IBM Cloud Docs
Gestión de perfiles de confianza

Gestión de perfiles de confianza

Gestione perfiles de confianza actualizando los permisos o redefiniendo las relaciones de confianza en cualquier momento. También puede eliminar perfiles de confianza, de modo que los recursos informáticos y los usuarios federados se desvinculen del perfil y ya no puedan aplicar la identidad del perfil de confianza.

Cuando elimina perfiles de confianza, se revocan todas las sesiones activas. Se cierra inmediatamente la sesión de los usuarios y los perfiles eliminados ya no están disponibles para conectarse a la cuenta de destino. Las llamadas de API que utilizan señales de acceso pueden ser satisfactorias hasta que caduque la señal de acceso.

Puede utilizar Activity Tracker para supervisar los usuarios federados y los recursos de cálculo que se aplican un perfil de confianza. Para obtener más información, consulte Supervisión de sesiones de inicio de sesión para perfiles de confianza.

Antes de empezar

  • Debe tener asignado el rol de administrador, operador o editor dentro de la cuenta, o en IAM Identity Service para gestionar perfiles de confianza.

Actualización de perfiles de confianza mediante la consola

Para actualizar perfiles de confianza, vaya a Gestionar > Acceso (IAM) en la consola de IBM Cloud y seleccione Perfiles de confianza. A continuación, seleccione el nombre del perfil de confianza que desee actualizar.

Actualización de la descripción del perfil

Pulse el nombre del perfil de confianza que desea actualizar y seleccione Acciones > Editar. Especifique el nuevo nombre y la descripción, y pulse Aplicar.

Redefinición de la relación de confianza

Una vez creado el perfil de confianza, puede crear la confianza con los usuarios federados y los recursos de cálculo en el mismo perfil de confianza.

  1. Pulse el nombre del perfil de confianza que desee actualizar.
  2. Pulse Añadir para añadir una condición a la relación de confianza existente. Para editar una condición existente, pulse el icono Acciones Icono Acciones > Editar situado junto a la relación de confianza que desee actualizar.
    • Pulse Añadir una condición y repita los pasos necesarios para añadir más condiciones.
    • Para eliminar una condición, pulse el icono Eliminar Icono Eliminar junto a la condición existente.
  3. Pulse Guardar para aplicar todas las condiciones añadidas o eliminadas al perfil de confianza.

Asignación de accesos

Puede asignar acceso a un perfil de confianza asignando políticas de acceso individuales o añadiendo los perfiles de confianza a un grupo de acceso existente.

Asignación de políticas de acceso

  1. Pulse el nombre del perfil de confianza que desee actualizar.
  2. Haga clic en Acceso.
  3. Para editar políticas de acceso existente, pulse el icono Acciones Icono Acciones > Editar situado junto a la política de acceso que desea actualizar.
  4. Para asignar nuevas políticas de acceso, pulse Asignar.

Puede seleccionar los recursos en función de los atributos de recursos y asignar cualquier combinación de roles.

Asignación de grupos de acceso

  1. Pulse el nombre del perfil de confianza que desee actualizar.
  2. Haga clic en Acceso
  3. Para editar la pertenencia a grupos de acceso existentes, pulse el icono Acciones Icono Acciones > Editar situado junto al grupo de acceso que desea actualizar.
  4. Para añadir el perfil de confianza a un nuevo grupo de acceso, pulse Asignar grupo.
  5. Seleccione los grupos de acceso a los que desea añadir el perfil de confianza y pulse Añadir. Solo puede asignar usuarios a los grupos de acceso sobre los tiene acceso de gestión.
  6. Pulse Asignar.

Actualización de la duración de la sesión

  1. Pulse el nombre del perfil de confianza que desee actualizar.
  2. En la sección de usuarios federados, pulse el icono Acciones Icono Acciones situado junto al proveedor de identidades (IdP) que desea actualizar.
  3. Seleccione Editar
  4. Especifique durante cuánto tiempo, en horas, los usuarios federados pueden utilizar este perfil antes de que caduque su sesión.
  5. Pulse Guardar.

Actualización de perfiles de confianza utilizando la CLI

Puede actualizar un perfil de confianza de su cuenta utilizando la CLI. Para obtener más información, consulte la CLI de IBM Cloud.

  1. Inicie sesión y seleccione la cuenta.

    ibmcloud login
    
  2. Consulte la lista de perfiles de confianza para la cuenta actual y seleccione el que desea actualizar. El siguiente mandato muestra la lista de perfiles de confianza para la cuenta de IBM Cloud:

    ibmcloud iam trusted-profiles
    
  3. Si desea comprobar los detalles de un perfil de confianza, utilice el mandato ibmcloud iam trusted-profile. Especifique el ID o el nombre del perfil de confianza que desea comprobar.

    ibmcloud iam trusted-profile <IDorName>
    
  4. Ejecute el siguiente mandato para obtener una visión general sobre las distintas opciones.

    ibmcloud iam trusted-profile-update
    
  5. Actualice el perfil de confianza ejecutando el siguiente mandato. Especifique el ID o el nombre del perfil de confianza que desee actualizar y renombrar.

    ibmcloud iam trusted-profile-update <IDorName> -n <NewName> ...
    

Por ejemplo, el siguiente mandato actualiza el nombre Test trusted profile a New test trusted profile.

ibmcloud iam trusted-profile-update <Test trusted profile> -n <New test trusted profile> ...

Asignación de políticas de acceso

Puede asignar nuevas políticas de acceso a su perfil de confianza utilizando la CLI.

  1. Inicie sesión y seleccione la cuenta.

    ibmcloud login
    
  2. Compruebe la lista de perfiles de confianza para la cuenta actual y seleccione el perfil al que desee asignar las nuevas políticas de acceso. El siguiente mandato muestra la lista de perfiles de confianza para la cuenta de IBM Cloud:

    ibmcloud iam trusted-profiles
    
  3. Asigne nuevas políticas de acceso ejecutando el siguiente mandato:

    ibmcloud iam trusted-profile-policy-create
    

Para comprobar los detalles de la política de acceso de un perfil de confianza, ejecute el siguiente mandato:

ibmcloud iam trusted-profile-policy

Para comprobar la lista de políticas de acceso de un perfil de confianza, puede utilizar el mandato ibmcloud iam trusted-profile-policies:

ibmcloud iam trusted-profile-policies

Puede actualizar fácilmente las políticas de acceso existentes ejecutando el mandato ibmcloud iam trusted-profile-policy-update:

ibmcloud iam trusted-profile-policy-update

Si desea eliminar una política de acceso para un perfil de confianza, puede utilizar el mandato ibmcloud iam trusted-profile-policy-delete:

ibmcloud iam trusted-profile-policy-delete

Actualización de perfiles de confianza utilizando la API

Para obtener más información, consulte la API de IAM Identity Services.

Actualización del nombre o la descripción

Para actualizar el nombre o la descripción de un perfil de confianza existente, invoque lo siguiente. Especifique los atributos name y description actualizados.

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID' -H 'Authorization: Bearer TOKEN' -H 'If-Match: <value of etag header from GET request>' -H 'Content-Type: application/json' -H 'Accept: application/json' -d '{
  "name": "My Profile updated",
  "description": "My updated desc"
}'

Actualización de las condiciones de la relación de confianza

Una vez creado el perfil de confianza, puede crear la confianza con los usuarios federados y los recursos de cálculo en el mismo perfil de confianza.

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID/rules/CLAIM_RULE_ID'
-H 'Authorization: Bearer TOKEN'
-H 'If-Match: <value of etag header from GET request>'
-H 'Content-Type: application/json'
-H 'Accept: application/json'
-d '{
   "type": "Profile-SAML",
   "realm_name": "https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20",
   "expiration": 10000,
   "conditions": [
  {
"claim": "groups",
"operator": "CONTAINS",
"value": "\"cloud-docs-ops\""
  }
  ]
}'

Asignación de políticas de acceso

Para asignar nuevas políticas de acceso, invoque lo siguiente:

curl -X PUT 'https://iam.cloud.ibm.com/v1/policies'
-H 'Authorization: Bearer $TOKEN'
-H 'Content-Type: application/json'
-H 'If-Match: $ETAG'
-d '{
"type": "access",
"description": "Viewer role for for all instances of SERVICE_NAME in the account.",
"subjects": [
   {
      "attributes": [
      {
         "name": "iam_id",
         "value": "IBMid-123453user"
      }
      ]
   }'
],
"roles":[
   {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
   }
],
"resources":[
   {
      "attributes": [
      {
         "name": "accountId",
         "value": "$ACCOUNT_ID"
      },
      {
         "name": "serviceName",
         "value": "$SERVICE_NAME"
      }
      ]
   }
]
}'

Para obtener más información, consulte la API de Gestión de políticas de IAM.

Actualización de la duración de la sesión

Para actualizar la duración de la sesión para usuarios federados, invoque lo siguiente:

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID/rules/CLAIM_RULE_ID'
-H 'Authorization: Bearer TOKEN'
-H 'If-Match: <value of etag header from GET request>'
-H 'Content-Type: application/json'
-H 'Accept: application/json'
-d '{
   "type": "Profile-SAML",
   "realm_name": "https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20",
   "expiration": 10000,
   "conditions": [
  {
"claim": "groups",
"operator": "CONTAINS",
"value": "\"cloud-docs-ops\""
  }
  ]
}'

Eliminación de perfiles de confianza mediante la consola

Cuando elimina perfiles de confianza, los recursos de cálculo y los usuarios federados se desvinculan del perfil y ya no pueden aplicar la identidad del perfil de confianza. Para eliminar un perfil de confianza, siga estos pasos:

  1. Para ver la lista completa de perfiles de confianza en su cuenta, vaya a Gestionar > Acceso (IAM) en la consola de IBM Cloud y seleccione Perfiles de confianza.
  2. Haga clic en el ícono Acciones junto al perfil de confianza que desea eliminar y seleccione Eliminar.

Eliminación de perfiles de confianza utilizando la CLI

Puede eliminar un perfil de confianza de la cuenta utilizando la CLI. Para obtener más información, consulte la CLI de IBM Cloud.

  1. Inicie sesión y seleccione la cuenta.

    ibmcloud login
    
  2. Consulte la lista de perfiles de confianza para la cuenta actual y seleccione el que desea eliminar. El siguiente mandato muestra la lista de perfiles de confianza para la cuenta de IBM Cloud:

    ibmcloud iam trusted-profiles
    
  3. Elimine el perfil de confianza de su cuenta ejecutando el siguiente mandato. Especifique el ID o el nombre del perfil de confianza que desea eliminar.

    ibmcloud iam trusted-profile-delete <IDorName>
    

Por ejemplo, el siguiente mandato elimina un perfil de confianza denominado Test trusted profile.

ibmcloud iam trusted-profile-delete <Test trusted profile>

Eliminación de perfiles de confianza utilizando la API

Para eliminar un perfil de confianza de su cuenta, invoque lo siguiente:

curl -X DELETE 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID' -H 'Authorization: Bearer TOKEN'

Para obtener más información, consulte la API de IAM Identity Services.