アクセス・グループ

ユーザーとサービス ID のグループを編成すると、1 つ以上のポリシーを使用してグループ内のすべてのメンバーに同じアクセス権限を割り当てることができます。 アクセスグループを使用すると、アクセス割り当てプロセスを合理化できるため、管理するポリシーの数を減らし、アカウント内のポリシーの数を減らすことができます。その結果、パフォーマンスが向上します。 アクセス・グループを使用すると、ユーザーまたはサービス ID をアクセス・グループに追加したりアクセス・グループから除外したりするだけで、アクセス権限の付与と取り消しを行うことができます。 グループをセットアップした後、ポリシーのサブジェクトとしてアクセス・グループを選択することから、ポリシーの割り当てを開始できます。 詳しくは、アクセス・グループでアクセス管理を合理化を参照してください。

トラステッド・プロファイル

トラステッド・プロファイルを使用する場合は、ユーザーの ID の管理は、お客様自身の企業ディレクトリーで行います。 また、IBM Cloud の複数のアカウントと資産にまたがって、フェデレーテッド・ユーザーのアクセス権限のライフサイクルを一元的に管理できます。アカウントごとに各エンティティーについてアクセス・ポリシーを構成する必要がありません。 ユーザーをアカウントに招待して IBM Cloud リソースに対するアクセス権限を付与する必要はありません。

アプリケーション用にサービス ID を作成したり API キーのライフサイクルを管理したりすることなく、コンピュート・リソースで実行されるすべてのアプリケーションのための権限をきめ細かく定義することもできます。 組織のトラステッド・プロファイルの作成を開始するには、資格情報の管理が不要になるトラステッド・プロファイルを参照してください。

リソース

アカウントリソースとは、カタログから選択されたサービスインスタンス、またはサービスインスタンス内のより細かい粒度のリソース（ IBM Cloud® Object Storage バケットなど）を指します。 IAM 対応のリソースは、カタログから作成されるときにリソース・グループに追加されます。

IAM アクセス管理により、アクセスをきめ細かく制御できます。つまり、ポリシーは、例えば 1 つのリソース・グループ内のすべてのリソースに対して広範囲に設定することも、アカウント内の特定のサービス・インスタンスや、特定のインスタンス内のリソース・タイプ (IBM Cloud Object Storage バケットなど) に対して設定することもできます。

アクセス・ポリシー

アクセス・ポリシーとは、アカウント内のユーザー、サービス ID、アクセス・グループ、トラステッド・プロファイルに、アカウント・リソースに対するアクセスとアクションの実行を許可する方法です。 ポリシーには、サブジェクト、ターゲット、役割が含まれます。 サブジェクトとは、アクセス権限を提供する対象のユーザー、サービス ID、またはアクセス・グループです。 ポリシーのターゲットとは、権限を付与するアクセス対象リソースです。 また、IAM 役割により、ポリシーのターゲットに対するアクセス・レベルや許可アクションを定義します。

ポリシーは、アクセスのレベルを定義する 1 つ以上の役割と、アクセスを許可するターゲットを定義する 1 つ以上の属性をサブジェクトに割り当てます。 ポリシーは、インスタンス・レベルの単一のサービス、リソース・グループに編成されたリソースのセット、または属性のセット (ロケーション、リソース・タイプなど) で定義できるリソースのセットへのアクセス権限を付与できます。 ポリシーはさらに、アカウント管理サービスへのアクセス権限を付与することもできます。 割り当てられる IAM 役割に応じて、サブジェクトは、アカウント管理タスクを実行したり、サービス・インスタンスを処理したり、またはコンソールの使用や API 呼び出しの実行によってサービスにアクセスしたりするためのさまざまなレベルのアクセス権限を許可されます。

ユーザーとサービス ID にアカウント・リソースへのアクセスを許可するポリシーには、さまざまなタイプがあります。例えば、リソース・グループ・ポリシー、リソース・インスタンス・ポリシー、すべての IAM 対応サービスまたは指定したサービスのすべてのインスタンスへのアクセスに関してアカウント全体に適用するポリシー、すべてまたは 1 つのアカウント管理サービスに関するポリシーなどがあります。 選択に応じて、特定ロケーションのリソースへのアクセス権限の定義や、インスタンス内にある細かいレベルのサービス固有リソースへのアクセス権限の定義といった、カスタム構成オプションが使用可能な場合があります。

ユーザーとサービス ID のアクセス・ポリシーに加えて、特定のサービスまたはサービスのインスタンスが他のサービスにアクセスできるようにする、許可と呼ばれるポリシー・タイプがあります。 サービス間のアクセス権限の割り当てについて詳しくは、許可を使用した、サービス間のアクセス権限の付与を参照してください。

役割

IBM Cloud のアクセス役割とは、アクションをまとめたグループのことです。 アクセス役割を使用すると、ユーザーとサービス ID は、そのポリシーで定義されているターゲット・リソースのコンテキスト内で特定のタスクを実行できます。 事前定義されたアクセス役割には、プラットフォーム管理とサービス・アクセスの 2 タイプがあります。 3 番目のタイプのアクセス役割はカスタム役割です。利用可能なアクションのセットを組織のニーズを満たすように組み合わせてサービス用に作成できます。

プラットフォーム管理役割は、ユーザー・アクセス権限の割り当てやサービス・インスタンスの作成など、プラットフォーム・レベルでリソースを管理するために許可されるアクションを定義します。 プラットフォームの役割は、ユーザーの招待や削除、アクセスグループの管理、サービスIDの管理、プライベートカタログ製品など、アカウント管理サービスの一環として実行できる操作にも適用されます。

サービス・アクセス役割は、サービス API の呼び出しやサービスのダッシュボードへのアクセスなど、許可されるアクションを定義します。 これらの役割は、ポリシー内で選択されたサービスに基づいてカスタマイズされます。

コンソール内でアクセス権限を割り当てると、その役割の横に、各役割にマップされているアクションの数が表示されます。そのリストを掘り下げることで、各役割で何が許可されているかを正確に把握できます。

アクセス権限について詳しくは、IAM 役割を参照してください。

アクション

ユーザーは、各種役割を割り当てられているときに特定のタスクのみを実行できるように、アクションが IBM Cloud IAM 役割にマップされます。 アクションは、許可や操作と呼ばれることもあります。 役割がサービスの使用にどのようにマップされるかは各サービスで定義されるため、各役割の許可アクションは、アクセスされるサービスによって変わります。 詳しくは、IAM の役割とアクションを参照してください。

エンタープライズ管理 IAM テンプレート

エンタープライズ管理 IAM テンプレートは、 エンタープライズクラウド環境でのアカウントと課金管理を一元化したアカウントの階層構造。全体でアクセス管理とアカウント・セキュリティーの設定を標準化するための便利なツールです。 テンプレートを使用すると、よく使用されるアクセス グループ、信頼できるプロファイル、セキュリティ設定を一貫した方法で定義できるため、セキュリティ ポリシーが企業全体に均一に適用されます。 これは、組織標準に準拠するために特に重要です。組織標準では、すべてのアカウントまたは一部のアカウントで特定のアクセス管理およびセキュリティー設定を一貫して構成する必要がある場合があります。 IAM テンプレートを使用すると、セキュリティ ポリシーの管理を簡素化し、構成ミスや人為的エラーのリスクを軽減し、全体的なセキュリティ体制を向上させることができます。 詳しくは、 エンタープライズ管理 IAM の仕組み を参照してください。

子アカウントのエンタープライズ管理 IAM リソースには、 enterprise-managedというタグが付きます。

アクセス管理システム

IBM Cloud IAM 制御システムは、サービスのコンテキスト内でユーザーまたはサービス ID によるアクションを、そのユーザーやサービス ID に割り当てられたアクセス・ポリシーに基づいて許可または拒否します。 デフォルトでは、どのユーザーおよびサービス ID にもアクセス権限がありません。 追加された各アクセス・ポリシーにより、ユーザーまたはサービス ID は、アクセス・ポリシーで選択され指定されたターゲットと役割に基づき、アカウント内でアクションを実行できます。 ユーザーが特定アクションを実行しようとすると、制御システムは、ポリシーで定義された属性を使用して、ユーザーにそのタスクの実行許可があるかどうかを判別します。 詳しくは、IBM Cloud IAM の仕組みを参照してください。