Création et utilisation des ID de service
Un ID de service identifie un service ou une application de la même façon qu'un ID utilisateur identifie un utilisateur. Vous pouvez créer un ID de service et l'utiliser pour permettre à une application située en dehors d'IBM Cloud d'accéder à vos services IBM Cloud. Vous pouvez affecter des règles d'accès spécifiques à l'ID de service qui limitent les droits d'utilisation à des services spécifiques ou bien combiner des droits d'accès à différents services. Comme les ID de service ne sont pas liés à un utilisateur spécifique, si un utilisateur quitte une organisation et est supprimé du compte, l'ID de service est conservé. Ainsi, votre application ou votre service reste opérationnel.
Lorsque vous créez un identifiant de service, vous créez un nom et une description uniques qui sont faciles à identifier et à utiliser dans la console. Après avoir créé votre ID de service, vous pouvez créer des clés d'API propres à chaque ID de service utilisable par votre application pour s'authentifier auprès de vos services IBM Cloud. Pour faire en sorte que votre application dispose des droits d'accès appropriés pour s'authentifier auprès de vos services IBM Cloud, utilisez les règles d'accès affectées à chaque ID de service que vous créez.
Les règles d'accès associées à un ID de service permettent d'activer des actions spécifiques qui peuvent être effectuées lorsque cet ID de service est utilisé pour accéder à un service donné. Un identifiant de service peut se voir attribuer plusieurs politiques pour différents services d'identité et d'accès, et même différentes instances d'un même service. Par exemple, vous possédez deux services dotés chacun de deux instances de service. Vous pouvez attribuer le rôle de visualiseur à toutes les instances disponibles d'un service et attribuer le rôle d'éditeur à une seule instance d'un second service. De cette façon, vous pouvez personnaliser l'accès à plusieurs services, mais utiliser une seule clé API pour l'authentification de tous les services.
Chaque utilisateur est autorisé à créer un ID de service dans un compte dont il est membre. Cependant, pour permettre à un utilisateur d'un compte d'accéder à la visualisation ou à la gestion d'un identifiant de service qu'il n'a pas personnellement créé, il doit disposer d'un accès avec un rôle sur le service de gestion des comptes IAM Identity. Pour plus d'informations, voir Service d'identité IAM.
Les groupes d'ID de service organisent plus efficacement les ID de service en groupes, améliorant ainsi l'efficacité des opérations de référencement en réduisant le nombre d'ID de service à traiter. Les groupes d'ID de service ne s'intègrent pas à la gestion des accès, ils ne peuvent donc pas être utilisés dans les politiques IAM pour contrôler l'accès.
Vous pouvez affecter un accès d'identité pour afficher ou gérer un ID de service à l'aide de balises de gestion des accès. Pour plus d'informations, voir Association d'étiquettes à un ID de service.
Si l'option Restreindre la création d'identifiants de service est activée dans les paramètres de votre compte IAM, tous les utilisateurs du compte, y compris les propriétaires du compte, ne peuvent pas créer d'identifiants de service, à moins qu'un accès explicite ne leur soit attribué. Pour plus d'informations, voir Restriction de l'accès à la création des ID de service à certains utilisateurs uniquement.
Création d'un identifiant de service à l'aide de la console
Lorsque vous créez un identifiant de service, il doit être ajouté à un groupe d'identifiants de service. Le groupe par défaut est créé automatiquement, mais vous pouvez en créer d'autres si nécessaire. Si vous ne créez pas d'autres groupes, les identifiants de service sont ajoutés au groupe par défaut. Pour créer un ID de service, procédez comme suit :
- Dans la console IBM Cloud, cliquez sur Gérer > Accès (IAM), puis sélectionnez ID de service.
- (Facultatif) Sélectionnez un groupe dans le menu Groupe d'ID de service. Le groupe par défaut est sélectionné pour vous. Vous ne pouvez pas déplacer un identifiant de service vers un autre groupe. Assurez-vous donc que le bon groupe est sélectionné avant de créer l'identifiant de service.
- Cliquez sur Créer.
- Suivez le processus afin de créer un nom et une description pour votre ID de service.
- Cliquez sur Créer.
Création d'un ID de service à l'aide de l'interface de ligne de commande
Les groupes d'identifiants de service vous aident lorsque vous rencontrez une limite sur le nombre d'identifiants de service autorisés dans un compte. Au lieu d'augmenter ces limites, ce qui pourrait entraîner des problèmes de performance, les groupes d'identifiants de service permettent de créer davantage d'identifiants de service sans affecter les performances du système.
Lorsque vous créez un identifiant de service, il doit être ajouté à un groupe d'identifiants de service. Le groupe par défaut est créé automatiquement, mais vous pouvez en créer d'autres si nécessaire. Si vous ne spécifiez pas de groupe d'ID de service, votre ID de service est ajouté au groupe par défaut.
Vous ne pouvez pas déplacer un identifiant de service vers un autre groupe. Assurez-vous donc que le bon groupe est spécifié dans la commande avant de créer l'identifiant de service.
Pour créer un identifiant de service, utilisez la commande ibmcloud iam service-id-create pour créer
un identifiant de service.
Création d'un ID de service à l'aide de l'API
Les groupes d'identifiants de service vous aident lorsque vous rencontrez une limite sur le nombre d'identifiants de service autorisés dans un compte. Au lieu d'augmenter ces limites, ce qui pourrait entraîner des problèmes de performance, les groupes d'identifiants de service permettent de créer davantage d'identifiants de service sans affecter les performances du système.
Lorsque vous créez un identifiant de service, il doit être ajouté à un groupe d'identifiants de service. Le groupe par défaut est créé automatiquement, mais vous pouvez en créer d'autres si nécessaire. Si vous ne spécifiez pas de groupe d'ID de service, votre ID de service est ajouté au groupe par défaut.
Vous ne pouvez pas déplacer un identifiant de service vers un autre groupe. Assurez-vous donc que le bon groupe est spécifié dans l'API avant de créer l'identifiant de service.
Pour créer un identifiant de service, utilisez la méthode API Créer un identifiant de service.
Gestion d'un identifiant de service à l'aide de la console
Vous pouvez modifier un identifiant de service en changeant le nom et la description à tout moment. Vous pouvez également supprimer et créer de nouvelles clés API si nécessaire, mettre à jour les politiques d'accès attribuées ou supprimer l'identifiant du service.
Vous ne pouvez pas déplacer un identifiant de service vers un autre groupe d'identifiants de service. Au lieu de cela, supprimez l'ID de service et créez-en un autre dans le groupe d'ID de service que vous souhaitez utiliser.
Chaque fois que vous modifiez un ID de service existant (par exemple, si vous changez les règles affectées ou supprimez une clé d'API utilisée), des interruptions de service peuvent se produire sur les applications qui utilisent cet ID de service. La suppression d'un ID de service supprime également toutes les clés d'API associées et toutes les règles attribuées. Cette action ne peut pas être défaite et peut entraîner des interruptions entre les services dépendants.
- Dans la console IBM Cloud, cliquez sur Gérer > Accès (IAM), puis sélectionnez ID de service.
- (Facultatif) Sélectionnez un groupe dans le menu Groupe d'ID de service. Le groupe par défaut est sélectionné pour vous.
- Passez la souris sur la ligne d'un identifiant de service et cliquez sur l'icône Actions
pour gérer votre identifiant de service.
Pour attribuer rapidement un accès ou créer des clés API, cliquez sur le nom de l'identifiant du service dans la ligne. Pour plus d'informations sur la gestion des clés d'API, voir Gestion des clés d'API d'ID de service.
Gestion d'un identifiant de service à l'aide de la CLI
Vous pouvez utiliser la CLI pour afficher les détails d'un identifiant de service, mettre à jour le nom et la description, supprimer un identifiant de service, etc.
-
Pour afficher les détails d'un identifiant de service, utilisez la commande
ibmcloud iam service-idpour afficher les détails d'un identifiant de service. -
Pour mettre à jour le nom et la description d'un identifiant de service, utilisez la commande
ibmcloud iam service-id-updatepour mettre à jour le nom et la description d'un identifiant de service. -
Pour supprimer un identifiant de service, utilisez la commande
ibmcloud iam service-id-deletepour supprimer un identifiant de service.La suppression d'un ID de service supprime également toutes les clés d'API associées et toutes les règles attribuées. Cette action ne peut pas être défaite et peut entraîner des interruptions entre les services dépendants.
Pour une liste complète des commandes d'identification de service, des paramètres et des exemples, consultez la documentation CLI d'IAM.
Gestion d'un identifiant de service à l'aide de l'API
Vous pouvez utiliser l'API pour afficher les détails d'un identifiant de service, mettre à jour le nom et la description, supprimer un identifiant de service, etc.
-
Pour afficher les détails d'un identifiant de service, utilisez la méthode API Mettre à jour l'identifiant de service.
-
Pour mettre à jour le nom et la description d'un identifiant de service, utilisez la méthode API Mettre à jour l'identifiant de service.
-
Pour supprimer un identifiant de service, utilisez la méthode API Supprimer un identifiant de service et les clés API associées.
La suppression d'un ID de service supprime également toutes les clés d'API associées et toutes les règles attribuées. Cette action ne peut pas être défaite et peut entraîner des interruptions entre les services dépendants.
Pour obtenir une liste complète des méthodes d'identification des services, des paramètres de demande facultatifs et obligatoires, ainsi que des exemples, consultez la documentation de l'API des services d'identité IAM.
Verrouillage d'un ID de service
Pour éviter que la suppression de votre identifiant de service ne provoque une panne ou une interruption pour les utilisateurs de votre service, vous pouvez verrouiller votre identifiant de service. Le verrouillage d'un ID de service empêche que les règles soient changées, supprimées ou affectées. Non seulement, vous pouvez verrouiller un ID de service mais vous pouvez également verrouiller des clés d'API individuelles associées à chaque ID de service que vous créez dans votre compte.
Alors que les ID de service ne peuvent pas être supprimés du compte et que les règles d'accès ne peuvent pas être mises à jour, les ID de service verrouillés peuvent toujours être retirés d'un groupe d'accès auquel ils sont ajoutés. Cela signifie que tout accès affecté à l'ID de par son appartenance à un groupe d'accès est retiré dès que l'ID de service ne fait plus partie du groupe d'accès.
Fournir un accès utilisateur pour le verrouillage et le déverrouillage des identifiants de service
Pour qu'un utilisateur puisse verrouiller et déverrouiller des ID de service et des clés d'API associées aux ID de service, une règle d'accès spécifique doit lui être affectée. Deux types de règles d'accès peuvent octroyer l'accès approprié : accès à tous les ID de service du compte ou accès à un ID de service spécifique du compte
Pour accorder un accès à tous les ID de service du compte, définissez une règle d'accès pour les services de gestion des comptes d'après les informations suivantes :
- Rôle Editeur ou Administrateur
- IAM Identity Service
Pour accorder un accès à un ID de service spécifique dans le compte, définissez une règle d'accès pour les services de gestion des comptes d'après les informations suivantes :
- Rôle Editeur ou Administrateur
- IAM Identity Service
- Spécifiez
serviceiddans le champ Type de ressource - Indiquez l'identificateur de service dans la zone ID de ressource
Pour obtenir l'identificateur d'un ID de service spécifique, accédez à Gérer > Accès (IAM) dans la console IBM Cloud et sélectionnez ID de service. Choisissez l'ID de service pour lequel vous souhaitez afficher les détails puis copiez la valeur de l'ID.
Verrouillage et déverrouillage d'un identifiant de service à l'aide de la console
Vous devez disposer du niveau d'accès approprié pour verrouiller ou déverrouiller un identifiant de service. Pour verrouiller ou déverrouiller un identifiant de service, procédez comme suit :
- Dans la console IBM Cloud, cliquez sur Gérer > Accès (IAM), puis sélectionnez ID de service.
- Passez la souris sur la ligne d'un identifiant de service et cliquez sur l'icône Actions pour verrouiller ou déverrouiller un identifiant de
service.
Verrouillage et déverrouillage d'un ID de service à l'aide de l'interface de ligne de commande
- Pour verrouiller un identifiant de service, utilisez la commande
ibmcloud iam service-id-lockpour verrouiller un identifiant de service. - Pour déverrouiller un identifiant de service, utilisez la commande
ibmcloud iam service-id-unlockcommande.
Vous devez disposer du niveau d'accès approprié pour déverrouiller un ID de service.
Verrouillage et déverrouillage d'un identifiant de service à l'aide de l'API
- Pour verrouiller un identifiant de service, utilisez la méthode API Verrouiller l'identifiant de service.
- Pour déverrouiller un identifiant de service, utilisez la méthode API Déverrouiller l'identifiant de service.
Vous devez disposer du niveau d'accès approprié pour déverrouiller un ID de service.
Création et utilisation de groupes d'identifiants de service à l'aide de la console
Lorsque vous créez un identifiant de service, il doit être ajouté à un groupe d'identifiants de service. Le groupe par défaut est créé automatiquement, mais vous pouvez en créer d'autres si nécessaire. Chaque groupe d'identifiants de service peut contenir jusqu'à 2 000 identifiants de service, avec une limite maximale de 100 000 identifiants de service dans votre compte.
Création d'un groupe d'ID de service à l'aide de la console
Pour créer un groupe d'identifiants de service, procédez comme suit :
- Dans la console IBM Cloud, cliquez sur Gérer > Accès (IAM), puis sélectionnez ID de service.
- Cliquez sur Créer un groupe.
- Suivez la procédure pour créer un nom et une description pour votre groupe d'ID de service.
- Cliquez sur Créer.
Suppression d'un groupe d'ID de service à l'aide de la console
Pour supprimer un groupe d'ID de service, celui-ci doit être vide. Supprimez tous les identifiants de service du groupe avant de supprimer le groupe. Ensuite, procédez comme suit :
-
Dans la console IBM Cloud, cliquez sur Gérer > Accès (IAM), puis sélectionnez ID de service.
-
Sélectionnez un groupe dans le menu Groupe d'ID de service.
Le groupe d'ID de service par défaut ne peut pas être supprimé.
-
Cliquez sur Supprimer dans l'en-tête du tableau.
-
Cliquez sur Supprimer pour confirmer.
Création et utilisation de groupes d'identifiants de service à l'aide de l'interface de programmation (CLI)
Vous pouvez créer et gérer des groupes d'identifiants de service à l'aide de la console. Pour voir les étapes, passez aux instructions de l'interface utilisateur.
Création et utilisation de groupes d'identifiants de service à l'aide de l'API
Vous pouvez créer et gérer des groupes d'identifiants de service à l'aide de la console. Pour voir les étapes, passez aux instructions de l'interface utilisateur.