Operador Ver usuarios en la cuenta

Ver valores de perfil de usuario

Editor Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

Administrador Ver, invitar, eliminar y actualizar usuarios de la cuenta

Ver y actualizar valores del perfil de usuario

El rol de visor en el servicio de gestión de usuarios se suele asignar a los usuarios que tienen asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.

Activity Tracker Event Routing

Puede otorgar a los usuarios acceso para ejecutar acciones de plataforma.

Roles y acciones de ejemplo para el servicio Activity Tracker Event Routing
Roles Acciones
Visor Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Operador Ver recursos de configuración de Activity Tracker Event Routing como, por ejemplo, rutas y destinos.
Editor Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.
Administrador Ver, crear, actualizar y suprimir recursos de Activity Tracker Event Routing.

Asigne políticas de acceso para gestionar recursos de Activity Tracker Event Routing a otros usuarios de la cuenta.