Come funziona IBM Cloud IAM

Scoprite cos'è IBM Cloud Identity and Access Management (IAM), come funziona, quali sono le funzionalità disponibili e come accedere alla console, alla CLI e alle API per lavorare con IAM nel vostro account.

IAM ti consente di autenticare in modo sicuro gli utenti per i servizi di piattaforma e controllare l'accesso alle risorse in modo coerente in IBM Cloud. Una serie di servizi IBM Cloud è abilitata all'uso di IBM Cloud IAM per il controllo degli accessi e sono organizzati in gruppi di risorse all'interno del vostro account, in modo da poter dare agli utenti l'accesso rapido a più di una risorsa alla volta. Ognuno di questi servizi è etichettato come "IAM-enabled" nel catalogo. È possibile utilizzare i criteri di accesso IAM per assegnare agli utenti, agli ID servizio e ai profili affidabili l'accesso alle risorse dell'account. E, è possibile raggruppare gli utenti, gli ID di servizio e i profili attendibili in un gruppo di accesso per dare facilmente a tutti i membri del gruppo lo stesso livello di accesso.

È possibile utilizzare profili attendibili per automatizzare il raggruppamento e la concessione dell'accesso agli utenti, ai servizi e alle identità delle app. Specificando le condizioni basate sugli attributi SAML per gli utenti la cui identità è federata dal tuo provider di identità esterno (IdP), agli utenti può essere concesso l'accesso alle risorse senza dover essere invitati all'account se soddisfano tali condizioni. Per le identità di servizio e app, è possibile definire un'autorizzazione fine-grattugiata per tutte le applicazioni in esecuzione in una risorsa compatte senza creare ID di servizio o gestire il ciclo di vita delle chiavi API per le applicazioni.

Controllo dell'accesso IAM in un account — Come funziona l'accesso IAM in un account utilizzando i gruppi di accesso. Gli ID servizio e seleziona IBM Cloud possono anche fornire profili attendibili.

Per l'infrastruttura classica che non supporta l'utilizzo delle politiche IAM IBM Cloud per la gestione dell'accesso, puoi utilizzare la documentazione autorizzazioni dell'infrastruttura classica.

Quali funzioni sono fornite?

IBM Cloud IAM fornisce un'ampia gamma di funzioni per le tue esigenze di identità e gestione dell'accesso.

Gestione degli utenti

Con la gestione utenti unificata, puoi aggiungere ed eliminare gli utenti in un account sia per i servizi di piattaforma che per quelli di infrastruttura classica. È possibile organizzare un gruppo di utenti in un gruppo di accesso per rendere l'assegnazione dell'accesso a più utenti o ID di servizio alla volta un'operazione rapida e semplice.

Controllo dell'accesso dettagliato

L'accesso per gli utenti, gli ID di servizio, i gruppi di accesso e i profili attendibili sono definiti da una policy. All'interno della politica, l'ambito di accesso può essere assegnato a un insieme di risorse in un gruppo di risorse, a una singola risorsa o ai servizi di gestione dell'account. Dopo aver impostato l'obiettivo, è possibile definire quali azioni sono consentite all'oggetto del criterio selezionando i ruoli di accesso. I ruoli forniscono un modo per personalizzare il livello di accesso concesso all'oggetto della politica per eseguire azioni sulla destinazione della politica, sia che si tratti di attività di gestione della piattaforma all'interno dell'account o dell'accesso all'IU di un servizio o del completamento delle chiamate API.

Puoi anche aggiungere condizioni basate sul tempo a una politica che definisce quando la politica concede l'accesso, se vuoi concedere l'accesso temporaneo alle risorse nel tuo account o consentire l'accesso durante le finestre temporali ricorrenti. Per ulteriori informazioni, vedi Limitazione dell'accesso con condizioni basate sul tempo.

Gruppi di accesso per la gestione degli accessi snellenti

Assegnare rapidamente e facilmente l'accesso per un gruppo di utenti, ID di servizio o profili attendibili che vengono organizzati in un gruppo di accesso assegnando l'accesso al gruppo, e quindi aggiungere o rimuovere le identità necessarie per concedere o negare l'accesso alle risorse dell'account. I gruppi di accesso consentono di gestire un numero minimo di politiche nel conto. Per ulteriori informazioni, vedi Configurazione dei gruppi di accesso.

Profili attendibili per eliminare la necessità di gestire le credenziali

Concedere automaticamente agli utenti federati l'accesso al proprio account con le condizioni in base agli attributi SAML dalla propria directory aziendale. I profili di fiducia possono essere utilizzati anche per impostare un'autorizzazione a grana fine per le applicazioni in esecuzione nelle risorse di calcolo. In questo modo non è necessario creare ID di servizio o chiavi API per le risorse compatte. Assegnare l'accesso al profilo aggiungendolo ad un gruppo di accesso o assegnando le singole politiche, quindi aggiungere o rimuovere le condizioni necessarie per concedere o negare l'accesso alle risorse dell'account. Utilizzando i profili attendibili, è possibile gestire centralmente il ciclo di vita degli accessi a più asset IBM Cloud. Per ulteriori informazioni, consultare Creazione di profili attendibili.

Utenti federati

I tuoi utenti potrebbero già avere identità al di fuori di IBM Cloud nella tua directory aziendale. Se i tuoi utenti devono lavorare con le risorse IBM Cloud o lavorare con applicazioni che accedono a quelle risorse, allora quegli utenti hanno anche bisogno di IBM Cloud credenziali. È possibile utilizzare un profilo attendibile per specificare le autorizzazioni per gli utenti la cui identità è federata dalla propria organizzazione o da un IdPesterno. Utilizzando il vostro IdP, potete fornire agli utenti della vostra azienda un modo per utilizzare il single sign-on (SSO). Per connettere i tuoi utenti federati alle risorse IBM Cloud, vedi Federazione di utenti a IBM Cloud.

Trascrizione video

Siamo entusiici di introdurre l'ultimo e più grande tipo di identità: IBM Cloud profili attendibili. Ti aspetti il modo più affidabile ed efficiente per gestire l'accesso al tuo account, quindi impariamo a come utilizzare i profili di fiducia.

In precedenza, organizzare identità e assegnare l'accesso è stato limitato ai gruppi di accesso, dove ogni utente viene aggiunto al conto manualmente.

Come proprietario di account, è possibile risparmiare tempo e concedere automaticamente agli utenti federati l'accesso ai propri account facendo leva sugli attributi già esistenti nella propria directory aziendale.

Semplicemente aggiungere condizioni in base agli attributi SAML per definire quali utenti federati possono applicare un profilo. In questo modo, le modifiche nella tua directory influenzano immediatamente l'accesso alle risorse.

Come utente federato, potresti avere l'opzione di applicare uno dei molti profili attendibili. Dopo aver effettuato l'accesso, è possibile applicare un profilo o continuare sulla console.

Immaginate uno scenario in cui si desidera completare le attività relative allo sviluppatore, come gestire le istanze di servizio dai componenti applicativi. È possibile selezionare il profilo Developer quando si accede per garantire l'accesso di cui hai bisogno.

Allo stesso modo, se si desidera completare un'attività relativa all'amministratore, è possibile selezionare il profilo di Admin che dispone di autorizzazioni privilegiate. In questo modo si riduce il rischio di intraprendere azioni privilegiate per errore.

Si ha anche l'opzione di accedere all'account senza applicare un profilo continuando sulla console.

Per saperne di più su come funzionano i profili di fiducia, consultate la documentazione di IBM Cloud Identity and Access Management, che include tutorial e altre risorse utili per iniziare!

Risorse di calcolo

Utilizzando i profili attendibili, è possibile definire un'autorizzazione fine-grattugiata per tutte le applicazioni in esecuzione in una risorsa compatte senza creare ID di servizio o gestire il ciclo di vita delle chiavi API per le applicazioni. I profili attendibili garantiscono un migliore controllo per la concessione dell'accesso alle risorse compatte.

Gli sviluppatori di applicazioni possono programmaticamente richiamare un token associato all'identità di risorsa computa su cui si sta eseguendo. Tale token viene utilizzato per ottenere il token di identità del profilo attendibile, utilizzato per accedere ai servizi e alle risorse su IBM Cloud.
Le applicazioni in esecuzione su una risorsa compatte possono avere un modo flessibile ma sicuro per accedere ad altri servizi IBM Cloud dall'interno delle risorse compatte. Ad esempio, è più sicuro non dover memorizzare le chiavi API.
Tutte le istanze di risorsa compatte che condividono determinate condizioni come nome, namespace, tag o collocazione, le loro identità sono mappate su un profilo comune e possono condividere l'accesso alle risorse IBM Cloud. Questa identità comune permette di dare alle applicazioni all'interno di varie risorse compatte l'accesso ad una risorsa esterna una volta piuttosto che cluster - by - cluster.

Modelli IAM gestiti dall'azienda per la gestione centralizzata dell'accesso nelle imprese

La tua azienda può facilmente scalare la gestione degli accessi e garantire impostazioni di sicurezza dell'account coerenti in tutta l'organizzazione utilizzando i template IAM gestiti dall'azienda. Puoi creare dei template per risorse IAM come gruppi di accesso, profili attendibili e impostazioni di sicurezza dell'account che assegni in tutta l'azienda. Quando assegni un template IAM agli account secondari, le risorse IAM gestite dall'azienda sono create negli account secondari selezionati.

Ad esempio, potrebbe essere presente un determinato ruolo lavorativo in ogni account figlio che richiede le stesse autorizzazioni. È possibile creare un modello di gruppo di accesso con le politiche di accesso necessarie e assegnare il modello a tutti gli account child nella propria azienda. In questo modo, riduci la deviazione della politica e puoi essere certo che gli utenti con tale ruolo lavorativo abbiano solo l'accesso necessario in ogni account.

Per ulteriori informazioni, vedi Come funziona IAM gestito dall'azienda.

Chiavi API per l'autenticazione dell'utente

È possibile creare più chiavi API per un utente per supportare scenari di rotazione dei tasti e la stessa chiave può essere utilizzata per l'accesso a più servizi. IBM Cloud le chiavi API consentono agli utenti che utilizzano l'autenticazione a due fattori o un ID federato di automatizzare l'autenticazione alla console dalla riga di comando. Un utente può anche avere una singola chiave API dell'infrastruttura classica che può essere utilizzata per accedere alle API dell'infrastruttura classica; tuttavia, questa non è necessaria perché puoi utilizzare le chiavi API IBM Cloud per accedere alle stesse API. Per ulteriori informazioni, vedi Descrizione delle chiavi API.

ID servizio

Un ID servizio identifica un servizio o un'applicazione analogamente a come un ID utente identifica un utente. Questi sono ID che possono essere utilizzati dalle applicazioni per l'autenticazione con un servizio IBM Cloud. È possibile assegnare le politiche a ciascun ID servizio per controllare il livello di accesso consentito da un'applicazione che utilizza l'ID servizio ed è possibile creare una chiave API per abilitare l'autenticazione. Per ulteriori informazioni, vedi Creazione e gestione degli ID servizio.

L'IaaS (Infrastructure - as - a - Service) (IaaS) non supporta le operazioni effettuate dagli ID servizio. Se un account include IaaS e PaaS, funzioni amministrative eseguite da un ID servizio potrebbero non funzionare come previsto se l'operazione dipende da chiamate API a IaaS. In un account che include IaaS, assicurarsi che gli amministratori dell'account completino le funzioni amministrative. Ad esempio, gli ID funzionali possono essere utilizzati per funzioni amministrative. In alcuni casi, il supporto IBM potrebbe essere in grado di fornire assistenza con alcune funzioni amministrative che si estendono sia a IaaS che a PaaS.

Autenticazione a più fattori

Puoi richiedere la MFA (multifactor authentication) per ogni utente nell'account o solo per gli utenti con ID non federati che non utilizzano SSO. Tutti gli utenti con un IBMid utilizzano un fattore di MFA basato su un codice di accesso unico a tempo (TOTP), mentre gli utenti con un tipo di ID diverso devono essere abilitati a utilizzare separatamente il TOTP, le domande di sicurezza o un fattore di autenticazione esterno. Per ulteriori informazioni, vedi Tipi di autenticazione multifattore.

Servizio alle autorizzazioni di servizio

In uno scenario di cui è necessario fornire un accesso di servizio a un altro, è possibile creare una politica utilizzando un servizio per l'autorizzazione del servizio. Per ulteriori informazioni, vedi il documento relativo all'utilizzo delle autorizzazioni per concedere l'accesso tra i servizi.

Come utilizzo IBM Cloud IAM?

Puoi accedere a IBM Cloud IAM e utilizzarlo attraverso l'interfaccia utente, la CLI o l'API di Accesso (IAM).

Per accedere a IBM Cloud IAM tramite la console, andare su Gestione > Accesso (IAM).
Vai a Gestione dell'accesso IAM, delle chiavi API, degli ID servizio e dei gruppi di accesso per esaminare i comandi della CLI disponibili.
Vai ai seguenti documenti API per esaminare le API disponibili: