Mise en correspondance des concepts IBM Cloud IAM et des fonctionnalités apportées par d'autres fournisseurs de cloud
Identity and Access Management permet d'authentifier les utilisateurs en toute sécurité et de leur fournir un accès aux ressources de cloud. Bien que l'implémentation d'IAM dans les différents fournisseurs de cloud représente une façon cohérente de sécuriser l'authentification et l'accès, les concepts utilisés par chaque fournisseur de cloud et la façon dont ils sont appliqués peuvent différer. Consultez les informations du tableau ci-dessous pour une comparaison/un rapprochement entre les concepts IBM Cloud IAM et ceux d'autres fournisseurs de cloud, pour vous aider à aborder IBM Cloud en douceur.
Comparaison des concepts IAM
Les mappages suivants des concepts IBM Cloud IAM à ceux d'autres fournisseurs de cloud, tels qu'AWS (Amazon Web Services), Google Cloud Platform et Microsoft Azure, peuvent ne pas aboutir à une correspondance exacte. Toutefois, si vous avez l'habitude d'utiliser un concept particulier chez un autre fournisseur, ce tableau peut vous aider à trouver le concept connexe le plus proche dans IBM Cloud.
| Concept IBM Cloud | Description IBM Cloud | AWS | Azure | Google Cloud Platform |
|---|---|---|---|---|
| Identités | Utilisateurs et ID de service | Utilisateurs, groupes et rôles | Utilisateur, groupe, principal de service, identité gérée | Comptes utilisateur et comptes de service. Types d'identité pris en charge : Google Account, Service Account, Google Group, G Suite Domain, Cloud Identity Domain |
| Utilisateurs | Gérés en dehors d'IAM. Les utilisateurs sont identifiés de façon unique dans IBM Cloud avec la valeur iam_id mais peuvent provenir d'IBMid, d'App ID ou de SoftLayer | Géré dans IAM. Identité fédérée dans un système de gestion des identités externes. | Gérés dans Active Directory | Gérés en dehors d'IAM. Identité fédérée dans un système de gestion des identités externes. |
| ID de service | ID d'une application ou d'un service. | Rôles affectés à une application | Identité attribuée par l'utilisateur | Comptes de service |
| clé d'API | Données d'identification utilisées pour un utilisateur ou un ID de service | Clé d'accès | clé-api | clé d'API |
| Groupes d'accès | Façon d'organiser les utilisateurs et les ID de service dans laquelle tous les membres du groupe ont le même accès. | Groupes, rôles | Groupes Active Directory | Google Groups |
| Profils sécurisés | Moyen d'octroyer l'accès aux utilisateurs fédérés en fonction des attributs SAML ou à toutes les applications exécutées dans une ressource de calcul sans qu'il ne soit nécessaire de gérer et de permuter les données d'identification. | Rôles | Identité gérée | Identité de la charge de travail |
| Règle | Affectation d'accès constituée d'un sujet, d'une cible et d'un rôle. | Règle | Affectation de rôle | Règle |
| Sujet de règle | Utilisateur, ID de service ou groupe d'accès | Utilisateur, groupe ou rôle IAM | Principal de sécurité | Une ressource |
| Rôles | Un rôle est une collection d'actions pour une ressource spécifique qui est utilisée en tant que bloc de construction pour créer une règle d'accès. | Règle gérée par AWS | Définition de rôle | Rôles prédéfinis |
| Rôles personnalisés | Rôle nommé et défini par le client, n'incluant que les actions choisies par l'utilisateur. | Règles gérées par le client | Rôles personnalisés | Rôles personnalisés |
| Actions | Ce qu'il est possible d'effectuer dans le contexte de la plateforme ou du service | Actions | Droits | Droits |
| Ressources | Cible d'une règle d'accès | Ressources | Ressources | Ressources |
| Groupes de ressources | Conteneur d'organisation logique pour les services IAM | Balises | Groupes de ressources | Projets |
| Accès public | L'accès public à des ressources spécifiques est activé via un groupe d'accès par défaut, appelé Accès public. Cette fonction peut être désactivée sur chaque compte. | Fonction d'Amazon S3 qui peut être activée pour des ressources spécifiques et désactivée au niveau du compte ou du compartiment. | L'accès public en lecture peut être activé pour des types ou des ressources de compte spécifiques. Il peut être désactivé au niveau du compte de stockage ou du conteneur. | Google a un identificateur pour allAuthenticatedUsers qui représente tous les comptes de service et tous les utilisateurs authentifiés avec un compte Google, qui peut également bénéficier de l'accès. |
| Audit | Audit avec IBM Cloud Activity Tracker Event Routing | Audit avec AWS CloudTrail | Journaux d'activité d'audit et de journalisation Azure | Audit avec journalisation d'audit |
| IAM géré par l'entreprise | Administration centralisée des paramètres d'accès et de sécurité pour un environnement multicompte IBM Cloud. | AWS Tour de contrôle |
Fédération des utilisateurs dans IBM Cloud
IBM Cloud offre deux façons de fédérer votre fournisseur d'identité d'entreprise, ce qui simplifie la connexion en donnant à vos employés l'accès à IBM Cloud via leur nom d'utilisateur et leur mot de passe. Vous pouvez fédérer avec IBMidou vous avez la possibilité de créer une instance de service IBM Cloud App ID et de l'utiliser pour fédérer des utilisateurs dans un compte IBM Cloud. Pour plus d'informations, voir Activation de l'authentification à partir d'un fournisseur d'identité externe.
Les deux options de fédération nécessitent que l'utilisateur soit membre du compte ou ait accès au compte par un profil sécurisée pour pouvoir effectuer des opérations. Si les profils sécurisés ne sont pas configurés, le propriétaire du compte ou l'administrateur doit inviter les IBMid individuels dans le compte IBM Cloud. Ce n'est que si l'IBMid invité accepte l'invitation que l'utilisateur correspondant est ajouté au compte en tant qu'utilisateur actif. Dans l'option App ID, l'utilisateur est automatiquement intégré dans IBM Cloud, sans qu'il soit nécessaire d'inviter chaque utilisateur à rejoindre le compte. Dans les deux types de fédération, les utilisateurs sont des utilisateurs de compte IBM Cloud actifs qui peuvent accéder à la plateforme, y compris les ressources activées pour IAM et l'infrastructure classique, en fonction de l'accès qui leur a été affecté.
Les profils sécurisés traitent différemment les utilisateurs fédérés. Si le client fédère son IdP d'entreprise, les utilisateurs de cet IdP ne sont pas ajoutés à un compte comme ce que nous pourrions considérer comme des utilisateurs type. Au lieu de cela, les attributs du fournisseur d'identité basés sur SAML sont évalués lors de la connexion et, s'ils remplissent toutes les conditions d'un profil sécurisé, ils sont invités à appliquer un ou plusieurs profils sécurisés. Les profils sécurisés accordent aux utilisateurs le niveau d'accès dont ils ont besoin pour effectuer des tâches spécialisées et spécifiques dans un temps limité, par exemple, 1 à 4 heures. L'accès temporel permet d'effectuer fréquemment des vérifications d'authentification pour réduire les risques de sécurité. Il s'agit généralement de tâches critiques que vous aimeriez ne pas avoir à effectuer involontairement lors de votre travail quotidien. Les utilisateurs n'ont pas besoin d'être intégrés à IBM Cloud, ils sont automatiquement ajoutés via la relation d'accréditation. Si un utilisateur quitte votre entreprise, vous pouvez supprimer son identité d'entreprise dans votre répertoire, ce qui révoque l'accès à IBM Cloud.