Cómo funciona IBM Cloud IAM

Obtenga información sobre qué es IBM Cloud Identity and Access Management (IAM), cómo funciona IAM, qué características están disponibles y cómo acceder a la consola, CLI, y las API para trabajar con IAM en su cuenta.

IAM le permite autenticar usuarios de forma segura para servicios de la plataforma y para el control del acceso a recursos en IBM Cloud. Un conjunto de servicios de IBM Cloud está habilitado para utilizar IBM Cloud IAM para el control de acceso, y se organizan en grupos de recursos dentro de la cuenta para que pueda otorgar a los usuarios acceso rápido a más de un recurso a la vez. Cada uno de estos servicios está etiquetado como "Habilitado para IAM" en el catálogo. Puede utilizar políticas de acceso de IAM para asignar usuarios, ID de servicio y perfiles de confianza a los recursos de su cuenta. Además, puede agrupar usuarios, ID de servicio y perfiles de confianza en un grupo de acceso para proporcionar fácilmente a todos los miembros del grupo el mismo nivel de acceso.

Puede utilizar perfiles de confianza para automatizar la agrupación y la concesión de acceso a usuarios, servicios e identidades de aplicaciones. Cuando se especifican condiciones basadas en atributos SAML para usuarios cuya identidad está federada desde el proveedor de identidad externo (IdP), se puede otorgar a los usuarios acceso a recursos sin necesidad de invitarlos a la cuenta si cumplen dichas condiciones. Para identidades de servicios y aplicaciones, puede definir una autorización precisa para todas las aplicaciones que se ejecutan en un recurso de cálculo sin crear ID de servicio ni gestionar el ciclo de vida de claves de API para aplicaciones.

Control de acceso IAM en una cuenta — ' Cómo funciona el acceso IAM en una cuenta mediante el uso de grupos de acceso. ID de servicio y seleccioneIBM Cloud También puede asumir perfiles confiables.

Para la infraestructura clásica que no admite el uso de las políticas de IAM de IBM Cloud para gestionar el acceso, puede utilizar la documentación de permisos de infraestructura clásica.

¿Qué características se proporcionan?

IBM Cloud IAM proporciona una amplia gama de características para su identidad y sus necesidades de gestión de accesos.

Gestión de usuarios

Con la gestión de usuarios unificada, puede añadir y suprimir usuarios en una cuenta para servicios tanto de plataforma como de la infraestructura clásica. Puede organizar un grupo de usuarios en un grupo de acceso para hacer que la tarea de asignar accesos a más de un usuario o un ID de servicio sea rápida y sencilla.

Control de acceso preciso

El acceso de usuarios, ID de servicio, grupos de acceso y perfiles de confianza se define mediante una política. Dentro de una política, el ámbito de acceso se puede asignar a un conjunto de recursos de un grupo de recursos, a un solo recurso o a servicios de gestión de la cuenta. Después de establecer el destino, puede definir qué acciones están permitidas por el sujeto de la política seleccionando roles de acceso. Los roles proporcionan una forma de adaptar el nivel de acceso otorgado al sujeto de la política para realizar acciones sobre el destino de la política, ya sea tareas de gestión de la plataforma dentro de la cuenta, acceso a la IU de un servicio o realización de llamadas de API.

También puede añadir condiciones basadas en el tiempo a una política que define cuándo la política otorga acceso, si desea otorgar acceso temporal a los recursos de su cuenta o permitir el acceso durante intervalos de tiempo recurrentes. Para obtener más información, consulte Limitación del acceso con condiciones basadas en el tiempo.

Grupos de acceso para una gestión de acceso simplificada

Asigne de forma rápida y sencilla el acceso para un grupo de usuarios, ID de servicio o perfiles de confianza organizados en un grupo de acceso asignando acceso al grupo y, a continuación, añada o elimine identidades según sea necesario para otorgar o denegar el acceso a los recursos de la cuenta. Los grupos de acceso le permiten gestionar un número mínimo de políticas en la cuenta. Para obtener más información, consulte Configuración de grupos de acceso.

Perfiles de confianza para eliminar la necesidad de gestionar credenciales

Otorgue automáticamente a los usuarios federados acceso a su cuenta con condiciones basadas en atributos SAML desde su directorio corporativo. Los perfiles de confianza también se pueden utilizar para configurar una autorización precisa para las aplicaciones que se ejecutan en recursos de cálculo. De este modo, no es necesario crear ID de servicio o claves de API para los recursos de cálculo. Asigne acceso al perfil añadiéndole a un grupo de acceso o asignando políticas individuales y, a continuación, añada o elimine condiciones según sea necesario para otorgar o denegar el acceso a los recursos de la cuenta. Mediante el uso de perfiles de confianza, puede gestionar de forma centralizada el ciclo de vida del acceso a varios activos de IBM Cloud. Para obtener más información, consulte Creación de perfiles de confianza.

Usuarios federados

Es posible que los usuarios ya tengan identidades fuera de IBM Cloud en el directorio corporativo. Si los usuarios necesitan trabajar con recursos de IBM Cloud o trabajar con aplicaciones que acceden a esos recursos, también necesitarán credenciales de IBM Cloud. Puede utilizar un perfil de confianza para especificar permisos para los usuarios cuya identidad está federada desde su organización o un IdP externo. Utilizando su IdP, puede proporcionar una forma para que los usuarios de su empresa puedan iniciar sesión con inicio de sesión único (SSO). Para conectar los usuarios federados con recursos de IBM Cloud, consulte Federar usuarios en IBM Cloud.

Transcripción del vídeo

Nos complace presentar el último y más grande tipo de identidad: los perfiles de confianza de IBM Cloud. Espera conseguir la forma más fiable y eficiente de administrar el acceso a su cuenta, así que le vamos a enseñar cómo puede utilizar perfiles de confianza.

Anteriormente, la organización de identidades y la asignación de acceso se limitaba a los grupos de acceso, donde cada usuario se añade a la cuenta manualmente.

Como propietario de una cuenta, puede ahorrar tiempo y otorgar automáticamente acceso a los usuarios federados a sus cuentas aprovechando los atributos que ya existen en su directorio corporativo.

Simplemente añada condiciones basadas en atributos SAML para definir los usuarios federados que pueden aplicar un perfil. De esta manera, los cambios en su directorio afectan inmediatamente el acceso a los recursos.

Como usuario federado, es posible que tenga la opción de aplicar uno de los muchos perfiles de confianza. Después de iniciar la sesión, puede aplicar un perfil o continuar con la consola.

Imagine un escenario en el que desee completar tareas relacionadas con el desarrollador, como trabajar con las instancias de servicio de los componentes de la aplicación. Puede seleccionar el perfil de Desarrollador al iniciar sesión para asegurarse de que tiene el acceso que necesita.

De forma similar, si desea completar una tarea relacionada con el administrador, puede seleccionar el perfil Administrador que tiene permisos privilegiados. De esta forma, se reduce el riesgo de realizar acciones privilegiadas por error.

También tiene la opción de iniciar sesión en la cuenta sin aplicar un perfil continuando con la consola.

Para obtener más información sobre cómo funcionan los perfiles de confianza, consulte nuestra documentación de IBM Cloud Identity and Access Management que incluye guías de aprendizaje y otros recursos útiles para empezar a trabajar.

Recursos de cálculo

Utilizando perfiles de confianza, puede definir una autorización precisa para todas las aplicaciones que se ejecutan en un recurso de cálculo sin necesidad de crear ID de servicio ni gestionar el ciclo de vida de las claves de API de las aplicaciones. Los perfiles de confianza proporcionan un mejor control para otorgar acceso a los recursos de cálculo.

Los desarrolladores de aplicaciones pueden recuperar mediante programación una señal que está asociada con la identidad del recurso de cálculo en la que se ejecutan. Esa señal se utiliza para obtener la señal de identidad de perfil de confianza, que se utiliza para acceder a servicios y recursos en IBM Cloud.
Las aplicaciones que se ejecutan en un recurso de cálculo pueden tener una forma flexible pero segura de acceder a otros servicios de IBM Cloud desde los recursos de cálculo. Por ejemplo, es más seguro no tener que almacenar las claves de API.
Para todas las instancias de recursos de cálculo que comparten determinadas condiciones como, por ejemplo, el nombre, el espacio de nombres, las etiquetas o la ubicación, sus identidades se correlacionan con un perfil común y pueden compartir el acceso a los recursos de IBM Cloud. Esta identidad común permite dar a las aplicaciones de varios recursos de cálculo acceso a un recurso externo una vez, en lugar de clúster a clúster.

Plantillas de IAM gestionadas por la empresa para gestionar de forma centralizada el acceso en las empresas

Su empresa puede escalar fácilmente la gestión de acceso y garantizar valores de seguridad de cuenta coherentes en toda la organización utilizando plantillas de IAM gestionadas por la empresa. Puede crear plantillas para recursos de IAM como grupos de acceso, perfiles de confianza y valores de seguridad de cuenta que asigne en toda la empresa. Cuando asigna una plantilla de IAM a cuentas secundarias, se crean recursos de IAM administrados por la empresa en las cuentas secundarias que seleccione.

Por ejemplo, puede haber un determinado rol de trabajo en cada cuenta hijo que requiera los mismos permisos. Puede crear una plantilla de grupo de acceso con las políticas de acceso necesarias y asignar la plantilla a todas las cuentas hijo de la empresa. De este modo, reduce la desviación de políticas y puede estar seguro de que los usuarios con ese rol de trabajo sólo tienen el acceso que es necesario en cada cuenta.

Para obtener más información, consulte Cómo funciona IAM gestionado por la empresa.

Claves de API para la autenticación de usuario

Puede crear varias claves de API para que un usuario dé soporte a escenarios de rotación de claves, y la misma clave se puede utilizar para acceder a varios servicios. Las claves de API de IBM Cloud permiten a los usuarios que utilizan la autenticación de dos factores o un ID federado automatizar la autenticación en la consola desde la línea de mandatos. Un usuario también puede tener una sola clave de API de la infraestructura clásica que se puede utilizar para acceder a las API de la infraestructura clásica; sin embargo, esto no es necesario, ya que puede utilizar las claves de API de IBM Cloud para acceder a las mismas API. Para obtener más información, consulte Visión general de las claves de API.

ID de servicio

Un ID de servicio identifica un servicio o una aplicación de forma similar a como un ID de usuario identifica un usuario. Estos son identificadores que pueden utilizar las aplicaciones para autenticarse con un servicio de IBM Cloud. Las políticas se pueden asignar a cada ID de servicio para controlar el nivel de acceso permitido por una aplicación que utiliza el ID de servicio, y se puede crear una clave de API para habilitar la autenticación. Para obtener más información, consulte Cómo crear y trabajar con ID de servicio.

La infraestructura como servicio (IaaS) no da soporte a las operaciones realizadas por los ID de servicio. Si una cuenta incluye IaaS y PaaS, es posible que las funciones administrativas realizadas por un ID de servicio no funcionen como está previsto si la operación depende de llamadas de API a IaaS. En una cuenta que incluya IaaS, asegúrese de que los administradores de cuentas completen las funciones administrativas. Por ejemplo, los ID funcionales se pueden utilizar para funciones administrativas. En algunos casos, el soporte de IBM puede ayudar con algunas funciones administrativas que abarcan tanto IaaS como PaaS.

Autenticación de multifactores

Puede imponer la autenticación de multifactores (MFA) para cada usuario de la cuenta o solo para usuarios con ID no federados que no utilicen SSO. Todos los usuarios con un IBMid utilizan un factor MFA de código de acceso de un solo uso basado en tiempo (TOTP) y cualquier usuario con un tipo distinto de ID debe estar habilitado para utilizar el TOTP, las preguntas de seguridad o el factor de autenticación externo por separado. Para obtener más información, consulte Tipos de autenticación de multifactores.

Autorizaciones de servicio a servicio

En un caso de ejemplo que necesita para proporcionar un acceso de servicio a otro, puede crear una política utilizando una autorización de servicio a servicio. Para obtener más información, consulte Uso de autorizaciones para otorgar acceso entre servicios.

¿Cómo utilizar IBM Cloud IAM?

Puede acceder y utilizar IBM Cloud IAM a través de la interfaz de usuario, CLI o API de Acceso (IAM).

Para acceder a IBM Cloud IAM mediante la consola, vaya a Gestionar > Acceso (IAM).
Vaya a Gestión de acceso de IAM, claves de API, ID de servicio y grupos de acceso para ver los mandatos de CLI disponibles.
Consulte la siguiente documentación sobre API para ver las API disponibles: