IBM Cloud Docs
¿Qué son las políticas de IAM y quien las puede asignar?

¿Qué son las políticas de IAM y quien las puede asignar?

Una política concede a un sujeto uno o varios roles sobre un conjunto de recursos para que se puedan realizar determinadas acciones en el contexto de los recursos de destino especificados.

El siguiente gráfico ayuda a explicar cómo se crea la política de IAM. Las políticas siempre se crean especificando primero el sujeto. El asunto es un usuario específico, un ID de servicio, un grupo de acceso o un perfil de confianza. A continuación, se selecciona el destino de la política, que es a lo que está permitiendo al usuario acceder, por ejemplo: todos los servicios de un grupo de recursos, todos los servicios habilitados por IAM en la cuenta, los servicios de gestión de cuenta o una instancia de servicio determinada. Finalmente, completa su política de acceso seleccionando entre los roles disponibles. Estas funciones definen exactamente qué acciones puede completar un usuario. En función del servicio que seleccione, podría haber disponibles opciones de configuración adicionales.

Creating IAM policies by using a subject, target, and role
How IAM access policies are created by using a subject, target, and role

Puede asignar y gestionar políticas si tiene el rol adecuado. En la tabla siguiente se muestran las tareas de gestión de políticas y el rol necesario para cada una de ellos.

Usuarios autorizados a crear políticas de acceso
Acción Rol necesario
Crear una política en una cuenta para todos los servicios e instancias Propietario o administrador de la cuenta en todos los servicios de gestión de cuentas y en los servicios habilitados para Identity and Access
Crear una política en un servicio de una cuenta Propietario de la cuenta, administrador en todos los servicios habilitados para Identity and Access o administrador en el servicio de la cuenta
Crear una política en una instancia de servicio Propietario de la cuenta, administrador en todos los servicios habilitados para Identity and Access, administrador en el servicio en la cuenta, administrador en todos los servicios del grupo de recursos relevante o administrador en la instancia de servicio

Tipos de política de acceso común

Puede proporcionar un acceso detallado para usuarios, ID de servicio o grupos de acceso mediante la asignación de los tipos siguientes de políticas de acceso:

  • Todos los servicios de gestión de cuentas
  • Un servicio de gestión de cuentas específico
  • Todos los servicios de gestión de cuentas de IAM, que son un subconjunto de servicios de gestión de cuentas que incluyen IAM Identity, IAM Access Management, IAM User Management y grupos de IAM
  • Un servicio IAM específico
  • Todos los recursos en la cuenta
  • Todos los recursos en todos los servicios que pertenecen a un grupo de recursos individual con la capacidad de gestionar el grupo de recursos
  • Todos los recursos en un único servicio en un grupo de recursos con la capacidad de gestionar el grupo de recursos
  • Todos los recursos en un único servicio en toda la cuenta, independientemente del grupo de recursos al que estén asignados
  • Recursos en una instancia individual
  • Un único tipo de recurso dentro de una instancia, por ejemplo, un grupo en una instancia de Object Storage

Si desea habilitar el acceso de administrador completo de un usuario para completar las tareas de gestión de la cuenta, como invitar y eliminar usuarios, ver la facturación y el uso, gestionar los ID de servicio, gestionar los grupos de acceso, gestionar el acceso de los usuarios y el acceso a todos los recursos de la cuenta, debe asignar a un usuario el siguiente acceso:

  • Una política para todos los servicios habilitados para Identidad y Acceso dentro de la cuenta con los roles de administrador y gerente asignados.
  • Una política con el rol de administrador asignado en Todos los servicios de gestión de cuentas.

Grupos de servicios

Puede asignar acceso a un grupo de servicios de modo que solo necesite una única política para asignar acceso a múltiples servicios. De esta manera, disminuye la cantidad de pólizas en su cuenta y reduce el tiempo y el esfuerzo para administrar el acceso.

  • Todos los servicios habilitados para identidad y acceso: todos los servicios de catálogo que utilizan IAM para la gestión de acceso.
  • Todos los servicios de gestión de cuentas: Servicios de plataforma, como facturación y uso, licencias y derechos, empresas y más. Para obtener más información, consulte Asignación de acceso a los servicios de gestión de cuentas.
    • Todos los servicios de gestión de cuentas de IAM: un subconjunto de servicios de administración de cuentas que incluye los servicios de la plataforma IAM IAM Identity, IAM Access Management, IAM Users, IAM Groups y futuros servicios IAM.

Asignación de políticas de acceso de IBM Cloud

Para ayudarle a comprender mejor cómo se asigna el acceso utilizando políticas de acceso en IBM Cloud en relación con otros proveedores de nube con los que puede estar familiarizado, consulte los siguientes detalles y ejemplo de una política de acceso.

Las políticas de IBM Cloud IAM consisten en la identidad a la que se da acceso (sujeto), como el ID de usuario o de servicio, los recursos o servicios específicos (destino) a los que se les está dando acceso y los roles que definen qué acciones se permiten en el contexto del recurso o servicio seleccionado.

En IBM Cloud, un usuario, un ID de servicio o los miembros de un grupo de acceso no tienen ningún acceso de forma predeterminada. El modelo de acceso de " IBM Cloud " es sencillo cuando se trata de entender cómo se le permite o se le niega completar acciones específicas. El acceso no se concede hasta que un administrador asigna una política de acceso con un rol de acceso concreto. El sistema IAM no tiene que evaluar las políticas de permiso y denegación para determinar qué acciones están permitidas, en su lugar el sistema solo evalúa los recursos con los que tiene políticas y qué nivel de acceso está permitido por los roles asignados.

Para reducir el número de políticas en la cuenta y mantener solo el acceso mínimo necesario para cada usuario, puede identificar y eliminar las políticas de acceso que se utilizan con poca frecuencia. Para obtener más información, consulte Gestión de políticas inactivas.

Cuando especifica un recurso en una política porque IBM Cloud se basa en atributos, puede especificar un amplio conjunto de recursos para que un usuario tenga acceso a, por ejemplo, todos los recursos de un grupo de recursos. O bien, puede limitar el acceso del usuario a una instancia específica de un único servicio o incluso a un tipo de subrecurso, como por ejemplo un grupo de Object Storage. IBM Cloud IAM proporciona un alto nivel de flexibilidad y granularidad para ayudarle a asignar solo el tipo de acceso necesario. Algunos ejemplos de los distintos niveles de acceso que puede asignar utilizando atributos en una política de acceso son los siguientes:

  • Todos los servicios de gestión de cuentas
  • Un servicio de gestión de cuentas específico
  • Todos los servicios de identidad y acceso habilitados dentro de la cuenta, que incluye todos los servicios de catálogo que utilizan IAM para la gestión de acceso
  • Todos los recursos que pertenecen a un grupo de recursos
  • Todos los tipos de recursos de un único servicio en toda la cuenta, independientemente de la asignación del grupo de recursos
  • Una instancia específica de un servicio en la cuenta
  • Un solo tipo de subrecurso dentro de una instancia, por ejemplo, un grupo en una instancia de Object Storage

Si un rol de plataforma o servicio predefinido específico no se ajusta a lo que busca al asignar el nivel de acceso, puede crear un rol personalizado para un servicio específico y luego elegir entre las acciones disponibles para crear un rol que se ajuste a las necesidades de su organización.

Ejemplo de política

Este ejemplo de política proporciona acceso a todos los recursos de servicio que pertenecen a un grupo de recursos denominado default con un ID de abcd2e6fg1h74i44j5kl467m701n5289 con el rol de plataforma Viewer. Esta política se puede asignar a un usuario, ID de servicio o grupo de acceso. En este caso, se asigna a un usuario con un iam_id de IBMid-3IAMISBEST1.

Los grupos de acceso no son identidades como un usuario o un ID de servicio; sin embargo, son un mecanismo para identidades. Un grupo de acceso se puede definir como un sujeto de una política de acceso, y el acceso asignado en el grupo se aplica a todos los miembros que se han añadido a él.

{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-3IAMISBEST1"
        }
      ]
    }
  ],
  "roles": [
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
    }
  ],
  "resources": [
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "7e522a19eb77477e88e96a600c44fb22"
        },
        {
          "name": "resourceGroupId",
          "value": "abcd2e6fg1h74i44j5kl467m701n5289"
        }
      ]
    }
  ]
}

Además de una política de acceso para un usuario, un ID de servicio o un grupo de acceso que puede proporcionar acceso a un servicio, un recurso específico o un grupo de recursos en la cuenta, IBM Cloud también ofrece la posibilidad de asignar una política de acceso denominada Autorización de servicio a servicio, que proporciona acceso entre servicios. Para ver un ejemplo de este tipo de política, consulte Creación de una autorización utilizando la API.