¿Qué es IBM Cloud Identity and Access Management?

Identity and Access Management (IAM) le permite autenticar usuarios de forma segura para servicios de la plataforma y controlar el acceso a los recursos de la plataforma IBM Cloud. Se ha habilitado un conjunto de servicios de IBM Cloud para que utilicen Cloud IAM para el control de accesos. Están organizados en grupos de recursos dentro de su cuenta para que pueda otorgar a los usuarios acceso rápido y sencillo a más de un recurso a la vez. Las políticas de acceso de IAM de Cloud se utilizan para asignar usuarios, ID de servicio y perfiles de confianza a los recursos de su cuenta. Para obtener más información, consulte IBM Cloud Identity and Access Management.

¿Qué es un servicio habilitado para IAM?

Un servicio habilitado para IAM debe estar en un grupo de recursos y el acceso al servicio se proporciona mediante las políticas de acceso de IAM. Cuando cree un servicio habilitado para IAM desde el catálogo, debe asignarlo a un grupo de recursos. Para obtener más información, consulte Gestión de recursos

IBM Cloud Kubernetes Service es la única excepción; está controlada por IAM, pero siempre se asigna al grupo de recursos predeterminado. Por lo tanto, no tiene la opción de elegir uno cuando lo crea desde el catálogo. Y no se puede asignar a ningún otro grupo de recursos.

¿Qué es una política de acceso de IAM?

Una política de acceso de IAM especifica cómo se da permiso a los usuarios, ID de servicio, perfiles de confianza y grupos de acceso para que trabajan con un servicio específico o una instancia de recursos habilitados para IAM, gestionen un grupo de recursos o realicen tareas de gestión de cuentas. Cada política de IAM consta de un sujeto, un destino y un rol. Un sujeto es el usuario que tiene el acceso. El destino es aquello a lo que puede acceder el sujeto. Y el rol, ya sea un rol de plataforma o de servicio en función del contexto del destino seleccionado, define el nivel de acceso que tiene el sujeto sobre el destino.

Un sujeto es un usuario, un ID de servicio, un perfil de confianza o un grupo de acceso. Un destino puede ser un servicio de la cuenta, un grupo de recursos de la cuenta, una instancia o tipo de recurso específico o un servicio de gestión de la cuenta. Y los roles que se proporcionan como opciones dependen del destino seleccionado. Algunos servicios tienen roles específicos que se han definido y algunos solo utilizan roles de plataforma. Para comprender visualmente este concepto, consulte el siguiente gráfico en el que se resaltan las opciones para crear una política de IAM:

¿Cómo puedo averiguar a qué tengo acceso?

En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione su nombre en la página Usuarios. Luego, en función del acceso que busque, abra los distintos separadores:

• Para determinar qué acceso tiene a través de los grupos de acceso que tiene asignados, seleccione Acceso y consulte la tabla Grupos de acceso.
• Para ver las políticas de acceso de IAM que se le han asignado, seleccione Acceso y consulte la tabla Políticas de acceso.

¿Qué acciones se correlacionan con cada rol de IAM?

Cuando invita a un nuevo usuario o asigna a un usuario acceso de IAM, puede ver las acciones que están asociadas a cada rol. Pulse los números mostrados junto a cada rol para ver una lista de todas las acciones que se correlacionan con un rol específico. Mediante la revisión de la correlación de acciones con roles, puede saber con seguridad qué acceso está asignando.

¿Cómo puedo solicitar acceso a un recurso?

El propietario de la cuenta puede actualizar su acceso a cualquier recurso de la cuenta, o bien puede ponerse en contacto con cualquier usuario que tenga asignado el rol de administrador sobre el servicio o la instancia de servicio.

¿Cómo puedo saber el ID de IAM de un usuario o el mío?

En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione Usuarios. A continuación, seleccione su nombre o el de otro usuario en la lista. Puede ver ID de IAM del usuario junto con su dirección de correo electrónico en la página Detalles de usuario.

¿Cómo puedo identificar roles de gestión de plataforma y roles de acceso de servicio para un usuario?

1. En la consola de IBM Cloud®, pulse Gestionar > Acceso (IAM) y seleccione Usuarios.
2. Seleccione su nombre o el nombre de otro usuario en la lista.
3. Haga clic en Acceso para ver los permisos asociados al usuario.

Se lista la etiqueta owner correspondiente al propietario de la cuenta. A este usuario se le asigna el rol de administrador en el servicio o la instancia de servicio.

¿Cómo puedo localizar y gestionar claves de API para un usuario o para mí mismo?

En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) > Claves de API para ver y gestionar las claves de API a las que tiene acceso.

• Para obtener información sobre cómo gestionar las claves de API de IBM Cloud asociadas a identidades de usuario, consulte Gestión de claves de API de usuario.
• Para obtener información sobre cómo gestionar las claves de API asociadas con un ID de servicio, consulte Gestión de claves de API de ID de servicio.
• Para obtener información sobre cómo gestionar claves de API de la infraestructura clásica, consulte Gestión de claves de API de la infraestructura clásica.

¿Dónde puedo encontrar o añadir credenciales de servicio?

Para ver una credencial de servicio existente para un servicio o para añadir una nueva credencial, vaya a su lista de recursos haciendo clic en el icono del Menú de navegación > Lista de recursos y, a continuación, seleccione el nombre del servicio para abrir sus detalles. Pulse Credenciales de servicio para ver los detalles o seleccionar Nueva credencial.

Para guardar una copia de las credenciales de servicio, la mayoría de servicios proporcionan una opción de descarga o la opción de copiar en el panel de control.

¿Por qué debo utilizar grupos de recursos y grupos de acceso?

Un grupo de recursos es un contenedor lógico para los recursos. Cuando se crea un recurso, le asigna a un grupo de recursos y el recurso no se puede mover.

Un grupo de acceso se utiliza para organizar fácilmente un conjunto de usuarios, ID de servicio y perfiles de confianza en una sola entidad para facilitar las asignaciones de acceso. Puede asignar una única política a un grupo de acceso para otorgar dichos permisos a todos los miembros. Si tiene más de un ID de usuario o servicio que necesita el mismo acceso, cree un grupo de acceso en lugar de asignar el mismo acceso varias veces por usuario individual, ID de servicio o perfil de confianza.

Mediante el uso de grupos de recursos y de grupos de acceso, puede agilizar la política de asignación de acceso al asignar un número limitado de políticas. Puede organizar todos los recursos a los que debe acceder un grupo específico de usuarios y de ID de servicio en un solo grupo de recursos, agrupar todos los usuarios o ID de servicio en un grupo de acceso y luego asignar una única política que otorgue acceso a todos los recursos en el grupo de recursos.

Para obtener más información, consulte Prácticas recomendadas para organizar recursos y asignar accesos.

¿Cómo puedo asegurarme de que mis usuarios pueden crear recursos dentro de un grupo de recursos?

Para crear un recurso en un grupo de recursos, el usuario debe tener dos políticas de acceso: una asignada al propio grupo de recursos y una asignada a los recursos del grupo. El acceso al propio grupo de recursos es simplemente el acceso al contenedor que organiza los recursos, y este tipo de política permite a un usuario ver, editar o gestionar el acceso al grupo, pero no los recursos contenidos en el mismo. El acceso a los servicios contenidos en el grupo de recursos permite a un usuario trabajar con las instancias de servicio, lo que significa que el usuario puede crear una instancia de servicio.

Por lo tanto, como mínimo el usuario debe tener el siguiente acceso:

• Rol de visor o superior sobre el propio grupo de recursos
• Rol de editor o superior sobre el servicio o sobre todos los servicios del grupo de recursos

¿Cómo asignar acceso a todos los grupos de recursos?

Para asignar a un usuario, ID de servicio o grupo de acceso una política en todos los grupos de recursos, debe asignar lo siguiente:

• Una política para Todos los servicios habilitados para Identidad y acceso con la función de acceso al grupo de recursos Visor seleccionada. Sin embargo, también debe asignar al menos una plataforma o un rol de servicio para asignar este tipo de política.
• Una política para Todos los servicios de gestión de cuentas con el rol Visor o superior proporciona acceso para ver todos los grupos de recursos. Sin embargo, tenga en cuenta que este tipo de política también asigna el rol que elija para cada servicio de gestión de cuentas, por lo que puede ser una política potente que permita a un usuario gestionar usuarios, valores de cuenta, información de facturación y más.
• Una política con Sólo grupo de recursos y un grupo de recursos concreto seleccionado, así como un rol de acceso a grupo de recursos asignado. Puede repetir este tipo de política según sea necesario para cada grupo de recursos disponible en la cuenta.

También puede asignar acceso a grupos de recursos individuales con una política en un servicio siempre que seleccione un grupo de recursos de destino por nombre y asigne un rol de acceso de grupo de recursos.

¿Qué acceso permite a un usuario trabajar con un solo recurso?

Un usuario debe tener asignada una política de acceso sobre el recurso específico que tenga al menos el rol de Visor asignado sobre el grupo de recursos que contiene el recurso. Para asignar este tipo de política, consulte Asignación de acceso a recursos.

¿Qué acceso necesito para proporcionar acceso a otros usuarios?

Para los servicios habilitados para IAM, debe tener el rol de administrador sobre el servicio o recurso al que desea asignar acceso a los usuarios. Si desea asignar acceso a todos los servicios o recursos de la cuenta, necesita una directiva en Todos los servicios habilitados para Identidad y acceso con la función Administrador. Además, para asignar a los usuarios acceso a los servicios de gestión de la cuenta, debe tener asignado el rol de administrador sobre el servicio específico o sobre todos los servicios de gestión de la cuenta. Al asignar a los usuarios el rol de administrador delega el otorgamiento y la revocación del acceso de administrador de la cuenta, incluida la posibilidad de revocar el acceso para otros usuarios con el rol de administrador.

Para la infraestructura clásica, debe tener el permiso de la infraestructura clásica Gestionar usuario y los permisos de categoría de servicio y de dispositivos para los recursos a los que desea otorgar acceso al usuario.

¿Qué diferencia hay entre el acceso para gestionar un grupo de recursos y el acceso a los recursos contenidos en un grupo de recursos?

Si tiene acceso para gestionar un grupo de recursos, puede ver, editar el nombre y gestionar el acceso para el propio grupo de recursos, en función del rol asignado. El acceso a un grupo de recursos en sí no da al usuario acceso a los recursos contenidos en el grupo.

Si tiene acceso a los recursos contenidos en un grupo de recursos, puede editar, suprimir y crear instancias, o bien puede tener acceso a todas las acciones de gestión para los servicios especificados dentro del grupo de recursos, en función del rol asignado.

Para ver acciones y roles de gestión de plataforma de ejemplo para servicios de gestión de cuentas, consulte la Tabla de roles de plataforma.

¿Quién puede eliminar usuarios?

El propietario de la cuenta puede eliminar cualquier usuario de la cuenta, y cualquier usuario con el siguiente acceso puede eliminar usuarios de una cuenta:

• Una política de IAM para el servicio de gestión de cuentas de gestión de usuarios con el rol de administrador asignado.
• Si tiene infraestructura clásica en su cuenta, entonces un usuario debe tener una política IAM para el servicio de gestión de cuentas Gestión de usuarios con el rol Administrador asignado, y ser un ancestro del usuario en la jerarquía de usuarios de infraestructura clásica con el permiso Gestionar usuario infraestructura clásica asignado.

¿Cómo puedo imponer la autenticación de multifactores para mi cuenta?

1. En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione Valores.
2. En la sección Autenticación, pulse Editar para seleccionar MFA para todos los usuarios o solo para usuarios no federados.

Para obtener más información, consulte Requerimiento de MFA para los usuarios de la cuenta.

¿Qué diferencia hay entre los roles de servicio y de plataforma?

Los roles de servicio y de plataforma son dos tipos distintos de roles:

• Los roles de plataforma están relacionados con la forma en que trabaja con un servicio dentro de una cuenta, como por ejemplo crear instancias, enlazar instancias y gestionar el acceso de usuario al servicio. Para los servicios de plataforma, estos roles permiten a los usuarios crear grupos de recursos y gestionar los ID de servicio, por ejemplo. Los roles de plataforma son: administrador, editor, operador y visor.

• Los roles de servicio definen la capacidad de realizar acciones sobre un servicio y son específicos de cada servicio, como por ejemplo realizar llamadas de API o acceder a la interfaz de usuario. Los roles de servicio son: gestor, escritor y lector. Para obtener más información sobre cómo se aplican estos roles, consulte la documentación del servicio específico.

¿Cómo asigno a un usuario acceso completo como administrador de la cuenta?

Para asignar a un usuario de su cuenta acceso completo de administrador, vaya a Gestionar > Acceso (IAM) en la consola, seleccione el nombre del usuario y asigne el siguiente acceso:

• Una política IAM con funciones de Administrador y Gestor en todos los servicios habilitados para Identidad y Acceso, que permiten a un usuario crear instancias de servicio y asignar a los usuarios acceso a todos los recursos de la cuenta.

• Una política IAM con rol de Administrador en Todos los servicios de gestión de cuentas, que permite a un usuario realizar tareas como invitar y eliminar usuarios, gestionar grupos de acceso, gestionar IDs de servicio, gestionar productos de catálogos privados y realizar un seguimiento de la facturación y el uso.

• El conjunto de permisos de superusuario para la infraestructura clásica, que incluye todos los permisos disponibles de infraestructura clásica

• Un perfil de confianza establecido como propietario de cuenta alternativo tiene el nivel más alto de permisos de infraestructura clásica y tiene ambas políticas de IAM que otorgan acceso completo. Para obtener más información, consulte Establecimiento de un propietario de cuenta alternativo.

¿Pueden todos los usuarios de mi cuenta ver a todos los demás usuarios?

Un propietario de cuenta puede ver todos los usuarios de la cuenta y elegir la forma en que los usuarios pueden ver otros usuarios de la cuenta en la página Usuarios. Un propietario de cuenta puede ajustar el valor de visibilidad de lista de usuarios en la página Valores seleccionando una de las siguientes opciones:

• Vista no restringida: todos los usuarios de la cuenta pueden ver todos los otros usuarios de la cuenta.
• Vista restringida: Limita la capacidad de ver usuarios en la página Usuarios sólo a aquellos a los que se les ha concedido acceso explícito, junto con aquellos que tienen visibilidad de otros usuarios a través de una relación jerárquica de usuarios de infraestructura clásica.

¿Tengo que asignar acceso a un usuario cuando lo invito a la cuenta?

No. Puede invitar a usuarios y, a continuación, asignar el acceso más adelante.

¿Qué significa para un usuario estar en estado pendiente?

Un usuario que aparece como Pending es un usuario al que se ha invitado a IBM Cloud pero que no ha aceptado la invitación.En la página Usuarios, las acciones de gestión de estos usuarios incluyen el reenvío de la invitación o la cancelación de la invitación.

Cuando inspecciona las pertenencias a grupos de acceso o las políticas de acceso en su cuenta, es posible que vea pertenencias o políticas relacionadas con usuarios pendientes que se crearon como parte de la invitación.Estos elementos se muestran con un ID de IAM que utiliza BSS-. Este ID de IAM es un marcador de las pertenencias y las políticas hasta que el usuario acepta la invitación. Como el usuario no se ha registrado con IBM Cloud, no puede recuperar una señal de acceso IAM para utilizar el acceso asignado. Cuando el usuario acepta la invitación y se registra con IBM Cloud, el ID de estas pertenencias y políticas se sustituye por el ID de IAM asignado.

¿Cómo puedo incorporar autenticación a mis apps web y móviles?

Se utiliza IAM para gestionar el acceso a los servicios y recursos de IBM Cloud. Con IBM Cloud App ID, puede aumentar la seguridad de la nube añadiendo autenticación a sus apps web y móviles. Con unas pocas líneas de código puede proteger fácilmente sus apps y servicios nativos de la nube que se ejecutan en IBM Cloud. ¿Está listo para empezar? Consulte la documentación.

¿Dónde puedo gestionar el acceso de un usuario a la infraestructura?

El acceso a la infraestructura clásica empieza por el usuario. Para obtener más información, consulte Gestión de acceso de la infraestructura clásica.

Si necesita asignar acceso a servicios de infraestructura habilitados para IAM, como por ejemplo IBM Cloud® Virtual Private Cloud, puede asignar acceso a un usuario siguiendo los pasos siguientes:

1. Pulse Gestionar > Acceso (IAM) > Usuarios
2. Seleccione el usuario.
3. Pulse Acceso.

¿Cómo se gestiona el acceso para los usuarios que tenían asignados permisos de soporte y de facturación en mi cuenta de SoftLayer?

Todos los permisos asignados anteriormente en su cuenta de SoftLayer se pueden gestionar en la consola de IBM Cloud. Los permisos de cuenta para gestionar información de facturación y casos de soporte ahora están disponibles en Gestión de permisos migrados de cuenta de SoftLayer. Todos los usuarios que tenían anteriormente asignados estos permisos en su cuenta de SoftLayer se han migrado a estos grupos de acceso, a los que se asigna el mismo nivel de acceso mediante una política de IAM en el grupo de acceso.

¿Cómo puedo determinar cuántas políticas existen en mi cuenta?

Puede ver el número total de políticas por cuenta utilizando la CLI para asegurarse de que no excede el límite para su cuenta.

¿Cuáles son los métodos de verificación y para qué se utilizan?

Los métodos de verificación se utilizan para probar la identidad y acceder a la página Métodos de verificación y factores de autenticación.

La primera vez que inicie una sesión en su cuenta después de actualizar los valores de MFA, también deberá verificar su identidad utilizando dos métodos de verificación diferentes. Los métodos de verificación incluyen el correo electrónico, el mensaje de texto o la llamada telefónica; puede utilizar cualquier combinación de esas opciones para verificar su identidad. Después de verificar su identidad, configure y proporcione detalles para su factor de autenticación en la página Métodos de verificación y factores de autenticación.

¿Cuáles son los factores de autenticación y para qué se utilizan?

Estos factores pueden ser algo que tiene, como una clave de seguridad U2F, o que recibe, como un código de acceso de un solo uso basado en el tiempo (TOTP) o una OTP. Si un administrador habilita MFA en al menos una de las cuentas de las que es miembro, debe proporcionar dos o más factores cada vez que inicie una sesión. Si es miembro en varias cuentas y al menos una de las cuentas utiliza MFA, se requiere MFA cada vez que inicie una sesión. Esto se aplica independientemente de la cuenta a la que esté intentando acceder. Para obtener más información, consulte Gestión de métodos de verificación y factores MFA.

¿Cómo puedo restablecer un método de verificación?

Un método de verificación se vuelve inaccesible si un número de teléfono o una dirección de correo electrónico asociados con su identidad cambian o ya no tiene acceso a ellos. Para restablecer un método de verificación, abra un caso de soporte y añada un método de verificación que puede utilizar para acceder a la página Métodos de verificación y factores de autenticación.

¿Cómo puedo obtener un nuevo código QR para la configuración de MFA?

Para obtener un nuevo código QR para la configuración de MFA, vaya a la página Métodos de verificación y factores de autenticación. En la sección Factores de autenticación, pulse Mostrar factores de autenticación > Añadir. A continuación, elija un tipo y seleccione TOTP. Luego, el nuevo QR está disponible. Después de escanear el código QR, introduzca el TOTP generado por la aplicación de autenticador para confirmar su elección. Ahora, cada vez que inicie una sesión, deberá proporcionar el TOTP generado por la aplicación de autenticador que acaba de configurar.

¿Cómo puedo cambiar la dirección de correo electrónico que se utiliza para MFA?

Puede actualizar la dirección de correo electrónico que se utiliza para MFA en la página Métodos de verificación y factores de autenticación. En la sección Factores de autenticación, pulse Mostrar factores de autenticación > Añadir. Seleccione Basado en correo electrónico y especifique la dirección de correo electrónico en la que desee recibir las OTP como factor de autenticación. Introduzca la OTP que recibe para confirmar su elección. A continuación, pulse Completar. Después de añadir el nuevo factor, seleccione la dirección de correo electrónico anterior y pulse Eliminar.

¿Pueden los perfiles de confianza crear claves de API de usuario?

Si utiliza un perfil de confianza, no puede crear una clave de API de usuario. Sí puede crear y gestionar las demás claves de API. Por ejemplo, las claves de API de ID de servicio.

Para crear una clave de API de usuario, su ID de IAM y el ID de IAM del usuario que solicita la clave de API de usuario deben ser idénticos. Cuando aplica un perfil de confianza, asume el ID de IAM de dicho perfil. Para crear una clave API de usuario para su identidad, utilice el conmutador de cuentas para cambiar de un perfil de confianza a una cuenta de la que forme parte su ID de IAM.

¿Cómo puedo comprobar si un usuario puede aplicar un perfil de confianza?

Para comprobar si un usuario cumple los requisitos para aplicar un perfil de confianza utilizando el proveedor de identidades (IdP) de IBMid, el usuario y el administrador deben completar pasos específicos.

1. El usuario debe ir a Reclamaciones de usuario de IBM Cloud.
2. A partir de aquí, se muestran las reclamaciones.
3. El usuario debe proporcionar las reclamaciones al administrador.
4. Como administrador, compare las reclamaciones del usuario con las condiciones establecidas para el perfil de confianza. Para ver las condiciones de un perfil de confianza, vaya a Gestionar > Acceso (IAM) > Perfiles de confianza en la consola de IBM Cloud.
5. Pulse el perfil y visualice la columna Condiciones.
6. Si las reclamaciones del usuario satisfacen todas las condiciones, el usuario puede aplicar el perfil.

Si está utilizando un IdP distinto, compruebe las reclamaciones del usuario en el directorio corporativo. A continuación, compare las reclamaciones del usuario con las condiciones establecidas para el perfil de confianza. Si las reclamaciones y las reglas coinciden, el usuario puede aplicar el perfil.

¿Cómo establecer la confianza con el servicio de Kubernetes en un perfil de confianza?

En Kubernetes, una cuenta de servicio proporciona una identidad para los procesos que se ejecutan en un Pod y los espacios de nombres proporcionan un mecanismo para aislar grupos de recursos dentro de un único clúster. Todos los clústeres de Kubernetes tienen un espacio de nombres default y cada espacio de nombres tiene una cuenta default.

Cuando establece la confianza con el servicio Kubernetes en un perfil de confianza, es necesario que especifique información en los campos namespace y service account. Puede especificar default para ambos.

Para obtener más información, consulte Utilización de perfiles de confianza en el espacio de nombres Kubernetes y OpenShift Clusters y Kubernetes.

¿Cómo puedo ver los miembros dinámicos de los grupos de acceso?

Para ver una lista de miembros dinámicos en un grupo de acceso, vaya a Gestionar > Acceso (IAM) > Grupos de acceso en la consola de IBM Cloud. Seleccione un grupo de acceso y pulse Usuarios. Los usuarios añadidos dinámicamente se indican mediante el tipo Dynamic. Para obtener más información, consulte Visualización de miembros dinámicos de grupos de acceso

¿Cómo puedo encontrar usuarios inactivos, ID de servicio, perfiles de confianza y claves de API en mi cuenta?

Para ver una lista de las identidades inactivas de su cuenta, vaya a Gestionar > Acceso (IAM) > Identidades inactivas. Es posible que desee eliminar identidades inactivas si ya no son necesarias. Para más información, consulte Identificación de identidades inactivas.

¿Cómo cambio entre perfiles y cuentas de confianza?

Puedes cambiar entre los perfiles de confianza y las cuentas de las que eres miembro utilizando el conmutador de cuentas de la barra de menús de la consola.

Si no eres miembro de ninguna cuenta, puede que tengas que desconectarte y volver a conectarte para seleccionar otro perfil de confianza. Para ello, siga estos pasos.

1. Vaya al Avatar icono Cerrar sesión.
2. Para confirmar, haga clic en Cerrar sesión.
3. Vaya a https://cloud.ibm.com/login para iniciar sesión de nuevo.
4. Introduzca sus credenciales y haga clic en Continuar.
5. En la página de perfiles de confianza, seleccione un perfil de confianza.