Correlación de conceptos de IBM Cloud IAM con otros proveedores de nube
La gestión de identidad y acceso se utiliza para autenticar de forma segura a los usuarios y proporcionar acceso a los recursos de nube. Si bien el IAM en todos los proveedores de nube es una forma coherente de asegurar la autenticación y el acceso, los conceptos dentro de cada proveedor de nube y la forma en que se aplican pueden ser diferentes. Revise la siguiente información en la tabla para obtener más información sobre cómo se relacionan o comparan los conceptos de IBM Cloud IAM con los de otros proveedores de nube para ayudarle a incorporarse sin problemas a IBM Cloud.
Comparación de conceptos de IAM
Las siguientes correlaciones de conceptos de IBM Cloud IAM con los de otros proveedores de nube, como Amazon Web Services (AWS), Google Cloud Platform y Microsoft Azure, podrían no coincidir exactamente. Sin embargo, si está familiarizado con un concepto determinado dentro de otro proveedor, esta correlación está pensada para ayudarle a encontrar el concepto relacionado más cercano en IBM Cloud.
| Concepto de IBM Cloud | Descripción de IBM Cloud | AWS | Azure | Google Cloud Platform |
|---|---|---|---|---|
| Identidades | Usuarios e ID de servicio | Usuarios, grupos y roles | Usuario, grupo, principal de servicio, identidad gestionada | Cuentas de usuario y cuentas de servicio. Tipos de identidad soportados: cuenta de Google, cuenta de servicio, grupo de Google, dominio de G Suite, dominio de identidad de nube |
| Usuarios | Gestionado fuera de IAM. Los usuarios se identifican de forma exclusiva en IBM Cloud con el valor iam_id, pero pueden proceder de IBMid, App ID o SoftLayer | Gestionado en IAM. Identidad federada en el sistema de gestión de identidad externo. | Gestionado en Active Directory | Gestionado fuera de IAM. Identidad federada en el sistema de gestión de identidad externo. |
| ID de servicio | Un ID para una app o servicio. | Roles asignados a una aplicación | Identidad asignada por el usuario | Cuentas de servicio |
| Clave de API | Una credencial que se utiliza para un ID de usuario o servicio | Clave de acceso | clave de API | Clave de API |
| Grupos de acceso | Una forma de organizar los usuarios y las identificaciones de servicio en la que se asigna el mismo acceso a todos los miembros del grupo. | Grupos, roles | Grupos de Active Directory | Grupos de Google |
| Perfiles de confianza | Una forma de asignar acceso a usuarios federados basándose en atributos SAML o para todas las aplicaciones que se ejecutan en un recurso de cálculo sin necesidad de gestionar ni rotar las credenciales. | Roles | Identidad gestionada | Identidad de carga de trabajo |
| Política | Asignación de acceso formada por un asunto, un destino y un rol. | Política | Asignación de roles | Política |
| Asunto de política | Un usuario, ID de servicio o grupo de acceso | Un usuario, grupo o rol de IAM | Principal de seguridad | Un recurso |
| Roles | Un rol es un conjunto de acciones para un recurso específico que se utilizan como base para elaborar una política de acceso. | Política gestionada por AWS | Definición de rol | Roles predefinidos |
| Roles personalizados | Rol denominado y definido por el cliente, incluyendo solo las acciones elegidas por el usuario. | Políticas gestionadas por el cliente | Roles personalizados | Roles personalizados |
| Acciones | Qué se permite completar en el contexto de la plataforma o servicio | Acciones | Permisos | Permisos |
| Recursos | Destino de una política de acceso | Recursos | Recursos | Recursos |
| Grupos de recursos | Contenedor de organización lógica para servicios habilitados por IAM | Etiquetas | Grupos de recursos | Proyectos |
| Acceso público | El acceso público a recursos específicos se habilita a través de un grupo de acceso predeterminado denominado Acceso público. Esta característica se puede inhabilitar en cada cuenta. | Característica de Amazon S3 que se puede habilitar para recursos específicos y se puede inhabilitar a nivel de cuenta o de grupo. | El acceso de lectura público se puede habilitar para tipos de cuentas o recursos específicos. Se puede inhabilitar en la cuenta de almacenamiento o en el nivel de contenedor. | Google tiene un identificador para allAuthenticatedUsers que representa todas las cuentas de servicio y todos los usuarios que se autentican con una cuenta de Google, a la que también se puede otorgar acceso. |
| Auditoría | Auditoría con IBM Cloud Activity Tracker Event Routing | Auditoría con AWS CloudTrail | Registros de actividad de registro y auditoría de Azure | Auditoría con registro de auditoría |
| IAM gestionado por la empresa | Administrar de forma centralizada los valores de acceso y seguridad para un entorno de varias cuentas de IBM Cloud. | AWS Torre de control |
Federación de usuarios en IBM Cloud
IBM Cloud ofrece dos formas de federar el proveedor de identidad corporativa (IdP), lo que simplifica el inicio de sesión proporcionando a los empleados acceso a IBM Cloud con su nombre de usuario y contraseña de la empresa. Puede federar con IBMid, o tiene la opción de crear una instancia de servicio de IBM Cloud App ID y utilizarla como una forma de federar usuarios en una cuenta de IBM Cloud. Para obtener más información, consulte Habilitar la autenticación desde un proveedor de identidad externo.
Ambas opciones de federación requieren que el usuario sea miembro de la cuenta, o que tenga acceso a la cuenta por un perfil de confianza para poder completar las operaciones. Si los perfiles de confianza no están configurados, el propietario o el administrador de la cuenta debe invitar a IBMid individuales a la cuenta de IBM Cloud. Solo si el IBMid invitado acepta la invitación el usuario se añade a la cuenta como un usuario activo. En el caso de App ID, el usuario se incorpora automáticamente a IBM Cloud sin necesidad de invitar a cada usuario a la cuenta. En ambos tipos de federación, los usuarios están activos IBM Cloud usuarios de cuenta que pueden acceder a la plataforma, incluidos los recursos habilitados para IAM y la infraestructura clásica, en función de su acceso asignado.
Los perfiles de confianza gestionan los usuarios federados de forma diferente. Si el cliente federa su IdP corporativo, los usuarios de ese IdP no se añaden a una cuenta como lo que se considera un usuario típico. En su lugar, los atributos IdP basados en SAML de los usuarios se evalúan durante el inicio de sesión y, si cumplen todas las condiciones de un perfil de confianza, se les solicita que apliquen uno o varios perfiles de confianza. Los perfiles de confianza otorgan a los usuarios el nivel de acceso que necesitan para completar tareas específicas y especializadas en un periodo de tiempo limitado, por ejemplo, 1 - 4 horas. El acceso basado en el tiempo permite comprobaciones de autenticación frecuentes para reducir los riesgos de seguridad. Suelen ser tareas críticas que desearía no tener que hacer accidentalmente en el trabajo diario. Los usuarios no necesitan incorporarse a IBM Cloud; se añaden automáticamente a través de la relación de confianza. Si un usuario abandona la empresa, puede suprimir la identidad corporativa del usuario en el directorio, lo que revoca el acceso a IBM Cloud.