アクセス・グループを使用したリソースへのアクセス権限の割り当て

アクセス権限を素早く割り当てるためのアクセス・グループをセットアップし、アカウントにユーザーを招待し、それらのユーザーのアクセス権限を管理することによって、IBM Cloud ID およびアクセス管理 (IAM) を素早く稼働状態にします。

このチュートリアルは、IAM 対応リソースを対象としています。アクセス権限を管理するための IAM ポリシーの作成をサポートしていないクラシック・インフラストラクチャーについては、クラシック・インフラストラクチャー許可の資料を参照してください。

開始前に

IAM を初めて使用する場合は、次の資料を参照して、アクセス管理システムのフィーチャー、概念、およびコンポーネントの詳細を理解してください。

IBM Cloud Identity and Access Management とは何ですか? に、IBM Cloud における IAM の概要、使用可能な機能、および使用可能な CLI および API の資料へのリンクを記載しています。
IAM アクセスは、アクセス・ポリシーを使用してアクセス管理がどのように機能するかについての詳細なレビューを提供します。

アクセス・グループの作成

アカウント内のユーザーにアクセス権限を割り当てるプロセスを簡素化するために、アクセス・グループを作成できます。アクセス・グループは、ユーザーおよびサービス ID を編成して、グループ全体のポリシーを 1 つ以上追加することでアクセス権限を簡単に割り当てられるようにする方法です。これにより、各ユーザーに個別のアクセス権限を割り当てる代わりに、必要に応じてユーザーおよびサービス ID を追加および削除できます。

アカウント内でアクセス・グループを区別するために、固有の名前を使用する必要があります。

グループのセットアップ

アクセス・グループを作成するには、以下のステップを実行します。

IBM Cloud コンソールで、「管理」 > **「アクセス (IAM)」をクリックし、「アクセス・グループ」**を選択します。
「作成」 をクリックします。
アクセス・グループを識別する固有の名前と、オプションで説明を入力します。
「作成」 をクリックします。

次に、ユーザーまたはサービス ID を追加することでグループのセットアップに進みます。

更新するグループの名前を選択します。
**「ユーザーの追加」**をクリックします。
追加するユーザーをリストから選択して、グループに追加をクリックします。
サービス ID をグループに追加するには、サービス IDをクリックします。
追加する ID をリストから選択して、**グループに追加 (Add to group)**をクリックします。

グループへのアクセス権限の割り当て

アクセス・グループを作成した後、1 つ以上のポリシーを使用して、グループのすべてのメンバーにアクセス権限を割り当てることができます。 1 つのポリシーで、リソースのグループへのアクセス権限をユーザーのグループに割り当てることによって、管理が必要なポリシーの合計数を減らすことができます。

**アクセス］**タブで［アクセスを割り当てる］をクリックします。
単一のサービスまたはサービスのグループを選択します。そして、「次へ」 をクリックします。
属性に基づいて、アクセス権限のスコープを「すべてのリソース」または「特定のリソース」に設定します。そして、「次へ」 をクリックします。
割り当てるアクセス権限のレベルを選択します。

IAM 対応サービスにアクセス権限を割り当てる場合、一部のサービスでは、特定の命名規則を満たすリソースへのアクセス権限を付与するための拡張演算子の使用がサポートされています。詳しくは、『ワイルドカード・ポリシーを使用したアクセス権限の割り当て』を参照してください。
**「レビュー」**をクリックします。
追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
割り当てをクリックして、追加されたすべてのアクセス権限をアクセス・グループに割り当てます。

ユーザーの招待

単一の招待で 1 人以上のユーザーを招待できます。 1 回の招待で複数のユーザーを招待する場合、各ユーザーに同じアクセス権限が割り当てられます。ただし、アクセス権限なしでユーザーをアカウントに招待し、後でアクセス権限を割り当てることができます。

IBM Cloud コンソールで**「管理」** > **「アクセス (IAM)」と移動し、「ユーザー」**を選択します。
ユーザーの招待をクリックします。ユーザーの E メール・アドレスを指定します。 1 つの招待で複数のユーザーを招待すると、すべてのユーザーに同じアクセス権限が割り当てられます。
管理する 1 つ以上のアクセス・オプションを追加します。少なくとも 1 つのアクセス・オプションを割り当ててください。追加と構成が行われなかったアクセス・オプションには、デフォルト値であるアクセス権限なしが割り当てられます。管理を許可されているオプションに応じて、以下のタイプのアクセス権限を割り当てることができます。
- アクセス・グループ: ユーザーを所属させるアクセス・グループごとに、追加をクリックします。
- アクセスポリシー：個々のIAMアクセスポリシーまたは古典的なインフラストラクチャ権限を割り当てる。
  - クラシック・インフラストラクチャーを選択し、3 つの許可セットから選択します。
  - 「すべての ID およびアクセス対応サービス (All Identity and Access enabled services)」、 「すべてのアカウント管理サービス (All Account Management services)」、 「すべての IAM アクセス管理サービス (All IAM Access Management services)」 などのサービスのグループを選択するか、特定のサービスを選択します。次に、アクセス権限のスコープを、アカウント全体または 1 つのリソース・グループのみに設定できます。次に、該当するすべての役割を選択します。各役割にマップされているアクションを表示するには、各役割の横にリストされている番号をクリックします。
    
    一部のサービスでは、特定の命名規則を満たすリソースへのアクセス権限を付与するための拡張演算子の使用がサポートされています。詳しくは、『ワイルドカード・ポリシーを使用したアクセス権限の割り当て』を参照してください。
次に、該当するすべての役割を選択します。
追加を選択して、アクセス権限割り当てを招待に保存します。
必要なすべてのアクセス権限割り当てを追加したら、招待をクリックします。

詳しくは、『アカウントへのユーザーの招待』を参照してください。

既存ユーザーのアクセス管理

ユーザーを招待した後で、アカウントのすべてのメンバーのアクセス・レベルが適切なレベルになるように、さらにアクセス権限を割り当てたり、既存のアクセス権限を編集したりすることもできます。

新規アクセス権限の割り当て

新規アクセス・ポリシーを割り当てるには、以下の手順を実行します。

IBM Cloud コンソールで、「管理」 > 「アクセス (IAM)」 をクリックし、「ユーザー」 を選択します。
アクセス権限を割り当てるユーザーの行で、アクション・アイコン > アクセス権限の割り当てをクリックします。
サービスまたはサービス・グループを選択します。そして、「次へ」 をクリックします。
選択した属性に基づいて、アクセス権限のスコープを「すべてのリソース」または「特定のリソース」に設定します。そして、「次へ」 をクリックします。
アクセス権限のスコープを定義するために役割と許可の任意の組み合わせを選択し、確認をクリックします。アクセス権限について詳しくは、IAM 役割を参照してください。
追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
割り当てをクリックして、追加されたすべてのアクセス権限を、選択されたユーザーに割り当てます。

リソースを含んでいるリソース・グループに対するビューアー以上の役割を割り当てて、ユーザーがリソースのリストからそのリソースにアクセスできるようにします。

既存のアクセス権限の編集

ユーザーに割り当てられた役割を編集することによって、既存のアクセス権限を更新することができます。

IBM Cloud コンソールで、「管理」 > 「アクセス (IAM)」 をクリックし、「ユーザー」 を選択します。
アクセス権限を編集する対象のユーザーの名前を選択します。
「アクセス」 をクリックします。
編集したいポリシーの行にあるアクション・アイコン > 編集をクリックします。
割り当てられた役割を更新してポリシーを編集します。
保存をクリックします。

次のステップ

従来のIAMポリシーと連動するコンテキスト・ベースの制限を作成することで、クラウド・リソースの保護をさらに強化することができる。または、機能リストを参照して、IBM Cloud IAM で他に何ができるかご確認ください。