IBM Cloud Docs
IBM Cloud Ruoli IAM

IBM Cloud Ruoli IAM

Tutti i servizi che sono organizzati in un gruppo di risorse nel tuo account vengono gestiti utilizzando IBM Cloud Identity and Access Management (IAM). Ai titolari dell'account viene automaticamente assegnato il ruolo di amministratore dell'account. In qualità di amministratore dell'account, puoi assegnare e gestire l'accesso per gli utenti, creare gruppi di risorse, creare gruppi di accesso, creare profili attendibili, visualizzare i dettagli di fatturazione e monitorare l'utilizzo, nonché creare istanze di servizio. È possibile fornire accesso agli utenti, agli ID di servizio, ai gruppi di accesso e ai profili attendibili creando criteri che stabiliscono un obiettivo per l'oggetto del criterio a cui accedere e un ruolo che definisce il tipo di accesso consentito.

Ruoli IAM

È possibile gestire e definire l'accesso in base a ruoli specifici per utenti e risorse nel proprio account.

  • I ruoli di gestione della piattaforma coprono una serie di azioni, tra cui la possibilità di creare ed eliminare istanze, gestire le credenziali e gestire l'accesso. I ruoli della piattaforma sono amministratore, editor, operatore, visualizzatore. I ruoli di gestione della piattaforma si applicano anche ai servizi di gestione dell'account che consentono agli utenti di invitare utenti, gestire ID di servizio, politiche di accesso, voci di catalogo e tenere traccia della fatturazione e dell'utilizzo in base al proprio ruolo assegnato in un servizio di gestione dell'account.

  • I ruoli di accesso al servizio definiscono la capacità di un utente o un servizio di eseguire azioni su un'istanza del servizio, come l'accesso alla console o l'esecuzione di chiamate API. I ruoli di accesso al servizio più comuni sono manager, scrittore e lettore. Ogni servizio associa azioni particolari per lavorare con il servizio a ciascuno di questi ruoli.

    Potresti non vedere tutti i ruoli qui elencati come opzioni quando assegni le politiche nell'interfaccia utente perché vengono visualizzati solo i ruoli disponibili per il servizio che hai scelto. Per ulteriori informazioni su quali ruoli sono abilitati e quali azioni sono consentite da ciascun ruolo di accesso per ciascun servizio, consulta la documentazione relativa a tale servizio.

  • I ruoli personalizzati per un servizio possono essere creati sulla pagina IAM Ruoli dal proprietario dell'account o un utente ha assegnato il ruolo di amministratore sul servizio di gestione del ruolo.

    È possibile esaminare i ruoli disponibili e le azioni associate per un determinato servizio andando nella pagina Ruoli e selezionando il servizio di cui si desidera saperne di più. Questa è la stessa pagina in cui è possibile creare un ruolo personalizzato nella console.

Ruoli di gestione della piattaforma

Con i ruoli di gestione della piattaforma è possibile assegnare agli utenti diversi livelli di autorizzazione per l'esecuzione di azioni della piattaforma all'interno dell'account o su un servizio. Ad esempio, i ruoli di gestione della piattaforma assegnati alle risorse di catalogo, consentono agli utenti di completare azioni come la creazione, l'eliminazione, la modifica e la visualizzazione delle istanze del servizio. Mentre i ruoli di gestione della piattaforma assegnati ai servizi di gestione dell'account consentono agli utenti di completare azioni come l'invito e la rimozione degli utenti, l'utilizzo dei gruppi di risorse e la visualizzazione delle informazioni di fatturazione. Per ulteriori informazioni sui servizi di gestione dell'account, vedi Assegnazione dell'accesso ai servizi di gestione dell'account.

Seleziona tutti i ruoli che si applicano quando crei una policy. Ogni ruolo consente di completare azioni separate e non eredita le azioni dei ruoli minori.

La seguente tabella fornisce esempi di alcune delle azioni di gestione della piattaforma che gli utenti possono effettuare nel contesto delle risorse del catalogo e dei gruppi di risorse. Consultare la documentazione per ogni prodotto a catalogo per capire come i ruoli si applicano agli utenti nel contesto del servizio che viene utilizzato.

Esempio di ruoli e azioni di gestione della piattaforma per i servizi in un account
prima riga della tabella descrive le opzioni separate tra cui è possibile scegliere quando si crea un criterio, mentre la prima colonna descrive i ruoli selezionati per il criterio. Le celle rimanenti si associano al ruolo selezionato dalla prima colonna, e alla politica selezionata dalla prima riga.
Ruolo di gestione della piattaforma Uno o tutti i servizi abilitati a IAM Servizio selezionato in un gruppo di risorse Accesso al gruppo di risorse
Ruolo visualizzatore Visualizza istanze e credenziali Visualizzare solo le istanze specificate nel gruppo di risorse Visualizzare il gruppo di risorse
Ruolo operatore Visualizzare le istanze e gestire le credenziali Non applicabile Non applicabile
Ruolo editor Creare, eliminare, modificare e visualizzare istanze. Gestisci credenziali. Creare, eliminare, modificare, sospendere, riprendere, visualizzare e associare solo le istanze specificate nel gruppo di risorse Visualizzare e modificare il nome del gruppo di risorse
Ruolo amministratore Tutte le azioni di gestione per i servizi Tutte le azioni di gestione per le istanze specificate nel gruppo di risorse Visualizzare, modificare e gestire l'accesso per il gruppo di risorse

Per ulteriori informazioni sulle azioni specifiche che gli utenti possono effettuare in base al proprio ruolo assegnato sui servizi di gestione dell'account, vedi Assegnazione dell'accesso ai servizi di gestione dell'account.

Alcuni servizi potrebbero associare specifiche azioni ai ruoli di gestione della piattaforma correlati alla gestione del servizio piuttosto che all'accesso del servizio. Come esempio, consulta la seguente tabella che descrive le azioni del servizio Kubernetes Service associate a questi ruoli.

Esempi di ruoli e azioni di gestione della piattaforma per il servizio Kubernetes Service
Ruolo di gestione della piattaforma Azioni Azioni di esempio per Kubernetes Service
Visualizzatore Può visualizzare le istanze del servizio ma non può modificarle
  • Elenco cluster
  • Visualizza dettagli per un cluster
Editor Esegue tutte le azioni della piattaforma ad eccezione della gestione dell'account e dell'assegnazione delle politiche di accesso
  • Collegare un servizio a un cluster
  • Creare un webhook
Operatore Esegue le azioni della piattaforma necessarie a configurare ed utilizzare le istanze del servizio, ad esempio la visualizzazione del dashboard di un servizio
  • Aggiungere o rimuovere i nodi di lavoro
  • Riavviare o ricaricare i nodi di lavoro
  • Bind un servizio a un cluster
Amministratore Esegue tutte le azioni della piattaforma basate sulla risorsa a cui è assegnato questo ruolo, inclusa l'assegnazione delle politiche di accesso ad altri utenti
  • Rimuovi un cluster
  • Crea un cluster
  • Aggiornamento politiche di accesso utente
  • Tutte le azioni un visualizzatore, editor e operatore possono eseguire

Ruoli di accesso al servizio

I ruoli di accesso al servizio consentono di assegnare agli utenti diversi livelli di autorizzazione per richiamare l'API del servizio e accedere all'interfaccia utente del servizio. La seguente tabella fornisce le azioni di esempio che è possibile eseguire a seconda dei ruoli assegnati in base all'utilizzo del servizio Object Storage.

Le azioni che possono essere eseguite in base a ciascun ruolo assegnato variano in base al servizio che hai selezionato per la politica. Non tutti i servizi utilizzano questi tipi di ruoli. Consulta la documentazione del servizio per maggiori dettagli.

Esempio di ruoli e azioni dell'utente per l'accesso al servizio
Ruolo di accesso al servizio Azioni Azioni di esempio per il servizio Object Storage
Lettore Eseguire azioni di sola lettura all'interno di un servizio, ad esempio visualizzare le risorse specifiche del servizio Elenca e scarica oggetti
Scrittore Autorizzazioni al di sopra del ruolo di lettore, incluse la creazione e la modifica di risorse specifiche del servizio Crea ed elimina bucket e oggetti
Gestore Autorizzazioni al di sopra del ruolo di scrittore per completare le azioni privilegiate definite dal servizio, più le risorse specifiche del servizio di creazione e modifica Gestire tutti gli aspetti dell'archiviazione dei dati, creare e distruggere bucket e oggetti

Ruoli di accesso personalizzati

Un account proprietario o un utente assegnato al ruolo di Amministratore sul servizio di gestione Role può creare ruoli personalizzati per un servizio sulla pagina IAM Ruoli. Qualsiasi numero di azioni disponibili per un servizio per qualsiasi ruolo di piattaforma o servizio può essere combinato e aggiunto ad un ruolo denominato personalizzato.

Dopo aver creato il ruolo, qualsiasi utente che possa assegnare l'accesso per quel servizio vede il nuovo ruolo personalizzato come opzione. Per ulteriori informazioni, consultare Creazione di ruoli personalizzati.