IBM Cloud Docs
¿Qué es una cuenta?

¿Qué es una cuenta?

La cuenta de IBM Cloud® incluye muchos componentes y sistemas que interactúan para la gestión de recursos, usuarios y accesos. Conceptos como el modo en que se conectan determinados componentes o el modo en que funciona el acceso le ayudarán a entender cómo configurar la cuenta.

El diagrama siguiente contiene dos conceptos principales para los componentes de la jerarquía de cuentas que debe comprender. El uso de las líneas continuas y discontinuas ayuda a ilustrar que algunos componentes están contenidos dentro de otros, por ejemplo, los usuarios se añaden a grupos de acceso. Sin embargo, algunos componentes interactúan con otros para ofrecer acceso en lugar de pertenencia a grupo. Por ejemplo, se otorga a los usuarios acceso a grupos de recursos, pero no son miembros de un grupo de recursos del mismo modo que lo son de los grupos de acceso.

Diagrama que muestra los componentes de una cuenta, incluidos los servicios, los usuarios y los subcomponentes de cada uno.
Diagrama que muestra los componentes de una cuenta, incluidos los servicios, los usuarios y los subcomponentes de cada uno.

Usuarios
Se invita a los usuarios a la cuenta y se les otorga acceso a los recursos de la cuenta.
ID de servicio
Un ID de servicio identifica un servicio o una aplicación de forma similar a como un ID de usuario identifica un usuario. Puede utilizar un ID de servicio que cree para habilitar una aplicación fuera del acceso de IBM Cloud a sus servicios. Puede asignar políticas de acceso específicas al ID de servicio que restrinjan permisos para utilizar servicios específicos, o incluso combinar permisos para acceder a servicios distintos. Puesto que los ID de servicio no están vinculados a un usuario específico, si un usuario abandona una organización y se suprime de la cuenta, el ID de servicio seguirá garantizando que su aplicación o servicio permanece activo y en ejecución. Para obtener más información, consulte Cómo crear y trabajar con ID de servicio.
Perfiles de confianza
A trusted profile is a grouping of federated users, compute resources, IBM Cloud services, service IDs, or a combination of entities, to which the same IBM Cloud Identity and Access Management (IAM) access can be granted. Al aplicar un perfil de confianza, se proporcionan credenciales de seguridad temporales mientras dura una sesión. Todas las identidades que pueden aplicar un perfil individual heredan el mismo acceso. Para obtener más información, consulte Creación de perfiles de confianza.
Instancias de servicio o recursos
Los servicios de IBM Cloud están basados en grupos de recursos. Las instancias de servicio que pueden añadirse a un grupo de recursos y gestionarse mediante IAM se denominan recursos. Para obtener más información, consulte Creación de recursos.
Claves de API
Una clave de API es un código exclusivo que se pasa a una API para identificar al usuario o la aplicación que la llama. Puede utilizar las claves de API de la plataforma, que están asociadas con las identidades de usuario, y crear otras claves de API para los ID de servicio. Para obtener más información, consulte Visión general de las claves de API.
Grupos de acceso
Puede crear un grupo de acceso para organizar un conjunto de usuarios, ID de servicio y perfiles de confianza en una sola entidad y asignar permisos de forma sencilla. Puede asignar una única política al grupo en lugar de asignar el mismo acceso varias veces por usuario individual o ID de servicio. Para obtener más información, consulte Configuración de grupos de acceso.
Grupos de recursos
Puede utilizar un grupo de recursos para organizar sus recursos de cuenta en agrupaciones personalizables para que pueda asignar accesos de usuario rápidamente a más de un recurso a la vez. Cualquier recurso de cuenta que se gestione mediante el control de acceso de IAM pertenece a un grupo de recursos dentro de su cuenta. Los usuarios no se añaden a grupos de recursos, sino que se les otorga acceso a los recursos que contienen o bien pueden gestionar el grupo de recursos. Los usuarios a los que se otorga acceso para gestionar el grupo de recursos pueden crear nuevas instancias dentro del grupo, gestionar el acceso de otros usuarios para que trabajen con el grupo o editar el nombre del grupo en función de rol de IAM asignado. Puede tener un máximo de 1000 grupos de recursos por cuenta. Para obtener más información, consulte Prácticas recomendadas para organizar recursos y asignar accesos.

Otro aspecto importante del diagrama anterior es la representación de los dos tipos de sistemas de gestión de acceso que puede utilizar para proporcionar a los usuarios de la cuenta acceso a los recursos dentro de la cuenta.

  • Puede utilizar los roles de acceso de IAM para otorgar a los usuarios acceso a todos los recursos pertenecientes a un grupo de recursos. También puede proporcionar a los usuarios acceso para gestionar grupos de recursos y crear nuevas instancias de servicio que se asignan a un grupo de recursos.
  • Puede utilizar permisos de la infraestructura clásica para otorgar a los usuarios permisos más granulares para los recursos de infraestructura clásica. Puede asignar el acceso de dispositivo y el acceso de subred VPN por separado.