IBM Cloud Docs
Creación y trabajo con los ID de servicio

Creación y trabajo con los ID de servicio

Un ID de servicio identifica un servicio o una aplicación de forma similar a como un ID de usuario identifica un usuario. Puede crear un ID de servicio y utilizarlo para habilitar una aplicación fuera del acceso de IBM Cloud a los servicios de IBM Cloud. Puede asignar políticas de acceso específicas al ID de servicio que restrinjan permisos para utilizar servicios específicos, o incluso combinar permisos para acceder a servicios distintos. Puesto que los ID de servicio no están vinculados a un usuario específico, si un usuario abandona una organización y se suprime de la cuenta, el ID de servicio permanece. De esta forma, la aplicación o el servicio se mantiene activo y en ejecución.

Al crear un ID de servicio, se crea un nombre y una descripción únicos que le resultarán fáciles de identificar y con los que podrá trabajar en la consola. Una vez que haya creado el ID de servicio, puede crear claves de API concretas para cada ID de servicio que puede utilizar la aplicación para autenticarse con sus servicios de IBM Cloud. Para asegurarse de que la aplicación tenga el acceso apropiado para autenticarse con los servicios de IBM Cloud, utilice políticas de acceso asignadas a cada ID de servicio que cree.

Las políticas de acceso asociadas con un ID de servicio permiten acciones específicas que se pueden realizar cuando se utilice dicho ID de servicio para acceder a un servicio específico. Un ID de servicio puede tener asignadas varias políticas para diferentes servicios habilitados para identidad y acceso, e incluso diferentes instancias de un mismo servicio. Por ejemplo, tiene dos servicios con dos instancias de servicio cada uno. Puede asignar el rol de Visualizador para todas las instancias disponibles de un servicio y asignar el rol de Editor para una sola instancia de un segundo servicio. De este modo, puede personalizar el acceso a varios servicios, pero utilizar una única clave API para autenticarse en todos.

Todos los usuarios tienen acceso para crear un ID de servicio en una cuenta de la cual sean miembros. Sin embargo, para permitir que un usuario de una cuenta acceda a ver o gestionar un ID de servicio que no ha creado personalmente, debe tener acceso con un rol en el servicio de gestión de cuentas IAM Identity. Para obtener más información, consulte Servicio de identidad IAM.

Los grupos de ID de servicio organizan los ID de servicio de manera más eficaz en grupos, lo que mejora la eficiencia de las operaciones de listado al reducir el número de ID de servicio que deben procesarse. Los grupos de ID de servicio no se integran con la gestión de acceso, por lo que no se pueden utilizar en las políticas de IAM para controlar el acceso.

Puede asignar cualquier acceso de identidad para ver o gestionar un ID de servicio utilizando etiquetas de gestión de acceso. Para obtener más información, consulte Conexión de etiquetas a un ID de servicio.

Si la opción Restringir la creación de ID de servicio está activada en la configuración de la cuenta de IAM, todos los usuarios de la cuenta, incluidos los propietarios, no podrán crear ID de servicio a menos que se les asigne un acceso explícito. Para obtener más información, consulte Restringir a los usuarios la creación de ID de servicio.

Creación de un ID de servicio mediante la consola

Cuando se crea un ID de servicio, debe añadirse a un grupo de ID de servicio. El grupo por defecto se crea automáticamente, pero puedes crear más grupos si lo necesitas. Si no crea ningún otro grupo, los ID de servicio se añaden al grupo predeterminado. Para crear un ID de servicio, siga los pasos siguientes:

  1. En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione ID de servicio.
  2. (Opcional) Seleccione un grupo en el menú Grupo de ID de servicio. Se selecciona el grupo por defecto. No puede mover un ID de servicio a otro grupo, así que asegúrese de que está seleccionado el grupo correcto antes de crear el ID de servicio.
  3. Pulse Crear.
  4. Siga el proceso para crear un nombre y una descripción para el ID de servicio.
  5. Pulse Crear.

Creación de un ID de servicio utilizando la CLI

Los grupos de ID de servicio le ayudan cuando se encuentra con un límite en el número de ID de servicio permitidos en una cuenta. En lugar de aumentar estos límites, lo que podría provocar problemas de rendimiento, los grupos de ID de servicio ofrecen una forma de crear más ID de servicio sin afectar al rendimiento del sistema.

Cuando se crea un ID de servicio, debe añadirse a un grupo de ID de servicio. El grupo por defecto se crea automáticamente, pero puedes crear más grupos si lo necesitas. Si no especifica un grupo de ID de servicio, su ID de servicio se añade al grupo predeterminado.

No se puede mover un ID de servicio a otro grupo, así que asegúrese de que se especifica el grupo correcto en el comando antes de crear el ID de servicio.

Para crear un ID de servicio, utilice el comando ibmcloud iam service-id-create comando.

Creación de un ID de servicio mediante la API

Los grupos de ID de servicio le ayudan cuando se encuentra con un límite en el número de ID de servicio permitidos en una cuenta. En lugar de aumentar estos límites, lo que podría provocar problemas de rendimiento, los grupos de ID de servicio ofrecen una forma de crear más ID de servicio sin afectar al rendimiento del sistema.

Cuando se crea un ID de servicio, debe añadirse a un grupo de ID de servicio. El grupo por defecto se crea automáticamente, pero puedes crear más grupos si lo necesitas. Si no especifica un grupo de ID de servicio, su ID de servicio se añade al grupo predeterminado.

No puede mover un ID de servicio a otro grupo, así que asegúrese de que se especifica el grupo correcto en la API antes de crear el ID de servicio.

Para crear un ID de servicio, utilice la dirección Crear un método API de ID de servicio.

Gestión de un ID de servicio mediante la consola

Puede editar un ID de servicio cambiando el nombre y la descripción en cualquier momento. También puede eliminar y crear nuevas claves API según sea necesario, actualizar las políticas de acceso asignadas o eliminar el ID de servicio.

No se puede mover un ID de servicio a otro grupo de ID de servicio. En su lugar, elimine el ID de servicio y cree otro en el grupo de ID de servicio que desee utilizar.

Los cambios que realice en un ID de servicio existente, como por ejemplo cambiar las políticas asignadas o suprimir una clave de API que se esté utilizando, podrían causar interrupciones del servicio para aplicaciones que utilizan dicho ID de servicio. La supresión de un ID de servicio también suprime todas las claves de API asociadas y las políticas asignadas. Esta acción no se puede deshacer y puede provocar interrupciones entre los servicios dependientes.

  1. En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione ID de servicio.
  2. (Opcional) Seleccione un grupo en el menú Grupo de ID de servicio. Se selecciona el grupo por defecto.
  3. Coloque el cursor sobre la fila de un ID de servicio y haga clic en el ícono Acciones Ícono Acciones para administrar su ID de servicio.

Para asignar rápidamente el acceso o crear claves API, haga clic en el nombre del ID del servicio en la fila. Para obtener más información sobre cómo trabajar con las claves de API, consulte Gestión de claves de API de ID de servicio.

Gestión de un ID de servicio mediante la CLI

Puede utilizar la CLI para ver los detalles de un ID de servicio, actualizar el nombre y la descripción, eliminar un ID de servicio, etc.

  • Para ver los detalles de un ID de servicio, utilice el comando ibmcloud iam service-id comando.

  • Para actualizar el nombre y la descripción de un ID de servicio, utilice el comando ibmcloud iam service-id-update comando

  • Para eliminar un ID de servicio, utilice el comando ibmcloud iam service-id-delete comando.

    La supresión de un ID de servicio también suprime todas las claves de API asociadas y las políticas asignadas. Esta acción no se puede deshacer y puede provocar interrupciones entre los servicios dependientes.

Para obtener una lista completa de los comandos de ID de servicio, parámetros y ejemplos vaya a la documentación CLI de IAM.

Gestión de un ID de servicio mediante la API

Puede utilizar la API para ver los detalles de un ID de servicio, actualizar el nombre y la descripción, eliminar un ID de servicio, etc.

  • Para ver los detalles de un ID de servicio, utilice el método de la API Actualizar ID de servicio.

  • Para actualizar el nombre y la descripción de un ID de servicio, utilice el método de la API Actualizar ID de servicio.

  • Para eliminar un ID de servicio, utilice el método de la API Eliminar un ID de servicio y las claves API asociadas.

    La supresión de un ID de servicio también suprime todas las claves de API asociadas y las políticas asignadas. Esta acción no se puede deshacer y puede provocar interrupciones entre los servicios dependientes.

Para obtener una lista completa de métodos de ID de servicio, parámetros de solicitud opcionales y obligatorios, y ejemplos, consulte la documentación de la API de servicios de identidad de IAM.

Bloqueo de un ID de servicio

Para evitar una situación en la que su ID de servicio se elimine causando un corte o interrupción para los usuarios de su servicio, puede bloquear su ID de servicio. El bloqueo de un ID de servicio también impide que las políticas se cambien, se supriman o se asignen. Además de la capacidad de bloquear un ID de servicio, puede bloquear claves de API individuales asociadas con cada ID de servicio de la cuenta.

Aunque los ID de servicio bloqueados no se pueden suprimir de la cuenta y las políticas de acceso no se pueden actualizar, los ID de servicio bloqueados se pueden eliminar de cualquier grupo de acceso al que se añadan. Esto significa que cualquier acceso asignado al ID mediante su suscripción en un grupo de acceso se elimina cuando el ID de servicio se elimina del grupo de acceso.

Facilitar el acceso de los usuarios para bloquear y desbloquear los identificadores de servicio

Para que un usuario tenga acceso a bloquear y desbloquear ID de servicio y claves de API asociados con los ID de servicio, deben tener asignados una política de acceso específica. Hay dos tipos de políticas de acceso que pueden otorgar el acceso adecuado: acceso a todos los ID de servicio de la cuenta o acceso a un ID de servicio específico de la cuenta

Para asignar acceso a todos los ID de servicio de la cuenta, establezca una política de acceso para los servicios de gestión de la cuenta con los detalles siguientes:

  • Rol de Editor o Administrador
  • IAM Identity Service

Para asignar acceso a un ID de servicio específico en la cuenta, establezca una política de acceso para los servicios de gestión de la cuenta con los detalles siguientes:

  • Rol de Editor o Administrador
  • IAM Identity Service
  • Especifique serviceid en el campo Tipo de recurso
  • Especifique el identificador del ID de servicio en el campo ID de recurso

Para obtener el identificador de un ID de servicio específico, vaya a Gestionar > Acceso (IAM) en la consola de IBM Cloud y seleccione ID de servicio. Seleccione el ID de servicio para el que desea ver detalles, y copie el valor del ID.

Bloqueo y desbloqueo de un ID de servicio mediante la consola

Debe tener el nivel de acceso adecuado para bloquear o desbloquear un ID de servicio. Para bloquear o desbloquear un ID de servicio, siga estos pasos:

  1. En la consola de IBM Cloud, pulse Gestionar > Acceso (IAM) y, a continuación, seleccione ID de servicio.
  2. Pase el ratón por encima de la fila de un ID de servicio y haga clic en el icono Acciones Icono Acciones para bloquear o desbloquear un ID de servicio.

Bloqueo y desbloqueo de un ID de servicio mediante la CLI

Debe tener el nivel de acceso apropiado para desbloquear un ID de servicio.

Bloqueo y desbloqueo de un ID de servicio mediante la API

Debe tener el nivel de acceso apropiado para desbloquear un ID de servicio.

Crear y trabajar con grupos de ID de servicio mediante la consola

Cuando se crea un ID de servicio, debe añadirse a un grupo de ID de servicio. El grupo por defecto se crea automáticamente, pero puedes crear más grupos si lo necesitas. Cada grupo de ID de servicio puede contener hasta 2.000 ID de servicio, con un límite máximo de 100.000 ID de servicio en su cuenta.

Creación de un grupo de ID de servicio mediante la consola

Para crear un grupo de ID de servicio, siga estos pasos:

  1. En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione ID de servicio.
  2. Pulse Crear grupo.
  3. Siga el proceso para crear un nombre y una descripción para su grupo de ID de servicio.
  4. Pulse Crear.

Eliminación de un grupo de ID de servicio mediante la consola

Para eliminar un grupo de ID de servicio, debe estar vacío. Elimine todos los ID de servicio dentro del grupo antes de eliminar el grupo. A continuación, realice los pasos siguientes:

  1. En la consola de IBM Cloud, vaya a Gestionar > Acceso (IAM) y seleccione ID de servicio.

  2. Seleccione un grupo en el menú de grupos de ID de servicio.

    El grupo de ID de servicio predeterminado no se puede eliminar.

  3. Haga clic en Eliminar en la cabecera de la tabla.

  4. Pulse Suprimir para confirmar.

Creación y trabajo con grupos de ID de servicio mediante la CLI

Puede crear y gestionar grupos de ID de servicio utilizando la consola. Para ver los pasos, pase a las instrucciones de la interfaz de usuario.

Creación y trabajo con grupos de ID de servicio mediante la API

Puede crear y gestionar grupos de ID de servicio utilizando la consola. Para ver los pasos, pase a las instrucciones de la interfaz de usuario.