Mappatura IBM Cloud I concetti di IAM ad altri provider cloud
L'identità e la gestione degli accessi vengono utilizzati per autenticare gli utenti autenticati e fornire l'accesso alle risorse cloud. Mentre IAM attraverso i cloud provider è un modo coerente per garantire l'autenticazione e l'accesso, i concetti all'interno di ogni provider cloud e come si applicano potrebbero differire. Revisionare le seguenti informazioni nella tabella per saperne di più su come i concetti in IBM Cloud IAM si riferiscono o si confronta con quelli di altri cloud provider per aiutarvi a salire senza sosta con IBM Cloud.
Confronto dei concetti di IAM
Le seguenti mappature di IBM Cloud I concetti di IAM a quelli di altri provider cloud, come Amazon Web Services (AWS), Google Cloud Platform, e Microsoft Azure, potrebbero non essere un esatto match one-to-one. Tuttavia, se si conosce un concetto particolare all'interno di un altro provider, questa mappatura ha lo scopo di aiutare a trovare il concetto correlato più stretto in IBM Cloud.
IBM Cloud concetto | IBM Cloud descrizione | AWS | Azure | Google Cloud Platform |
---|---|---|---|---|
Identità | Utenti e ID di servizio | Utenti, gruppi e ruoli | Utente, gruppo, principal di servizio, identità gestita | Account utente e account di servizio. Tipi di identità supportati: account Google, account servizio, gruppo Google, dominio G Suite, dominio Cloud Identity |
Utenti | Gestito fuori IAM. Gli utenti vengono identificati in modo univoco in IBM Cloud con il valore iam_id, ma possono provenire da IBMid, App IDo SoftLayer | Gestito in IAM. Identità federata al sistema di gestione dell'identità esterna. | Gestito in Active Directory | Gestito fuori IAM. Identità federata al sistema di gestione dell'identità esterna. |
ID servizio | Un ID per un'app o un servizio. | Ruoli assegnati a un'app | Identità assegnata dall'utente | Account di servizio |
Chiave API | Una credenziale che viene utilizzata per un utente o un ID di servizio | Chiave di accesso | CHIAVE-API | Chiave API |
Gruppi di accesso | Un modo per organizzare gli utenti e gli ID di servizio in cui a tutti i membri del gruppo viene assegnato lo stesso accesso. | Gruppi, ruoli | Active Directory gruppi | Google Gruppi |
Profili attendibili | Un modo per assegnare l'accesso agli utenti federati in base agli attributi SAML o per tutte le applicazioni in esecuzione in una risorsa compatta senza la necessità di gestire e ruotare le credenziali. | Ruoli | Identità gestita | Identità di lavoro |
Politica | Assegnazione di accesso costituita da un soggetto, destinazione e ruolo. | Politica | Assegnazione ruolo | Politica |
Soggetto politico | Un utente, un ID di servizio o un gruppo di accesso | Un utente IAM, un gruppo o un ruolo | Principal di sicurezza | Una risorsa |
Ruoli | Un ruolo è una raccolta di azioni per una risorsa specifica che vengono utilizzati come blocco di costruzione per fare una politica di accesso. | AWS- Politica gestita | Definizione ruolo | Ruoli predefiniti |
Ruoli personalizzati | Ruolo definito e definito dal cliente, incluse solo le azioni scelte dall'utente. | Politiche gestite dal cliente | Ruoli personalizzati | Ruoli personalizzati |
Azioni | Cosa è consentito di essere completato all'interno del contesto della piattaforma o del servizio | Azioni | Autorizzazioni | Autorizzazioni |
Risorse | Obiettivo di una politica di accesso | Risorse | Risorse | Risorse |
Gruppi di risorse | Contenitore dell'organizzazione logica per i servizi abilitati IAM | Tag | Gruppi di risorse | Progetti |
Accesso pubblico | L'accesso pubblico a risorse specifiche è abilitato attraverso un gruppo di accesso predefinito chiamato Public Access. Questa funzione può essere disabilitata su ogni account. | Funzione di Amazon S3 che può essere abilitata per risorse specifiche e può essere disabilitata a livello di account o di bucket. | L'accesso in lettura pubblica può essere abilitato per specifici tipi di account o risorse. Può essere disabilitato sul conto di memoria o sul livello del contenitore. | Google dispone di un identificatore allAuthenticatedUsers che rappresenta tutti gli account di servizio e tutti gli utenti autenticati con un account Google, ai quali può essere concesso l'accesso. |
Controllo | Audit con IBM Cloud Activity Tracker Event Routing | Verifica con AWS CloudTrail | Azure Log e Auditing Attività log | Audit con registrazione di Audit |
IAM gestito dall'azienda | Amministra centralmente le impostazioni di accesso e sicurezza per un ambiente multi - account IBM Cloud. | Tower di controllo AWS |
Federazione degli utenti a IBM Cloud
IBM Cloud offre due modi per federare il tuo provider di identità aziendale (IdP), che semplifica l'accesso fornendo ai tuoi dipendenti l'accesso a IBM Cloud con il nome utente e password della loro azienda. Puoi federarti con IBMidoppure hai l'opzione di creare un'istanza del servizio IBM Cloud App ID e utilizzarla come un modo per federare gli utenti in un account IBM Cloud. Per ulteriori informazioni, vedi Abilitazione dell'autenticazione da un fornitore di identità esterno.
Entrambe le opzioni di federazione richiedono che l'utente sia un membro dell'account o abbia accesso all'account da un profilo attendibile per poter completare le operazioni. Se i profili attendibili non sono configurati, il proprietario o l'amministratore dell'account devono invitare singoli IBMids nell'account IBM Cloud. Solo se l' IBMid invitato accetta l'invito, l'utente ha aggiunto l'account come utente attivo. Nel caso di App ID, l'onboarding dell'utente viene eseguito automaticamente in IBM Cloud senza la necessità di invitare ciascun utente all'account. In entrambi i tipi di federazione, gli utenti sono utenti dell'account IBM Cloud attivi che possono accedere alla piattaforma, incluse le risorse abilitate a IAM e l'infrastruttura classica, tutto a seconda dell'accesso assegnato.
I profili attendibili trattano gli utenti federati in modo diverso. Se il cliente associa il proprio IdPaziendale, gli utenti di tale IdP non vengono aggiunti a un account come ciò che potremmo considerare un utente tipico. Al contrario, gli attributi IdP basati su SAML degli utenti vengono valutati al momento dell'accesso e se soddisfano tutte le condizioni per un profilo attendibile, viene richiesto loro di applicare uno o più profili attendibili. I profili attendibili garantiscono agli utenti il livello di accesso di cui hanno bisogno per completare attività specifiche e specializzate in un periodo di tempo limitato, ad esempio 1-4 ore. L'accesso basato sul tempo consente frequenti controlli di autenticazione per ridurre i rischi di sicurezza. Queste sono di solito attività critiche che si desidera evitare di eseguire involontariamente nel lavoro quotidiano. Gli utenti non devono eseguire l'onboarding di IBM Cloud, vengono aggiunti automaticamente tramite la relazione di attendibilità. Se un utente lascia la tua azienda, puoi eliminare l'identità aziendale dell'utente nella tua directory, che revoca l'accesso a IBM Cloud.