Roles de IBM Cloud IAM
Todos los servicios que están organizados en un grupo de recursos en su cuenta se gestionan utilizando IBM Cloud Identity and Access Management (IAM). A los propietarios de las cuentas se les asigna automáticamente el rol de administrador de la cuenta. Como administrador de la cuenta, puede asignar y gestionar el acceso de los usuarios, crear grupos de recursos, crear grupos de acceso, crear perfiles de confianza, ver los detalles de facturación y realizar un seguimiento del uso así como crear instancias de servicio. Puede proporcionar acceso para los usuarios, los ID de servicio, los grupos de acceso y los perfiles de confianza mediante la creación de políticas que establecen un destino al que acceda el sujeto de la política y un rol que defina el tipo de acceso permitido.
roles de IAM
Puede gestionar y definir el acceso basándose en roles específicos para usuarios y en recursos de su cuenta.
-
Las funciones de gestión de la plataforma abarcan una serie de acciones, incluida la capacidad de crear y eliminar instancias, gestionar credenciales y gestionar el acceso. Los roles de plataforma son: administrador, editor, operador y visor. Los roles de gestión de plataforma también se aplican a los servicios de gestión de cuentas que permiten a los usuarios invitar a usuarios, gestionar ID de servicio, acceder a políticas, catalogar entradas y realizar un seguimiento de la facturación y del uso, en función de su rol asignado en un servicio de gestión de cuentas.
-
Los roles de acceso al servicio definen la capacidad de un usuario o servicio de realizar acciones en una instancia de servicio, como acceder a la consola o realizar llamadas de API. Los roles de acceso al servicio más comunes son el gestor, escritor y lector. Cada servicio correlaciona acciones concretas para trabajar con el servicio con cada uno de estos roles.
Puede que no vea todos los roles mostrados en esta lista como opciones cuando asigna políticas en la IU porque solo se muestran los roles disponibles para el servicio que ha seleccionado. Para obtener información específica sobre qué roles están habilitados y qué acciones permite cada rol de acceso para cada servicio, consulte la documentación para dicho servicio.
-
Los roles personalizados para un servicio se pueden crear en la página Roles de IAM por parte del propietario de la cuenta o de un usuario con el rol Administrador asignado en el servicio de gestión de roles.
Puede revisar los roles disponibles y las acciones asociadas para un servicio en particular yendo a la página Roles y seleccionando el servicio sobre el que desea obtener más información. Esta es la misma página en la que puede crear un rol personalizado en la consola.
Roles de gestión de plataforma
Con roles de gestión de plataforma, se puede asignar a los usuarios distintos niveles de permiso para realizar acciones de plataforma en la cuenta y en un servicio. Por ejemplo, los roles de gestión de plataforma que se asignan para los recursos de catálogo permiten a los usuarios realizar acciones como crear, suprimir, editar y ver instancias de servicio. Además, los roles de gestión de plataforma que se asignan para los servicios de gestión de cuentas permiten a los usuarios realizar acciones tales como invitar y eliminar usuarios, trabajar con grupos de recursos y ver información de facturación. Para obtener más información sobre los servicios de gestión de cuentas, consulte Asignación de acceso a los servicios de gestión de cuentas.
Seleccione todos los roles que se aplican al crear una política. Cada rol permite completar acciones separadas y no hereda las acciones de los roles inferiores.
En la siguiente tabla encontrará ejemplos de algunas de acciones de gestión de plataforma que los usuarios pueden realizar dentro del contexto de recursos de catálogo y grupos de recursos. Consulte la documentación de cada producto del catálogo para comprender cómo se aplican los roles a los usuarios en el contexto del servicio que se está utilizando.
| Rol de gestión de plataforma | Uno o todos los servicios habilitados de IAM | Servicio seleccionado en un grupo de recursos | Acceso a grupo de recursos |
|---|---|---|---|
| Rol de visor | Ver instancias y credenciales | Ver solo instancias especificadas en el grupo de recursos | Ver grupo de recursos |
| Rol Operador | Ver instancias y gestionar credenciales | No aplicable | No aplicable |
| Rol Editor | Crear, suprimir, editar y ver instancias. Gestionar credenciales | Crear, suprimir, editar, suspender, reanudar, ver y enlazar solo instancias especificadas en el grupo de recursos | Ver y editar el nombre de grupo de recursos |
| Rol Administrador | Todas las acciones de gestión para los servicios | Todas las acciones de gestión para las instancias especificadas en el grupo de recursos | Ver, editar y gestionar el acceso para el grupo de recursos |
Para obtener información sobre las acciones específicas que pueden emprender los usuarios según su rol asignado sobre los servicios de gestión de cuentas, consulte Asignación de acceso a los servicios de gestión de cuentas.
Algunos servicios pueden correlacionar acciones específicas con los roles de gestión de plataforma que están relacionados con la gestión del servicio en lugar de con el acceso al servicio. Como ejemplo, consulte la tabla siguiente que detalla las acciones de servicio de Kubernetes Service que se correlacionan con estos roles.
| Rol de gestión de plataforma | Acciones | Acciones de ejemplo para Kubernetes Service |
|---|---|---|
| Visor | Puede ver las instancias de servicio, pero no las puede modificar |
|
| Editor | Realizar todas las acciones de plataforma excepto la gestión de la cuenta y la asignación de políticas de acceso |
|
| Operador | Realizar acciones de plataforma necesarias para configurar y operar instancias de servicio, como la visualización de un panel de control de servicio |
|
| Administrador | Realizar todas las acciones de plataforma basadas en el recurso al que se está asignando este rol, incluida la asignación de políticas de acceso a otros usuarios |
|
Roles de acceso al servicio
Los roles de acceso al servicio permiten asignar a los usuarios diferentes niveles de permiso para llamar a la API del servicio y acceder a la IU para el servicio. La tabla siguiente proporciona acciones de ejemplo que se pueden tomar en función de los roles asignados basándose en el uso del servicio Object Storage.
Las acciones que se pueden llevar a cabo en cada rol asignado varían en función de servicio seleccionado para la política. No todos los servicios utilizan estos tipos de roles. Consulte la documentación del servicio para obtener más detalles.
| Rol de acceso de servicio | Acciones | Acciones de ejemplo para el servicio de Object Storage |
|---|---|---|
| Lector | Realizar acciones de solo lectura dentro de un servicio, como la visualización de recursos específicos del servicio | Listar y descargar objetos |
| Writer | Permisos que van más allá del rol de lector, incluida la creación y la edición de recursos específicos del servicio | Crear y destruir grupos y objetos |
| Gestor | Permisos que van más allá del rol de escritor para completar las acciones privilegiadas tal como define el servicio, y además crear y editar recursos específicos del servicio | Gestionar todos los aspectos del almacenamiento de datos, crear y destruir grupos y objetos |
Roles de acceso personalizados
Un propietario de cuenta o un usuario asignado al rol de Administrador en el servicio de gestión de roles puede crear roles personalizados para un servicio en la página Roles de IAM. Cualquier número de acciones que están disponibles para un servicio para cualquier rol de plataforma o servicio se pueden combinar y añadir a un rol con nombre personalizado.
Después de crear el rol, cualquier usuario que pueda asignar acceso para dicho servicio ve el nuevo rol personalizado como una opción. Para obtener más información, consulte Creación de roles personalizados.