IBM Cloud Docs
Identidades en IBM Cloud

Identidades en IBM Cloud

Los dos conceptos básicos de IBM Cloud® IAM son gestión de identidad y acceso. Para obtener más información, revise las secciones siguientes y Conceptos de gestión de acceso.

El concepto de identidad consta de identidades de usuario, identidades de servicios y aplicaciones, claves de API para usuarios e ID de servicio, perfiles de confianza e identidades de recursos. Los usuarios se identifican por sus atributos IBMid, ID de SoftLayer, ID de usuario de App ID o usuario federado.

IBM Cloud IAM otorga acceso a identidades individuales o a un grupo de identidades utilizando políticas. Las políticas permiten a los usuarios otorgar acceso al tiempo que se adhieren al principio de menor privilegio utilizando roles y recursos con ámbito. Excepto para los propietarios de la cuenta, las identidades de usuario no tienen ningún acceso otorgado de forma predeterminada. Cada otorgamiento de acceso es independiente de otros otorgamientos de acceso, y los usuarios con permiso pueden acceder a los recursos utilizando la consola y las API. Las acciones permitidas pueden ser para una única API o un grupo de API en función de las necesidades del cliente. El acceso se puede otorgar en un nivel alto para una agrupación de recursos o en el ámbito de un único recurso en función de las necesidades del cliente.

La eliminación del acceso para identidades inactivas puede reducir el riesgo de acceso no autorizado al recurso IBM Cloud y ayudarle a gestionar el acceso de forma más eficiente. Para obtener más información, consulte Identificación de identidades inactivas.

Usuarios

Los ID de usuario resultan más adecuados cuando una persona necesita una identidad digital en una cuenta. Se invita a los usuarios a la cuenta y se les otorga acceso a los recursos de la cuenta. Los usuarios inician sesión utilizando IBMid, ID de SoftLayer, ID de usuario de App ID o ID de usuario federado. Cada usuario también se identifica mediante un ID generado denominado ID de IAM.

Los ID de IAM siempre incluyen un dominio para identificar el proveedor del usuario, como IBMid o un proveedor de identidad externo. En el ID de IAM, el dominio va seguido de una serie de números que es un identificador exclusivo. Por ejemplo, el ID de IAM para un usuario con un IBMid sería como IBMid-20000AB1C.

Los ID de IAM se utilizan más comúnmente cuando se asigna acceso a otros utilizando la API. Se utilizan para identificar un usuario, un ID de servicio, un perfil de confianza o un recurso. El ID de IAM se incluye en la señal cuando se utiliza en la consola, la CLI o la API. Las políticas de acceso se definen utilizando los ID de IAM ya que es la identidad que se puede verificar en la señal de IAM.

Para buscar el ID de IAM, vaya a Gestionar > Acceso (IAM). Puede ver el ID de IAM en la sección Mis detalles de usuario. Para ver los ID de IAM de otros usuarios, vaya a Gestionar > Acceso (IAM) > Usuarios y seleccione el nombre de un usuario en la lista y pulse Detalles.

Claves de API de usuario

Las claves de API de IBM Cloud son credenciales que están asociadas a la identidad de un usuario. El acceso que tiene asignado el usuario puede proceder de políticas que se aplican a varias cuentas de las que el usuario es miembro. Las credenciales de clave de API de usuario se pueden utilizar para realizar llamadas de API y CLI. La clave de API de usuario se puede utilizar directamente o puede servir para generar una señal.

Para obtener más información sobre la utilización de una clave de API asociada con su identidad de usuario, consulte Gestión de las claves de API de usuario.

Federación de usuarios en IBM Cloud

IBM Cloud ofrece dos formas de federar el proveedor de identidad corporativa (IdP), lo que simplifica el inicio de sesión proporcionando a los empleados acceso a IBM Cloud con su nombre de usuario y contraseña de la empresa. Puede federar con IBMid, o tiene la opción de crear una instancia de servicio de IBM Cloud App ID y utilizarla como una forma de federar usuarios en una cuenta de IBM Cloud. Para obtener más información, consulte Habilitar la autenticación desde un proveedor de identidad externo.

Ambas opciones de federación requieren que el usuario sea miembro de la cuenta, o que tenga acceso a la cuenta por un perfil de confianza para poder completar las operaciones. Si los perfiles de confianza no están configurados, el propietario o el administrador de la cuenta debe invitar a IBMid individuales a la cuenta de IBM Cloud. Solo si el IBMid invitado acepta la invitación el usuario se añade a la cuenta como un usuario activo. En el caso de App ID, el usuario se incorpora automáticamente a IBM Cloud sin necesidad de invitar a cada usuario a la cuenta. En ambos tipos de federación, los usuarios están activos IBM Cloud usuarios de cuenta que pueden acceder a la plataforma, incluidos los recursos habilitados para IAM y la infraestructura clásica, en función de su acceso asignado.

Los perfiles de confianza gestionan los usuarios federados de forma diferente. Si el cliente federa su IdP corporativo, los usuarios de ese IdP no se añaden a una cuenta como lo que se considera un usuario típico. En su lugar, los atributos IdP basados en SAML de los usuarios se evalúan durante el inicio de sesión y, si cumplen todas las condiciones de un perfil de confianza, se les solicita que apliquen uno o varios perfiles de confianza. Los perfiles de confianza otorgan a los usuarios el nivel de acceso que necesitan para completar tareas específicas y especializadas en un periodo de tiempo limitado, por ejemplo, 1 - 4 horas. El acceso basado en el tiempo permite comprobaciones de autenticación frecuentes para reducir los riesgos de seguridad. Suelen ser tareas críticas que desearía no tener que hacer accidentalmente en el trabajo diario. Los usuarios no necesitan incorporarse a IBM Cloud; se añaden automáticamente a través de la relación de confianza. Si un usuario abandona la empresa, puede suprimir la identidad corporativa del usuario en el directorio, lo que revoca el acceso a IBM Cloud.

ID funcionales

Los ID funcionales se utilizan más comúnmente cuando una aplicación o servicio necesita una identidad digital y acceso a recursos habilitados para IAM o recursos de infraestructura clásica. Algunos servicios requieren un ID funcional al crear instancias de servicio, por ejemplo Kubernetes Service.

Un ID funcional es un tipo de ID de usuario que se encuentra en el directorio de usuario de IdP (Identity Provider) pero que no está vinculado a un usuario específico. Para crear un ID funcional, debe crear un nuevo usuario en el directorio del usuario e invitarlo a su cuenta de IBM Cloud.

El ID funcional se utiliza para crear instancias de servicio, como clústeres de Kubernetes Service. De esta manera, las instancias no están vinculadas a una persona específica que podría abandonar la empresa, lo que dejaría la instancia sin propietario. Generalmente, los ID funcionales pueden hacer más en IBM Cloud que un ID de servicio. Por ejemplo, los ID funcionales, como los ID de usuario, pueden tener acceso a servicios y aplicaciones a través de políticas de acceso.

Las claves de API de IBM Cloud para los usuarios se pueden crear y asociar con un ID funcional. Si un servicio requiere una clave de API de usuario para interactuar con otros servicios o aplicaciones, utilice la clave de API de ID funcional. Mediante la clave de API asociada al ID funcional, puede proporcionar solo el acceso necesario para ese servicio.

Si está utilizando un ID funcional como propietario de la cuenta, considere Establecer un propietario de cuenta alternativo. Sólo está disponible para cuentas de infraestructura clásica.

ID de servicio

Los ID de servicio son otro tipo de identidad que se utiliza en una cuenta. Los ID de servicio se utilizan para proporcionar una identidad independiente para servicios y aplicaciones. Los ID de servicio son más adecuados cuando una aplicación o servicio necesita una identidad digital y solo necesita acceso a recursos habilitados para IAM. Puede crear un ID de servicio para que lo utilice una aplicación que necesita acceso a sus servicios de IBM Cloud para que no se tengan que utilizar credenciales de usuario individual.

Claves de API del ID de servicio

También puede crear claves de API asociadas con ID de servicio para autenticar aplicaciones como un ID de servicio determinado. De este modo, las aplicaciones pueden acceder a los recursos asignados a ese ID de servicio específico. Las credenciales de clave de API de ID de servicio se pueden utilizar para realizar llamadas de API y CLI. Para obtener más información sobre cómo crear claves de API asociadas con un ID de servicio, consulte Gestión de claves de API de ID de servicio.

Perfiles de confianza

De forma similar a lo que sucede en otras identidades dentro de IAM, los perfiles de confianza se tratan como un asunto al que se otorga acceso en las políticas de IAM.

Normalmente, para que un usuario realice una acción en un recurso de una cuenta, dicha identidad debe añadirse explícitamente a la cuenta. Con perfiles de confianza, un usuario puede realizar las acciones sin ser invitado a una cuenta. En su lugar, se le otorga automáticamente acceso a los recursos cuando aplica la identidad del perfil de confianza durante el inicio de sesión. Solo los usuarios federados por un IdP externo pueden correlacionarse con perfiles de confianza durante el inicio de sesión evaluando los atributos basados en SAML para determinar qué perfiles puede aplicar su identidad.

De forma similar, en lugar de crear un ID de servicio, generar una clave de API y obtener la aplicación para almacenar y validar dicha clave, puede crear perfiles de confianza para recursos de cálculo para definir una autorización precisa para todas las aplicaciones que se ejecutan en un recurso de cálculo. Los recursos de cálculo se convierten en identidades cuando se utilizan como parte de un perfil de confianza. La confianza con los recursos de cálculo se establece mediante condiciones basadas en atributos de recursos o creando un enlace directo a un recurso específico.

También puede establecer confianza con IBM Cloud que necesitan ejecutar una operación en su cuenta. O bien, utilice campos de confianza para proporcionar un ID de servicio desde otro acceso de cuenta en su cuenta.

Identidades de recursos

La pieza final del concepto de identidad en IAM son los recursos IBM Cloud, que se identifican por sus nombres de recursos en la nubeUn identificador exclusivo global para un recurso de nube específico. El valor se segmenta jerárquicamente por versión, instancia, tipo, ubicación y ámbito, separados por dos puntos. (CRN). Todos los recursos que se crean desde el catálogo se identifican por su CRN. Estos CRN se utilizan para autorizaciones de servicio a servicio en IAM. Además, utilice un CRN para asignar acceso a recursos específicos cuando utilice la API. Para obtener más información, consulte Nombres de recursos de nube y Utilización de autorizaciones para otorgar acceso entre servicios.

Para obtener más información, consulte Nombres de recursos de nube y Utilización de autorizaciones para otorgar acceso entre servicios.