Procedure consigliate per l'organizzazione delle risorse e l'assegnazione dell'accesso
Dopo aver configurato l'account IBM Cloud®, si può iniziare a pianificare l'organizzazione delle risorse Un'istanza fisica o logica che può essere fornita o riservata.Esempi di risorse possono essere lo storage, i processori, la memoria, i database, i cluster e le macchine virtuali. e l'assegnazione dell'accesso alle identità nell'account. Queste best practice forniscono gli elementi di base per consentire lo sviluppo di applicazioni sicure e di successo in IBM Cloud.
Le seguenti best practice si concentrano sulle risorse abilitate per IBM Cloud Identity and Access Management (IAM) e assegnate ai gruppi di risorse. I servizi dell'infrastruttura classica non sono abilitati all'IAM, il che significa che non possono essere assegnati ai gruppi di risorse.
Cosa rende buona una strategia del gruppo di risorse?
Utilizza i gruppi di risorse per organizzare le risorse del tuo account per scopi di controllo degli accessi e fatturazione.
Gli amministratori possono avere un migliore controllo dell'utilizzo delle risorse a livello dell'ambiente del progetto se viene utilizzato un singolo gruppo di risorse per ogni ambiente di progetto. Ad esempio, un tipico progetto ha ambienti
di sviluppo, test e produzione. Un progetto denominato CustApp
potrebbe avere i seguenti gruppi di risorse:
- CustApp-Dev
- CustApp-Test
- CustApp-Prod
In questo scenario, è possibile assegnare a uno sviluppatore un accesso ad ampio raggio al gruppo di risorse di sviluppo e un accesso molto più ristretto o inesistente al gruppo di risorse di produzione.
Organizzazione delle risorse nei gruppi di risorse
Tutte le risorse gestite tramite il controllo degli accessi IAM appartengono a un gruppo di risorse. Assegni una risorsa al suo gruppo di risorse quando la crei dal catalogo. È importante creare i gruppi di risorse prima perché non puoi modificare l'assegnazione delle risorse dopo averla impostata. Se assegni accidentalmente una risorsa a un gruppo di risorse errato, elimina la risorsa e creane una nuova.
Viene creato un gruppo di risorse predefinito per il tuo account. Se avete un account Lite, siete limitati all'uso di un solo gruppo di risorse. Se vuoi creare più gruppi di risorse, esegui l'upgrade a un account Pagamento a consumo o Sottoscrizione.
Come funziona l'accesso IAM
Dopo aver configurato e organizzato i gruppi di risorse nel tuo account, puoi sfruttare un paio di strategie per semplificare il processo di gestione accessi:
- Gruppi di accesso
- È possibile gestire in modo minimo il numero di politiche assegnate fornendo lo stesso accesso a tutte le identità in un gruppo di accesso invece di assegnare lo stesso accesso più volte per singolo utente, ID servizio o profilo attendibile. Gli utenti devono essere invitati al proprio account prima di poterli aggiungere a un gruppo di accesso. Se un utente si qualifica per un profilo attendibile che è un membro del gruppo di accesso, non è necessario invitarlo al tuo account.
- Profili attendibili
- Se la propria organizzazione dispone di una directory aziendale, i profili attendibili possono ridurre il tempo e lo sforzo per gestire l'accesso. Semplifica il processo di collegamento al tuo account IBM Cloud per utenti federati nella tua azienda. Puoi concedere automaticamente agli utenti federati o alle risorse di calcolo l'accesso al tuo account creando profili attendibili. Per gli utenti federati, aggiungere le condizioni basate sugli attributi SAML per definire quali utenti federati possono applicare un profilo. Per le risorse di calcolo, specificare risorse specifiche o aggiungere condizioni basate sugli attributi delle risorse per definire quali risorse di elaborazione possono applicare un profilo. Per entrambi i tipi di entità, il livello di accesso concesso è determinato dalle politiche di accesso specificate all'interno di ciascun profilo attendibile o dai gruppi di accesso di cui il profilo attendibile è membro. Tuttavia, i profili attendibili non richiedono che gli utenti federati vengano invitati a un account e solo gli utenti federati da un provider di identità esterno (IdP) possono applicare un profilo attendibile.
Quando sei membro di più gruppi di accesso, tutte le politiche si applicano contemporaneamente quando accedi a un account. Come utente federato, si potrebbe avere la possibilità di applicare profili attendibili differenti, ma si seleziona solo
un profilo da applicare quando si accede. Ad esempio, se si desidera completare le attività correlate allo sviluppatore, selezionare il profilo Developer
quando si accede. Se si desidera completare un'attività relativa all'amministratore,
selezionare il profilo Admin
che dispone di autorizzazioni privilegiate. In questo modo, si riduce il rischio di intraprendere azioni privilegiate per errore.
Una politica include un oggetto, una destinazione e un ruolo. In questo caso, l'oggetto è il gruppo di accesso o il profilo di fiducia. Il target è ciò a cui si vuole che il soggetto acceda, ad esempio un insieme di risorse in un gruppo di risorse, un'istanza di servizio, tutti i servizi nell'account o tutte le istanze di un servizio. Il ruolo definisce il livello di accesso concesso.
Il seguente diagramma mostra come funziona una politica di accesso:
I ruoli più comunemente utilizzati sono quelli di visualizzatore, editor, operatore e amministratore della piattaforma.
- Il ruolo di visualizzatore fornisce la quantità minima di accesso per la visualizzazione delle istanze e dei gruppi di risorse in un account.
- Il ruolo dell'operatore include azioni quali la capacità di visualizzare istanze e gestire credenziali.
- Il ruolo editor include le stesse azioni di un ruolo operatore ma anche le azioni per la creazione, la modifica, l'eliminazione e il bind delle istanze del servizio.
- Il ruolo di amministratore include tutto ciò che serve per lavorare con un'istanza del servizio e assegnare l'accesso ad altri per tale servizio o istanza a cui è destinata la politica.
Sebbene questi siano i ruoli più comuni per l'assegnazione dell'accesso nella piattaforma, esiste una seconda serie di ruoli da considerare come ruoli del servizio richiamati. Le azioni associate a questi ruoli sono definite da ogni servizio. In genere, le azioni associate a questi ruoli si riferiscono specificamente alla capacità di lavorare con le API e l'IU di un servizio.
Per ulteriori informazioni sui ruoli che possono essere assegnati, vedere Ruoli IAM.
Riduzione del tempo e dello sforzo per gestire gli accessi
Esiste un limite sul numero totale di politiche consentite in un account. Puoi utilizzare alcune strategie per assicurarti di non raggiungere il limite e per ridurre la quantità di tempo che passi a gestire l'accesso per le identità nel tuo account (utenti, ID servizio o profili attendibili):
-
Utilizzare il principio del minimo privilegio e assegnare solo l'accesso necessario. Questo può aiutarti a garantire che le identità nel tuo account siano limitate solo alle azioni che vuoi consentire. Ad esempio, le condizioni basate sul tempo per le politiche di accesso concedono l'accesso solo durante il periodo di tempo specificato, riducendo l'opportunità di attacco in caso di violazione della sicurezza. Per ulteriori informazioni, vedi Limitazione dell'accesso con condizioni basate sul tempo.
-
Aggiungere le risorse a un gruppo di risorse per ridurre ulteriormente il numero di politiche necessarie. Ad esempio, potresti avere un team che lavora su un progetto che utilizza risorse specifiche nel tuo account. Aggiungere i membri del team a un gruppo di accesso o a un profilo attendibile con una politica che assegna l'accesso solo alle risorse che si trovano in un gruppo di risorse specifico. In questo modo, non è necessario assegnare una politica a ciascuna risorsa per ogni membro del team.
-
Utilizzare i gruppi di accesso per semplificare la gestione dell'accesso per le identità che necessitano dello stesso livello di accesso. Puoi configurare un gruppo di accesso con una politica specifica definita e quindi aggiungere tali identità al gruppo. Se i membri del gruppo hanno bisogno di più accesso in un secondo momento, è sufficiente definire una nuova politica per il gruppo di accesso.
-
Utilizza le tag di gestione degli accessi per controllare l'accesso alle risorse e agli ID servizio nel tuo account su larga scala. Assegnando l'accesso solo alle risorse e agli ID servizio che hanno tag specifici ad essi allegati, puoi evitare più aggiornamenti alle tue politiche definite. Per ulteriori informazioni, vedi Controllo dell'accesso alle risorse utilizzando le tag.
-
Utilizza profili attendibili per concedere automaticamente agli utenti federati e alle risorse di calcolo l'accesso al tuo account. In questo modo, gli utenti federati possono essere associati a uno o più profili attendibili durante l'accesso valutando gli attributi basati su SAML per determinare quali profili possono essere applicati. L'utilizzo di profili attendibili per le risorse di calcolo consente di evitare di memorizzare le credenziali per eseguire le applicazioni e la gestione e la rotazione delle credenziali. È anche possibile aggiungere profili attendibili per accedere ai gruppi per sfruttare la serie di criteri già creati.
-
Assegna l'accesso utilizzando un gruppo di servizi in modo da avere bisogno di una sola politica per assegnare l'accesso a più servizi. In questo modo, riduci il numero di politiche nel tuo account e riduci il tempo e lo sforzo per gestire l'accesso.
* **All Identity and Access enabled services**: All catalog services that use IAM for access management. * **All Account Management services**: Platform services, such as billing and usage, license and entitlements, enterprises, and more. For more information, see [Assigning access to account management services](https://cloud.ibm.com/docs/account?topic=account-account-services&interface=ui#account-management-actions-roles). * **All IAM Account Management services**: A subset of account management services that includes the IAM platform services IAM Identity, IAM Access Management, IAM Users, IAM Groups, and future IAM services.
La rimozione dell'accesso per le identità inattive e le politiche inattive può ridurre il rischio di accesso non autorizzato alle tue risorse IBM Cloud e ti aiuta a gestire l'accesso in modo più efficace. Per ulteriori informazioni, vedi Identificazione delle identità inattive e Controllo delle politiche di accesso.
Cosa rende una buona strategia di gruppo di accesso?
Un gruppo di accesso è un'organizzazione di utenti, ID servizio e profili attendibili in un raggruppamento a cui puoi concedere lo stesso accesso IAM. Tutte le identità in un singolo gruppo di accesso ereditano lo stesso accesso.
Un modo logico per assegnare l'accesso ai tuoi gruppi di risorse e alle risorse incluse è creando un gruppo di accesso per ogni livello di accesso richiesto. Quindi, puoi associare ogni gruppo
di accesso ai gruppi di risorse creati precedentemente. Ad esempio, per controllare l'accesso al progetto CustApp
, puoi creare i seguenti gruppi di accesso:
- Auditor-Group
- Developer-Group
- Admin-Group
Per il gruppo Auditor, assegnare due criteri di accesso che garantiscano l'accesso del visualizzatore alle risorse e ai gruppi di risorse di CustApp-Test
e CustApp-Prod
. Per il gruppo di sviluppatori, assegnare due
criteri di accesso che garantiscano l'accesso dell'editore alle risorse e ai gruppi di risorse CustApp-Dev
e CustApp-Test
. Per il gruppo Admin, assegnare tre criteri di accesso che garantiscano l'accesso dell'amministratore
a tutti e tre i gruppi di risorse CustApp
e alle loro risorse.
È possibile assegnare l'accesso di amministratore a tutto ciò che è presente in un account creando un gruppo di accesso e assegnandogli due criteri. Per creare la prima politica, seleziona Tutti i servizi abilitati all'identità e all'accesso con il ruolo della piattaforma Amministratore e il ruolo del servizio Gestore. Per creare la seconda politica, seleziona Tutti i servizi di gestione account con il ruolo di amministratore assegnato. Gli utenti con ruolo di amministratore possono modificare l'accesso e rimuovere gruppi di accesso e aggiungere e rimuovere utenti da un gruppo di accesso, inclusi altri utenti con ruolo di amministratore.
Gli utenti con ruolo di amministratore nei gruppi di accesso possono concedere o revocare l'accesso aggiungendo o rimuovendo utenti da un gruppo di accesso. Creando un gruppo di accesso con accesso amministratore, deleghi la concessione e la revoca dell'accesso amministratore dell'account agli amministratori aggiunti del gruppo di accesso. L'accesso da amministratore a tutti gli elementi dell'account include la possibilità di revocare l'accesso ad altri utenti con il ruolo di amministratore.
Il seguente diagramma mostra come viene assegnato l'accesso ai gruppi di risorse:
Per ulteriori procedure ottimali da IBM Garage for Cloud, vedi Gestione dell'accesso alle risorse in IBM Cloud.
Politiche di accesso di esempio
Esamina le seguenti politiche di accesso di esempio per aiutarti a determinare come potresti voler assegnare l'accesso a un gruppo di accesso per le risorse organizzate in gruppi di risorse.
- Una politica che concede al gruppo di accesso un ruolo di amministratore della piattaforma su IBM Cloud Kubernetes Service nell'intero account. Gli utenti nel gruppo di accesso possono accedere a tutte le istanze di questo servizio e creare istanze del servizio in qualsiasi gruppo di risorse a cui hanno almeno un ruolo di visualizzatore assegnato. Anche i membri del gruppo di accesso con un ruolo di amministratore assegnato a qualsiasi risorsa possono concedere l'accesso a tale risorsa.
- Un criterio che concede al gruppo di accesso un ruolo di spettatore della piattaforma su un gruppo di risorse, ma non sulle risorse che lo compongono. Gli utenti nel gruppo di accesso hanno visibilità per il gruppo di risorse, che è richiesto per creare le istanze di qualsiasi servizio in questo gruppo di risorse.
- Una politica che concede al gruppo di accesso un ruolo di editor della piattaforma su tutte le risorse nel gruppo di risorse. Gli utenti nel gruppo di accesso possono modificare o eliminare tale risorsa.
- Una politica che concede al gruppo di accesso un ruolo di amministratore della piattaforma sull'intero account (tutti i servizi abilitati a IAM). Gli utenti nel gruppo di accesso possono eseguire qualsiasi azione della piattaforma su qualsiasi risorsa nell'intero account e le azioni di gestione, come la gestione dei gruppi di risorse nell'account.
Cosa rende una buona strategia di profili di fiducia?
Un profilo di fiducia è un raggruppamento di utenti federati o di risorse di calcolo a cui può essere concesso lo stesso accesso IAM. Tutte le identità a cui è consentito applicare un singolo profilo ereditano lo stesso accesso. Per ridurre il numero di politiche in un account, puoi aggiungere risorse di calcolo e utenti federati allo stesso profilo attendibile se le loro necessità di accesso sono le stesse.
Un modo logico per assegnare l'accesso ai tuoi gruppi di risorse e alle risorse incluse consiste nel creare un profilo attendibile per ogni livello di accesso richiesto. Quindi,
è possibile mappare ciascun profilo di fiducia ai gruppi di risorse creati in precedenza. Ad esempio, per controllare l'accesso al progetto CustApp
, si possono creare i seguenti profili di fiducia:
- Revisore - Profilo
- Sviluppatore - Profilo
- Admin - Profilo
Per Auditor-Profile
, specificare le condizioni in base agli attributi SAML per gli utenti federati che si desidera possano applicare questo profilo. Questi attributi SAML sono definiti nella directory utente aziendale. In questo
modo, la gestione degli utenti federati, la concessione dell'accesso e la revoca dell'accesso vengono effettuate principalmente nella directory utente aziendale. Successivamente, assegna due politiche di accesso che concedono l'accesso del
visualizzatore alle risorse e ai gruppi di risorse CustApp-Test
e CustApp-Prod
.
Per Developer-Profile
, specificare le condizioni in base agli attributi SAML per gli utenti federati che si desidera possano applicare questo profilo. Assegna due criteri di accesso che concedano l'accesso editor alle risorse e
ai gruppi di risorse CustApp-Dev
e CustApp-Test
. Per Admin-Profile
, specificare le condizioni in base agli attributi SAML per gli utenti federati che si desidera possano applicare questo profilo. Quindi,
assegna tre criteri di accesso che concedono l'accesso di amministratore a tutti e tre i gruppi di risorse CustApp
e le rispettive risorse.
A un profilo attendibile, come ad altre identità IAM, può essere concesso l'accesso utilizzando una politica o aggiungendolo a un gruppo di accesso. Se si dispone di gruppi di accesso che hanno lo stesso livello di accesso di cui un profilo attendibile ha bisogno, allora il profilo attendibile può essere aggiunto a tale gruppo di accesso.
Il seguente diagramma mostra come viene assegnato l'accesso ai profili attendibili:
È possibile selezionare solo un tipo di entità attendibile quando si crea per la prima volta un profilo attendibile. È possibile aggiornare i profili attendibili in qualsiasi momento per aggiungere relazioni attendibili con le risorse di calcolo.
Puoi assegnare l'accesso di amministratore a tutto ciò che si trova in un account creando un profilo attendibile e assegnandogli due politiche. Per creare la prima politica, seleziona Tutti i servizi abilitati all'identità e all'accesso con il ruolo della piattaforma Amministratore e il ruolo del servizio Gestore. Per la seconda politica, selezionare Tutti i servizi di gestione account con il ruolo di amministratore assegnato. Gli utenti con ruolo di amministratore possono aggiornare e rimuovere l'accesso al profilo attendibile e aggiungere e rimuovere utenti dal profilo attendibile, inclusi altri utenti con ruolo di amministratore.
Gli utenti con ruolo di amministratore sui profili attendibili possono concedere o revocare l'accesso aggiungendo o rimuovendo regole dai profili attendibili. Creando un profilo affidabile con accesso amministratore, deleghi la concessione e la revoca dell'accesso amministrativo dell'account agli amministratori aggiunti del profilo affidabile. L'accesso da amministratore a tutti gli elementi dell'account include la possibilità di revocare l'accesso ad altri utenti con il ruolo di amministratore.
Politiche di accesso di esempio
Rivedi le seguenti politiche di accesso di esempio per aiutarti a determinare come potresti voler assegnare l'accesso ai profili attendibili alle risorse organizzate in gruppi di risorse.
- Una politica che concede agli utenti federati un ruolo di amministratore della piattaforma su IBM Cloud Kubernetes Service nell'intero account. Gli utenti federati possono applicare questo profilo quando gli attributi IdP esterni dell'utente
federato soddisfano le condizioni della relazione di trust. Ad esempio, se la propria directory utente aziendale dispone di un attributo
jobrole
che identifica gli amministratori in base al valoreadmin
, è possibile creare una condizione che aggiunge dinamicamente gli utenti federati con tale attributo al profilo attendibile, insieme ad altre condizioni. Gli utenti federati a cui è consentito applicare il profilo attendibile possono accedere a tutte le istanze di questo servizio e creare istanze del servizio in qualsiasi gruppo di risorse a cui è assegnato almeno un ruolo di visualizzatore. Anche i profili attendibili con un ruolo di amministratore per una risorsa possono concedere l'accesso a tale risorsa. Le condizioni possono essere specificate in modo che solo gli utenti federati che richiedono i privilegi più elevati possano applicare questo profilo attendibile. Tutti gli altri utenti federati possono essere filtrati in base ai loro attributi SAML. - Una politica che concede i ruoli delle risorse di calcolo
Reader
eWriter
su un gruppo di risorse. Quando le risorse di calcolo autenticano e soddisfano le condizioni specificate nel profilo attendibile, ad esempiolocation
oresource type
, il profilo attendibile viene applicato automaticamente. In questo modo, tutte le risorse esistenti o future che soddisfano queste condizioni possono avere il profilo che viene applicato automaticamente quando viene autenticato. - Puoi anche stabilire l'attendibilità con specifiche risorse di elaborazione, come un singolo cluster Kubernetes. Ad esempio, potresti avere un'applicazione in esecuzione su Kubernetes Service dove l'applicazione deve leggere e scrivere da
IBM Cloudant e leggere e scrivere in un bucket Cloud Object Storage Dedicated IBM Managed. Entrambe le istanze IBM Cloudant e Cloud Object Storage Dedicated IBM Managed si trovano nello stesso gruppo di risorse e al profilo attendibile
verranno assegnati i ruoli
Reader
oWriter
.
L'utilizzo di profili attendibili è una procedura ottimale per le applicazioni in esecuzione sulle risorse di calcolo IBM Cloud per ottenere l'accesso alle risorse abilitate a IAM.
Confronta gruppi di accesso e profili attendibili
I gruppi di accesso sono utilizzati al meglio per concedere l'accesso per il lavoro quotidiano di un utente, mentre i profili affidabili sono adatti per concedere agli utenti federati il livello di accesso di cui hanno bisogno per completare una serie specifica e specializzata di attività in un periodo di tempo limitato. Queste sono di solito attività critiche che si desidera evitare di eseguire involontariamente nel lavoro quotidiano. Con i profili attendibili, gli utenti federati non devono eseguire l'onboarding delle risorse IBM Cloud, a loro viene concesso l'accesso alle risorse IBM Cloud in un account tramite la relazione di attendibilità. Se un utente federato lascia la tua azienda, puoi semplicemente eliminare la sua identità aziendale nella tua directory, che rimuove anche l'accesso a IBM Cloud. L'accesso basato sul tempo con profili attendibili consente controlli di autenticazione frequenti per rischi di sicurezza ridotti.
Utilizza la seguente tabella per comprendere le differenze tra l'utilizzo dei gruppi di accesso e dei profili attendibili per prendere la decisione migliore per il tuo caso di utilizzo.
Funzione | Gruppo di accesso | Profilo attendibile |
---|---|---|
Controllo accessi IAM | Sì | Sì |
Invito degli utenti all'account IBM Cloud richiesto | Sì | No |
L'accesso può essere definito prima che l'utente venga aggiunto all'account | Sì, utilizzando regole dinamiche | Sì |
Utenti federati | Sì | Sì |
Utenti non federati | Sì | Sì |
ID servizio | Sì | Sì |
Calcola le identità delle risorse | No | Sì |
La gestione utente viene eseguita principalmente in | Account IBM Cloud | Directory utente aziendale |
I gruppi di accesso e i profili attendibili possono essere utilizzati separatamente o a portata di mano per la gestione degli utenti e degli accessi, a seconda delle esigenze della tua azienda.
Ad esempio, per il progetto CustApp
, è possibile scegliere di creare un profilo attendibile IAM Admin
con le seguenti politiche:
Administrator
per i gruppi di accesso CustApp-Dev/Test/Prod. In questo modo, l'amministratore può concedere e revocare l'accesso agli utenti aggiungendoli e rimuovendoli dai gruppi di accesso.Administrator
per il servizio di gestione dell'account IAM Identity. In questo modo, l'amministratore può gestire ID servizio, profili attendibili, regole e così via.Editor
per il servizio di gestione account di gestione utenti. In tal modo, l'amministratore può invitare utenti all'account, visualizzare gli utenti nell'account e così via.
Con questo profilo attendibile, l'amministratore può aggiungere sviluppatori a un gruppo di accesso con ampie politiche di accesso per completare le attività e le azioni quotidiane negli ambienti di sviluppo e test. L'accesso per le operazioni
sull'ambiente di produzione può essere configurato in un profilo attendibile denominato Operator-Profile
. In questo modo, lo sviluppatore può modificare i ruoli di lavoro accedendo e applicando Operator-Profile
quando
devono eseguire qualsiasi azione su CustApp
in produzione.
Casi d'uso per l'organizzazione delle risorse e l'assegnazione dell'accesso
Esamina i seguenti casi di utilizzo per aiutarti a preparare un piano che funziona per la tua organizzazione. Per ogni caso di utilizzo, si consiglia di utilizzare i gruppi di accesso o i profili attendibili per fornire l'accesso a un gruppo di utenti mantenendo un numero minimo di politiche di accesso. Utilizzando i gruppi di accesso, puoi semplicemente aggiungere o rimuovere gli utenti nel tuo account dai gruppi di accesso per assegnare o revocare l'accesso come necessario. Utilizzando i profili attendibili, è possibile aggiornare facilmente le condizioni in base alle quali gli utenti federati dalla propria directory utente aziendale possono applicare i profili attendibili senza doverli invitare all'account o assegnare l'accesso individuale a ciascun utente.
Più utenti che lavorano insieme su un singolo progetto utilizzando i gruppi di accesso
Alcuni utenti dell'account devono gestire l'account e assegnare l'accesso ad altri utenti. Alcuni utenti devono creare delle istanze del servizio che comportano delle spese. Altri utenti sono sviluppatori di applicazioni che devono utilizzare solo le istanze di servizio dei loro componenti applicativi.
Vuoi concedere a tutti gli utenti vari ruoli nell'account e nel gruppo di risorse predefinito. Non devi creare più gruppi di risorse per separare le risorse o impedire ad alcuni utenti di accedere ad alcune delle risorse. Puoi concedere agli utenti i ruoli appropriati per le loro necessità creando un gruppo di accesso per ogni gruppo di utenti:
- Crea un gruppo di accesso e assegna utenti al gruppo che devono gestire l'account e fornire ad altri l'accesso. Quindi, assegna una politica con un ruolo di amministratore a tutti i servizi abilitati a IAM e a tutti i servizi di gestione account.
- Crea un gruppo di accesso e assegna utenti al gruppo che devono creare le istanze del servizio. Quindi, assegnare una politica con un ruolo di editor sul gruppo di risorse predefinito e una politica con il ruolo di editor per qualsiasi servizio che gli utenti devono creare.
- Crea un gruppo di accesso e assegna gli utenti al gruppo che devono utilizzare le istanze del servizio in un gruppo di risorse. Quindi, assegna una politica con un ruolo di scrittore o di lettore alle istanze del servizio che esistono nel gruppo di risorse.
Più utenti che lavorano insieme su un singolo progetto utilizzando profili attendibili
In un'organizzazione, quando si desidera gestire l'accesso su scala, alcuni membri dell'organizzazione devono gestire l'account IBM Cloud e assegnare l'accesso ad altri utenti. Alcuni membri hanno bisogno di creare istanze del servizio che comportano spese. Altri membri sono sviluppatori di applicazioni che hanno bisogno di utilizzare solo le istanze di servizio dei loro componenti applicativi.
Vuoi concedere a tutti gli utenti vari ruoli nell'account e nel gruppo di risorse predefinito. Non devi creare più gruppi di risorse per separare le risorse o impedire ad alcuni utenti di accedere ad alcune delle risorse. È possibile concedere agli utenti i ruoli appropriati per le loro necessità creando profili attendibili per ciascun tipo di utente e associandoli al profilo corretto in base agli attributi IdP esterni:
- Creare un profilo attendibile per gli utenti che devono gestire l'account e fornire ad altri l'accesso. Stabilisci una relazione di fiducia con il tuo IdP esterno e definisci gli attributi che consentono ai membri appropriati della tua organizzazione di applicare il profilo. Quindi, assegna una politica con un ruolo di amministratore a tutti i servizi abilitati a IAM e a tutti i servizi di gestione account.
- Creare un profilo attendibile per gli utenti che devono creare le istanze del servizio. Stabilisci una relazione di fiducia con il tuo IdP esterno e definisci gli attributi che consentono ai membri appropriati della tua organizzazione di applicare il profilo. Quindi, assegnare una politica con un ruolo di editor sul gruppo di risorse predefinito e una politica con il ruolo di editor per qualsiasi servizio che gli utenti devono creare.
- Crea un profilo attendibile per gli utenti che devono utilizzare le istanze del servizio in un gruppo di risorse. Stabilisci una relazione di fiducia con il tuo IdP esterno e definisci gli attributi che consentono ai membri appropriati della tua organizzazione di applicare il profilo. Quindi, assegna una politica con un ruolo di scrittore o di lettore alle istanze del servizio che esistono nel gruppo di risorse.
Due team che lavorano su due progetti correlati
Hai due progetti funzionali nel tuo account. Gli sviluppatori che lavorano su un progetto hanno bisogno di accedere a tutte le sue risorse. Come amministratore dell'account, puoi concedere l'accesso creando gruppi di accesso per ciascun progetto e incorporando tag di gestione dell'accesso nelle politiche di accesso di ogni gruppo.
La flessibilità è importante e con IAM puoi condividere le risorse tra vari gruppi. Si noti che una risorsa potrebbe funzionare bene per entrambi i progetti. Puoi condividere una risorsa tra i due progetti contrassegnando la risorsa e basandosi sulle autorizzazioni esistenti per concedere l'accesso agli sviluppatori. Se un progetto non richiede più una risorsa, puoi semplicemente revocare l'accesso degli sviluppatori scollegando la tag appropriata dall'istanza del servizio. Controlla il seguente video per ottenere una migliore comprensione di come puoi utilizzare i tag di gestione degli accessi per gestire l'accesso alle risorse nel tuo account.
Tre team che lavorano su tre progetti
Alcuni utenti nel mio account sono amministratori. Devono creare nuovi gruppi di risorse e assegnare loro l'accesso agli utenti. Assegno questi utenti a un gruppo di accesso con una politica che ha il ruolo di amministratore assegnato a tutti i servizi abilitati a IAM.
Gli altri utenti devono accedere solo al gruppo di risorse associato al loro progetto. Utilizzo i gruppi di accesso e assegno vari ruoli al gruppo di risorse e ai relativi membri associati al loro progetto: un ruolo di editor sul gruppo di risorse per coloro che devono creare le istanze, più un ruolo di lettore o scrittore sui membri del gruppo di risorse per coloro che devono utilizzare tali istanze.
Più gruppi di risorse nel mio account
Alcuni degli utenti nel mio account sono gli amministratori per un servizio, Service A
, in tutto il mio account, e hanno bisogno di accedere a tutte le istanze di quel servizio e di creare istanze. Questi utente non hanno bisogno
di accedere ad altre risorse nell'account. Creo un gruppo di accesso e assegno un ruolo di amministratore sul servizio A a livello di account e una politica con il ruolo di visualizzatore per tutti i gruppi di risorse nell'account in cui
devono essere in grado di creare le istanze. Puoi eseguire questa operazione selezionando Solo gruppo di risorse, quindi selezionare il gruppo di risorse e almeno il ruolo di visualizzatore per quel gruppo di risorse. Quindi,
ripeti per ogni gruppo di risorse a cui devono accedere.
Un utente che richiede l'accesso a una risorsa specifica
Il mio account include un utente che ha bisogno di accedere solo a una risorsa specifica in un servizio, ad esempio, la possibilità di scrivere in un bucket, Bucket A
, in IBM Cloud Object Storage. Questo utente non deve visualizzare
i gruppi di risorse nel mio account o accedere ad altri servizi o bucket in questa istanza di Object Storage.
Assegno all'utente un ruolo di scrittore nel bucket A nell'istanza specifica di Object Storage. Posso scegliere di utilizzare l'IU IAM o l'IU Object Storage per assegnare il ruolo. Utilizzo l'interfaccia utente specifica del servizio perché posso da un elenco di risorse. L'IU IAM non mostra le risorse oltre il livello di istanza del servizio e devo immettere manualmente il CRN per assegnare la politica a tali risorse.
Passi successivi
Ora che sai come configurare i tuoi gruppi di risorse, organizzare le tue risorse e creare gruppi di accesso nel tuo account, puoi iniziare a invitare gli utenti al tuo account e assegnare loro l'accesso ai tuoi gruppi di accesso. Se hai già invitato gli utenti al tuo account, puoi andare alla tua pagina Utenti e iniziare a assegnare l'accesso.
Se si decide che la propria organizzazione desidera gestire l'accesso utente in base alla directory utente aziendale, è possibile iniziare creando profili attendibili.