Fonctionnement de IBM Cloud IAM

Découvrez IBM Cloud IAM (Identity and Access Management), son mode de fonctionnement, les fonctions dont vous disposez ainsi que la façon d'accéder à la console, à l'interface de ligne de commande et aux API pour utiliser IAM dans votre compte.

IAM vous permet d'authentifier de manière sécurisée les utilisateurs des services de plateforme et de contrôler de façon cohérente l'accès aux ressources d'IBM Cloud. Un ensemble de services IBM Cloud, qui est activé pour utiliser IBM Cloud IAM pour le contrôle d'accès, est organisé en groupes de ressources dans votre compte afin de permettre aux utilisateurs d'accéder rapidement à plusieurs ressources à la fois. Chacun de ces services est identifié comme étant activé pour IAM dans le catalogue. Vous pouvez utiliser des règles d'accès IAM pour affecter aux utilisateurs, aux ID de service et aux profils sécurisés un accès aux ressources de votre compte. Vous pouvez également regrouper des utilisateurs, des ID de service et des profils sécurisés dans un groupe d'accès pour donner à tous les membres du groupe le même niveau d'accès.

Vous pouvez utiliser des profils sécurisés pour automatiser le regroupement et l'octroi de l'accès aux utilisateurs, aux services et aux identités d'application. En spécifiant des conditions basées sur les attributs SAML pour les utilisateurs dont l'identité est fédérée par votre fournisseur d'identité externe, les utilisateurs peuvent se voir octroyer l'accès aux ressources sans devoir être invités dans le compte, s'ils remplissent ces conditions. Pour les identités de service et d'application, vous pouvez définir une autorisation à granularité fine pour toutes les applications qui s'exécutent dans une ressource de calcul sans créer d'ID de service ni gérer le cycle de vie de la clé d'API pour les applications.

Contrôle d'accès IAM dans un compte — Fonctionnement de l'accès IAM dans un compte à l'aide de groupes d'accès. Les ID de service et la sélection de IBM Cloud peuvent également utiliser des profils sécurisés.

Pour l'infrastructure classique qui ne prend pas en charge l'utilisation des règles IAM IBM Cloud pour la gestion des accès, vous pouvez utiliser la documentation classic infrastructure permissions.

Fonctions fournies

IBM Cloud IAM offre un large éventail de fonctions pour vos besoins en matière d'identité et de gestion d'accès.

Gestion des utilisateurs

La gestion unifiée des utilisateurs vous permet d'ajouter et de supprimer des utilisateurs dans un compte à la fois pour les services de plateforme et d'infrastructure classique. Vous pouvez organiser un groupe d'utilisateurs dans un groupe d'accès pour faciliter et accélérer l'affectation d'accès à plusieurs utilisateurs ou ID de service à la fois.

Contrôle d'accès à granularité fine

Les accès des utilisateurs, ID de service, groupes d'accès et profils sécurisés sont définis par une règle. Au sein de la règle, la portée d'accès peut être affectée à un ensemble de ressources dans un groupe de ressources, une ressource unique ou des services de gestion des comptes. Une fois la cible spécifiée, vous pouvez définir les actions autorisées par le sujet de la règle en sélectionnant des rôles d'accès. Les rôles sont un moyen de personnaliser le niveau d'accès accordé au sujet de la règle afin d'effectuer des tâches sur la cible de la règle, qu'il s'agisse de tâches de gestion de plateforme dans le compte, d'accéder à l'interface utilisateur d'un service ou d'émettre des appels API.

Vous pouvez également ajouter des conditions basées sur le temps à une règle qui définit à quel moment la règle accorde l'accès, que vous souhaitiez accorder un accès temporaire aux ressources de votre compte ou autoriser l'accès pendant les fenêtres de temps récurrentes. Pour plus d'informations, voir Limitation de l'accès avec des conditions temporelles.

Groupes d'accès pour une gestion rationalisée des accès

Affectez rapidement et facilement l'accès à un groupe d'utilisateurs, d'ID de service ou de profils sécurisés organisés dans un groupe d'accès en affectant l'accès au groupe, puis ajoutez ou supprimez des identités au besoin pour accorder ou refuser l'accès aux ressources du compte. Les groupes d'accès vous permettent de gérer un nombre minimal de règles dans le compte. Pour plus d'informations, voir Configuration des groupes d'accès.

Profils sécurisés permettant de ne plus avoir besoin de gérer les données d'identification

Accordez automatiquement aux utilisateurs fédérés l'accès à votre compte avec des conditions basées sur les attributs SAML de votre annuaire d'entreprise. Les profils sécurisés peuvent également être utilisés pour configurer une autorisation à granularité fine pour les applications qui sont en cours d'exécution dans les ressources de traitement. De cette façon, vous n'êtes pas obligé de créer des ID de service ou des clés d'API pour les ressources de calcul. Affectez l'accès au profil en l'ajoutant à un groupe d'accès ou en affectant des règles individuelles, puis ajoutez ou supprimez des conditions selon les besoins pour accorder ou refuser l'accès aux ressources du compte. A l'aide de profils sécurisés, vous pouvez gérer de manière centralisée le cycle de vie des accès à plusieurs actifs IBM Cloud. Pour plus d'informations, voir Création de profils sécurisés.

Utilisateurs fédérés

Vos utilisateurs ont peut-être déjà des identités en dehors de IBM Cloud dans votre annuaire d'entreprise. Si vos utilisateurs ont besoin d'utiliser des ressources IBM Cloud ou des applications qui accèdent à ces ressources, ces utilisateurs ont également besoin de données d'identification IBM Cloud. Vous pouvez utiliser un profil sécurisé afin de spécifier les droits d'accès des utilisateurs dont l'identité est fédérée à partir de votre organisation ou d'un fournisseur d'identité externe. A l'aide de votre fournisseur d'identité, vous pouvez offrir aux utilisateurs de votre société un moyen d'utiliser la connexion unique (SSO). Pour connecter vos utilisateurs fédérés à des ressources IBM Cloud, voir Fédération des utilisateurs dans IBM Cloud.

Transcription vidéo

Nous sommes heureux de vous présenter le dernier et meilleur type d'identité : les profils sécurisés IBM Cloud. Vous cherchez le moyen le plus fiable et le plus efficace de gérer l'accès à votre compte, alors découvrez comment utiliser des profils sécurisés.

Auparavant, l'organisation des identités et l'affectation des accès étaient limitées aux groupes d'accès, où chaque utilisateur est ajouté manuellement au compte.

En tant que propriétaire de compte, vous pouvez gagner du temps et accorder automatiquement aux utilisateurs fédérés l'accès à vos comptes en tirant parti des attributs qui existent déjà dans votre annuaire d'entreprise.

Ajoutez simplement des conditions basées sur des attributs SAML pour définir quels utilisateurs fédérés peuvent appliquer un profil. De cette façon, les modifications apportées à votre répertoire affectent immédiatement l'accès aux ressources.

En tant qu'utilisateur fédéré, vous pouvez appliquer l'un des nombreux profils sécurisés. Une fois connecté, vous pouvez appliquer un profil ou continuer sur la console.

Imaginez un scénario dans lequel vous souhaitez effectuer des tâches liées au développeur, comme travailler avec les instances de service à partir de vos composants d'application. Vous pouvez sélectionner le profil Développeur lorsque vous vous connectez pour vous assurer que vous disposez de l'accès dont vous avez besoin.

De même, si vous souhaitez effectuer une tâche liée à l'administrateur, vous pouvez sélectionner le profil d'administration disposant de droits d'accès privilégiés. De cette manière, vous réduisez le risque d'effectuer des actions privilégiées par erreur.

Vous pouvez également vous connecter au compte sans appliquer de profil en continuant sur la console.

Pour en savoir plus sur le fonctionnement des profils sécurisés, consultez notre documentation IBM Cloud Identity and Access Management, qui inclut des tutoriels et d'autres ressources utiles pour démarrer !

Ressource de calcul

A l'aide de profils sécurisés, vous pouvez définir une autorisation à granularité fine pour toutes les applications exécutées dans une ressource de calcul sans créer d'ID de service ou gérer le cycle de vie des clés d'API des applications. Les profils sécurisés offrent un meilleur contrôle pour l'octroi des accès aux ressources de calcul.

Les développeurs d'applications peuvent extraire à l'aide d'un programme un jeton associé à l'identité de ressource de calcul qu'ils utilisent. Ce jeton permet d'extraire le jeton d'identité du profil sécurisé, qui permet d'accéder aux services et ressources sur IBM Cloud.
Les applications exécutées sur une ressource de calcul peuvent disposer d'un moyen flexible, mais sécurisé, d'accéder à d'autres services IBM Cloud à partir de ressources de calcul. Par exemple, il est plus sûr de ne pas avoir à stocker les clés d'API.
Toutes les instances de ressource de calcul qui partagent certaines conditions, telles que le nom, l'espace de nom, les étiquettes ou l'emplacement, sont mappées à un profil commun et peuvent partager l'accès aux ressources IBM Cloud. Cette identité commune permet d'octroyer aux applications de diverses ressources de calcul l'accès à une ressource externe une seule fois et non cluster par cluster.

Modèles IAM gérés par l'entreprise pour la gestion centralisée de l'accès dans les entreprises

Votre entreprise peut facilement mettre à l'échelle la gestion des accès et garantir des paramètres de sécurité de compte cohérents dans toute l'organisation en utilisant des modèles IAM gérés par l'entreprise. Vous pouvez créer des modèles pour des ressources IAM telles que des groupes d'accès, des profils sécurisés et des paramètres de sécurité de compte que vous affectez à l'ensemble de l'entreprise. Lorsque vous affectez un modèle IAM à des comptes enfant, des ressources IAM gérées par l'entreprise sont créées dans les comptes enfant que vous sélectionnez.

Par exemple, il peut y avoir un certain rôle professionnel dans chaque compte enfant qui requiert les mêmes droits. Vous pouvez créer un modèle de groupe d'accès avec les règles d'accès nécessaires et affecter le modèle à tous les comptes enfant de votre entreprise. De cette manière, vous réduisez la dérive des règles et vous pouvez être certain que les utilisateurs ayant ce rôle de poste disposent uniquement de l'accès nécessaire dans chaque compte.

Pour plus d'informations, voir Fonctionnement d'IAM géré par l'entreprise.

Clés d'API pour l'authentification d'utilisateur

Vous pouvez créer plusieurs clés d'API pour un utilisateur pour prendre en charge des scénarios de rotation de clés, et la même clé peut être utilisée pour accéder à plusieurs services. Les clés de l'API IBM Cloud permettent aux utilisateurs qui utilisent une authentification à deux facteurs ou un ID fédéré d'automatiser l'authentification sur la console à partir de la ligne de commande. Un utilisateur peut également avoir une clé d'API d'infrastructure classique unique pouvant être utilisée pour accéder aux API d'infrastructure classique. Toutefois, elle n'est pas requise car vous pouvez utiliser des clés d'API IBM Cloud pour accéder aux mêmes API. Pour plus d'informations, voir Description des clés d'API.

ID de service

Un ID de service identifie un service ou une application de la même façon qu'un ID utilisateur identifie un utilisateur. Les applications peuvent utiliser ces ID pour s'authentifier auprès d'un service IBM Cloud. Vous pouvez affecter des règles à chaque ID de service afin de contrôler le niveau d'accès accordé à une application qui utilise l'ID de service et créer une clé d'API qui active l'authentification. Pour plus d'informations, voir Création et utilisation des ID de service.

Infrastructure-as-a-Service (IaaS) ne prend pas en charge les opérations effectuées par les ID de service. Si un compte inclut IaaS et PaaS, les fonctions administratives qui sont effectuées par un ID de service peuvent ne pas fonctionner comme prévu si l'opération dépend des appels d'API à IaaS. Dans un compte qui inclut IaaS, assurez-vous que les administrateurs de compte remplissent les fonctions d'administration. Par exemple, les ID fonctionnels peuvent être utilisés pour les fonctions d'administration. Dans certains cas, le support IBM peut être en mesure de vous aider à remplir certaines fonctions administratives qui couvrent à la fois IaaS et PaaS.

Authentification multi-facteur

Vous pouvez demander une authentification multi-facteur pour chaque utilisateur du compte ou uniquement les utilisateurs ayant des ID non fédérés qui n'utilisent pas la connexion unique. Tous les utilisateurs dotés d'un IBMid utilisent un facteur d'authentification MFA TOTP (Time-Based One-Time Passcode) et tous les utilisateurs dotés d'un autre type d'ID doivent être autorisés à utiliser séparément le code d'accès TOTP, les questions de sécurité ou le facteur d'authentification externe. Pour plus d'informations, voir Types d'authentification multi-facteur.

Autorisations de service à service

Dans un scénario durant lequel vous avez besoin de fournir l'accès à un service à un autre service, vous pouvez créer une règle en utilisant une autorisation de service à service. Pour plus d'informations, voir Utilisation des autorisations pour accorder l'accès entre services.

Comment utiliser IBM Cloud IAM ?

Vous pouvez accéder à IBM Cloud IAM via l'API, l'interface de ligne de commande ou l'interface utilisateur Access (IAM).

Pour accéder à IBM Cloud IAM à l'aide de la console, accédez à Gérer > Accès (IAM).
Pour consulter les commandes de l'interface de ligne de commande disponibles, voir Gestion de l'accès IAM, des clés d'API, des ID de service et des groupes d'accès.
Pour consulter les API disponibles, voir les pages de documentation suivantes concernant les API :