IBM Cloud Ruoli IAM
Tutti i servizi che sono organizzati in un gruppo di risorse nel tuo account vengono gestiti utilizzando IBM Cloud Identity and Access Management (IAM). Ai titolari dell'account viene automaticamente assegnato il ruolo di amministratore dell'account. In qualità di amministratore dell'account, puoi assegnare e gestire l'accesso per gli utenti, creare gruppi di risorse, creare gruppi di accesso, creare profili attendibili, visualizzare i dettagli di fatturazione e monitorare l'utilizzo, nonché creare istanze di servizio. È possibile fornire accesso agli utenti, agli ID di servizio, ai gruppi di accesso e ai profili attendibili creando criteri che stabiliscono un obiettivo per l'oggetto del criterio a cui accedere e un ruolo che definisce il tipo di accesso consentito.
Ruoli IAM
È possibile gestire e definire l'accesso in base a ruoli specifici per utenti e risorse nel proprio account.
-
I ruoli di gestione della piattaforma coprono una serie di azioni, tra cui la possibilità di creare ed eliminare istanze, gestire le credenziali e gestire l'accesso. I ruoli della piattaforma sono amministratore, editor, operatore, visualizzatore. I ruoli di gestione della piattaforma si applicano anche ai servizi di gestione dell'account che consentono agli utenti di invitare utenti, gestire ID di servizio, politiche di accesso, voci di catalogo e tenere traccia della fatturazione e dell'utilizzo in base al proprio ruolo assegnato in un servizio di gestione dell'account.
-
I ruoli di accesso al servizio definiscono la capacità di un utente o un servizio di eseguire azioni su un'istanza del servizio, come l'accesso alla console o l'esecuzione di chiamate API. I ruoli di accesso al servizio più comuni sono manager, scrittore e lettore. Ogni servizio associa azioni particolari per lavorare con il servizio a ciascuno di questi ruoli.
Potresti non vedere tutti i ruoli qui elencati come opzioni quando assegni le politiche nell'interfaccia utente perché vengono visualizzati solo i ruoli disponibili per il servizio che hai scelto. Per ulteriori informazioni su quali ruoli sono abilitati e quali azioni sono consentite da ciascun ruolo di accesso per ciascun servizio, consulta la documentazione relativa a tale servizio.
-
I ruoli personalizzati per un servizio possono essere creati sulla pagina IAM Ruoli dal proprietario dell'account o un utente ha assegnato il ruolo di amministratore sul servizio di gestione del ruolo.
È possibile esaminare i ruoli disponibili e le azioni associate per un determinato servizio andando nella pagina Ruoli e selezionando il servizio di cui si desidera saperne di più. Questa è la stessa pagina in cui è possibile creare un ruolo personalizzato nella console.
Ruoli di gestione della piattaforma
Con i ruoli di gestione della piattaforma è possibile assegnare agli utenti diversi livelli di autorizzazione per l'esecuzione di azioni della piattaforma all'interno dell'account o su un servizio. Ad esempio, i ruoli di gestione della piattaforma assegnati alle risorse di catalogo, consentono agli utenti di completare azioni come la creazione, l'eliminazione, la modifica e la visualizzazione delle istanze del servizio. Mentre i ruoli di gestione della piattaforma assegnati ai servizi di gestione dell'account consentono agli utenti di completare azioni come l'invito e la rimozione degli utenti, l'utilizzo dei gruppi di risorse e la visualizzazione delle informazioni di fatturazione. Per ulteriori informazioni sui servizi di gestione dell'account, vedi Assegnazione dell'accesso ai servizi di gestione dell'account.
Seleziona tutti i ruoli che si applicano quando crei una policy. Ogni ruolo consente di completare azioni separate e non eredita le azioni dei ruoli minori.
La seguente tabella fornisce esempi di alcune delle azioni di gestione della piattaforma che gli utenti possono effettuare nel contesto delle risorse del catalogo e dei gruppi di risorse. Consultare la documentazione per ogni prodotto a catalogo per capire come i ruoli si applicano agli utenti nel contesto del servizio che viene utilizzato.
Ruolo di gestione della piattaforma | Uno o tutti i servizi abilitati a IAM | Servizio selezionato in un gruppo di risorse | Accesso al gruppo di risorse |
---|---|---|---|
Ruolo visualizzatore | Visualizza istanze e credenziali | Visualizzare solo le istanze specificate nel gruppo di risorse | Visualizzare il gruppo di risorse |
Ruolo operatore | Visualizzare le istanze e gestire le credenziali | Non applicabile | Non applicabile |
Ruolo editor | Creare, eliminare, modificare e visualizzare istanze. Gestisci credenziali. | Creare, eliminare, modificare, sospendere, riprendere, visualizzare e associare solo le istanze specificate nel gruppo di risorse | Visualizzare e modificare il nome del gruppo di risorse |
Ruolo amministratore | Tutte le azioni di gestione per i servizi | Tutte le azioni di gestione per le istanze specificate nel gruppo di risorse | Visualizzare, modificare e gestire l'accesso per il gruppo di risorse |
Per ulteriori informazioni sulle azioni specifiche che gli utenti possono effettuare in base al proprio ruolo assegnato sui servizi di gestione dell'account, vedi Assegnazione dell'accesso ai servizi di gestione dell'account.
Alcuni servizi potrebbero associare specifiche azioni ai ruoli di gestione della piattaforma correlati alla gestione del servizio piuttosto che all'accesso del servizio. Come esempio, consulta la seguente tabella che descrive le azioni del servizio Kubernetes Service associate a questi ruoli.
Ruolo di gestione della piattaforma | Azioni | Azioni di esempio per Kubernetes Service |
---|---|---|
Visualizzatore | Può visualizzare le istanze del servizio ma non può modificarle |
|
Editor | Esegue tutte le azioni della piattaforma ad eccezione della gestione dell'account e dell'assegnazione delle politiche di accesso |
|
Operatore | Esegue le azioni della piattaforma necessarie a configurare ed utilizzare le istanze del servizio, ad esempio la visualizzazione del dashboard di un servizio |
|
Amministratore | Esegue tutte le azioni della piattaforma basate sulla risorsa a cui è assegnato questo ruolo, inclusa l'assegnazione delle politiche di accesso ad altri utenti |
|
Ruoli di accesso al servizio
I ruoli di accesso al servizio consentono di assegnare agli utenti diversi livelli di autorizzazione per richiamare l'API del servizio e accedere all'interfaccia utente del servizio. La seguente tabella fornisce le azioni di esempio che è possibile eseguire a seconda dei ruoli assegnati in base all'utilizzo del servizio Object Storage.
Le azioni che possono essere eseguite in base a ciascun ruolo assegnato variano in base al servizio che hai selezionato per la politica. Non tutti i servizi utilizzano questi tipi di ruoli. Consulta la documentazione del servizio per maggiori dettagli.
Ruolo di accesso al servizio | Azioni | Azioni di esempio per il servizio Object Storage |
---|---|---|
Lettore | Eseguire azioni di sola lettura all'interno di un servizio, ad esempio visualizzare le risorse specifiche del servizio | Elenca e scarica oggetti |
Scrittore | Autorizzazioni al di sopra del ruolo di lettore, incluse la creazione e la modifica di risorse specifiche del servizio | Crea ed elimina bucket e oggetti |
Gestore | Autorizzazioni al di sopra del ruolo di scrittore per completare le azioni privilegiate definite dal servizio, più le risorse specifiche del servizio di creazione e modifica | Gestire tutti gli aspetti dell'archiviazione dei dati, creare e distruggere bucket e oggetti |
Ruoli di accesso personalizzati
Un account proprietario o un utente assegnato al ruolo di Amministratore sul servizio di gestione Role può creare ruoli personalizzati per un servizio sulla pagina IAM Ruoli. Qualsiasi numero di azioni disponibili per un servizio per qualsiasi ruolo di piattaforma o servizio può essere combinato e aggiunto ad un ruolo denominato personalizzato.
Dopo aver creato il ruolo, qualsiasi utente che possa assegnare l'accesso per quel servizio vede il nuovo ruolo personalizzato come opzione. Per ulteriori informazioni, consultare Creazione di ruoli personalizzati.