アカウント管理サービスへのアクセス権限の割り当て
アカウント所有者またはアカウント管理サービスの管理者は、アカウントへのユーザーの招待、請求および使用量の追跡、およびサポート Case の処理を実行するためのアクセス権限をユーザーに付与することができます。 アカウント管理アクセス・ポリシーを持つユーザーは、サービス ID、アクセス・ポリシー、カタログ・エントリー、アクセス・グループ、Security and Compliance Center サービスのリソースを管理したり、コンテキスト・ベースの制限を処理したりすることもできます。
コンソールでのアクセス権限の割り当て
1 つまたはすべてのアカウント管理サービスへのアクセス権限を割り当てるには、以下のステップを実行します。
- IBM Cloud® コンソールで 「管理」 > 「アクセス (IAM)」 をクリックして、「ユーザー」 を選択します。
- アクセス権を割り当てるユーザーをクリックし、 [アクセス] > [アクセス権の割り当て ] の順に選択します。
- サービスに対して、「すべてのアカウント管理サービス」を選択するか、特定のアカウント管理サービスを選択します。 そして、「次へ (Next)」 をクリックします。
- アクセス権限のスコープを 「すべてのリソース」 または 「特定のリソース」 に設定します。 そして、「次へ (Next)」 をクリックします。
- 役割または許可の任意の組み合わせを選択し、確認をクリックします。
- 追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
- 割り当て をクリックします。
ユーザー・アクセスとすべての IAM 対応アカウント・リソースの管理を行う目的で、別のユーザーにアカウントへの全アクセス権限を付与するには、2 つのポリシーを割り当てる必要があります。 最初のポリシーを作成するには、「管理者プラットフォームロール」と「マネージャーサービスロール」を持つ 「すべてのIDおよびアクセスが有効なサービス」 を選択します。 2つ目のポリシーを作成するには、管理者ロールが割り当てられたすべてのアカウント管理サービスを選択します。
アカウント管理サービスの管理者役割を持つユーザーは、他のユーザーのアクセス権限を変更したり、アカウントからユーザー (管理者役割を持つ他のユーザーを含む) を削除したりすることができます。
アカウント管理サービスのアクションおよび役割
以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。
すべてのアカウント管理サービス
ユーザーに幅広いアカウント管理アクセスを迅速に提供するには、すべてのアカウント管理サービスにポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。
「すべてのアカウント管理サービス」 のグループに対するアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
- 課金
- カタログ管理
- コンテキスト・ベースの制約事項
- Enterprise
- グローバル・カタログ
- IBM Cloud シェル設定
- ライセンスおよび資格
- パートナー・センター
- パートナー・センター - 販売
- プロジェクト
- Security and Compliance Center
- ソフトウェア・インスタンス
- サポート
役割 | アクション |
---|---|
ビューアー | アカウント管理サービスに対するすべてのビューアー役割アクション |
オペレーター | アカウント管理サービスに対するすべてのオペレーター役割アクション |
エディター | アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力 |
管理者 | アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力 |
すべての IAM アカウント管理サービス
Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 「すべての IAM アカウント管理サービス」 のグループに対するアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
役割 | アクション |
---|---|
ビューアー | IAM サービスのすべてのビューアー役割アクション |
オペレーター | IAM サービスのすべてのオペレーター役割アクション |
エディター | IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能 |
管理者 | IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能 |
ユーザー API キー作成者 | APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する |
サービス ID 作成者 | サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する |
テンプレート管理者 | アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
テンプレート割り当て管理者 | エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。
課金
請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示 サブスクリプション残高の表示と使用量の追跡 |
オペレーター | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示および変更 |
エディター | アカウント・フィーチャー設定の表示および更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションおよびフィーチャー・コードの表示および適用 アカウント名の表示および変更 消費量制限の表示および更新 消費量通知の設定 サブスクリプション・バランスの表示および使用量の追跡 |
管理者 | アカウント・フィーチャー設定の表示と更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションとフィーチャー・コードの表示 アカウント名の表示と変更 消費量制限の表示と更新 消費量通知の設定 サブスクリプション残高の表示と使用量の追跡 エンタープライズの作成 |
「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。
カタログ管理
プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | IBM Cloud カタログ
「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示 |
オペレーター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
エディター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
管理者 | IBM Cloud カタログのアカウント・レベルのフィルターを設定
プライベート・カタログの作成、更新、および削除 IBM 承認済み製品の公開 アクセス・ポリシーの割り当て |
パブリッシャー | IBM によって承認された製品のプライベート・カタログからの公開 |
コンテキスト・ベースの制限
ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。
コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。
役割 | アクション |
---|---|
ビューアー | ネットワーク・ゾーンの表示 |
エディター | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
管理者 | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
Enterprise
ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。
役割 | アクション |
---|---|
ビューアー | エンタープライズ、アカウント・グループ、およびアカウントの表示 |
オペレーター | 適用外 |
エディター | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート |
管理者 | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示 |
使用量レポート・ビューアー | エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示 |
グローバル・カタログ
カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | プライベート・サービスの表示 |
オペレーター | プライベート・サービスの表示 |
エディター | オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない |
管理者 | オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる |
IAM アクセス・グループ
IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・グループとメンバーの表示 |
オペレーター | 適用外 |
エディター | グループの表示、作成、編集、および削除
グループへのユーザーの追加またはグループからのユーザーの削除 |
管理者 | グループの閲覧、作成、編集、削除
他の管理者を含むユーザーの追加または削除 グループへのアクセス権の割り当て アクセスグループでの作業のためのアクセス権の管理 アカウントレベルでのリソースへのパブリックアクセスの有効化または無効化 |
IAM アクセス管理サービス
アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・ポリシーおよびカスタム役割の表示 |
オペレーター | アクセス・ポリシーおよびカスタム役割の表示 |
エディター | カスタム役割の表示および編集
IAM の洞察、ポリシー、および設定の表示 |
管理者 | カスタム役割の表示、作成、編集、および削除
IAM 設定の表示および更新 グループへのアクセス権限の割り当て アクセス・ポリシーの表示、作成、編集、および削除 |
役割管理
ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。 IAM アクセス管理サービスの子サービス。
役割 | アクション |
---|---|
ビューアー | カスタム役割の表示 |
オペレーター | 適用外 |
エディター | アカウントのカスタム役割を編集および更新する |
管理者 | アカウントのカスタム役割を作成、編集、更新、および削除する |
IAM Identity サービス
IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。
役割 | アクション |
---|---|
ビューアー | ID の表示 |
オペレーター | ID および API キーの作成と削除
IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの削除 |
エディター | IDおよびAPIキーの作成と更新
表示と更新 IdPs サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新 信頼済みプロファイルの更新 |
管理者 | ID および API キーの作成、更新、および削除
ID へのアクセス・ポリシーの割り当て IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの作成 |
ユーザー API キー作成者 | API キーを制限するアカウント設定が有効な場合に API キーを作成できます。 |
サービス ID 作成者 | サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。 |
IBM Cloud Shell の設定
対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | 適用外 |
管理者 | IBM Cloud Shell 設定の表示および更新 |
クラウド・オペレーター | Cloud Shell リソースを管理する IBM Cloud 環境を作成します。 |
クラウド開発者 | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。 |
File Manager | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。 |
ライセンスおよび資格
アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。 |
管理者 | 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。 |
Platform Analytics
ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。
役割 | アクション |
---|---|
ビューアー | データとグラフの表示、検索、作成、更新、共有 |
管理者 | データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。 |
パートナー・センター
パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。 |
エディター | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
オペレーター | |
管理者 | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
パートナー・センター - 販売
ユーザーに製品へのアクセス権を与え、検証、公開することができます。
役割 | アクション |
---|---|
管理者 | 製品の作成、編集、検証、および公開 |
エディター | 製品の検証および編集 |
承認者 | ワークフロー・インスタンスのタスクを承認または拒否します |
プロジェクト
Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 |
オペレーター | プロジェクト、構成、およびデプロイメントに関する詳細の表示
構成の検証 構成の編集 |
エディター | View details about projects, configurations, and deployments
Validate a configuration Edit a configuration Create a project Edit a project Delete a project Create a configuration Discard a draft configuration Deploy configuration changes Destroy resources |
管理者 | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
構成の検証 構成の編集 プロジェクトの作成 プロジェクトの編集 プロジェクトの削除 構成の作成 ドラフト構成の破棄 構成変更のデプロイ リソースの破棄 検証に失敗した変更の強制承認 |
Security and Compliance Center
アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 利用可能なプロファイルと添付ファイルの表示
スコープ、認証情報、ルールなどの作成済みリソースの表示 サービスのグローバル設定の表示 |
オペレーター | Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。
コンプライアンス・アクティビティーをモニターするための監査ログを作成します。 |
エディター | オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。
目標のパラメーター設定を更新します。 ルールおよびテンプレートを作成、更新、または削除します。 サービスのグローバル管理設定を編集します。 |
管理者 | この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。 |
マネージャー | サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。 |
リーダー | サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。 |
ライター | サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。 |
ソフトウェア・インスタンス
ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。
役割 | アクション |
---|---|
ビューアー | ソフトウェア・インスタンスの詳細ページを表示する |
オペレーター | ソフトウェア・インスタンスの更新
ソフトウェア・インスタンスの詳細ページの表示 |
エディター | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 |
管理者 | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 ソフトウェア・インスタンスのログの表示 IAM 権限の割り当て |
サポート
サポート Case を管理するアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 「ケースの表示」
「ケースの検索」 |
オペレーター | 適用外 |
エディター | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
管理者 | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。
ユーザー管理
アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
オペレーター | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
エディター | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
管理者 | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。
Activity Tracker Event Routing
プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
オペレーター | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
エディター | Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。 |
管理者 | Activity Tracker Event Routing リソース
を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。 |
アカウント管理サービス名
CLI または API を使用してアクセス権限を割り当てる場合、アカウント管理サービスは以下の属性と値を使用します。
アカウント管理サービス | 属性と値 |
---|---|
すべてのアカウント管理サービス | serviceType=platform_service |
すべての IAM アカウント管理サービス | service_group_id=IAM |
課金 | serviceName=billing |
カタログ管理 | serviceName=globalcatalog-collection |
コンテキスト・ベースの制約事項 | serviceName=context-based-restrictions |
Enterprise | serviceName=enterprise |
グローバル・カタログ | serviceName=globalcatalog |
IAM アクセス・グループ・サービス | serviceName=iam-groups |
IAM Identity サービス | serviceName=iam-identity |
IBM Cloud Shell | serviceName=cloudshell |
ライセンスおよび資格 | serviceName=entitlement |
プロジェクト | serviceName=project |
役割管理 | serviceName=iam-access-management |
Security and Compliance Center | serviceName=security-compliance |
サポート | serviceName=support |
ユーザー管理 | serviceName=user-management |
API を使用したアクセス権限の割り当て
以下の例は、アクセス・グループの IAM アカウント管理サービスに対する管理者役割を持つ、ポリシーを割り当てます。
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceName",
"value": "iam-groups"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
.name("serviceName")
.value("iam-groups")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceNameResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
name: 'serviceName',
value: 'iam-groups',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_name_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceName"),
Value: core.StringPtr("iam-groups"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceNameResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
次の例では、 全アカウント管理サービスに管理者ロールを持つポリシーを割り当てます。
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceType",
"value": "platform-service"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
.name("serviceType")
.value("platform-service")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceTypeResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
name: 'serviceType',
value: 'platform-service',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceType', value='platform-service')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_type_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceType"),
Value: core.StringPtr("platform-service"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceTypeResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
アカウント管理サービスのアクションおよび役割
以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。
すべてのアカウント管理サービス
ユーザーに幅広いアカウント管理アクセスを迅速に提供するには、すべてのアカウント管理サービスにポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。
「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
- 課金
- カタログ管理
- コンテキスト・ベースの制約事項
- Enterprise
- グローバル・カタログ
- IBM Cloud シェル設定
- ライセンスおよび資格
- パートナー・センター
- パートナー・センター - 販売
- プロジェクト
- Security and Compliance Center
- ソフトウェア・インスタンス
- サポート
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | アカウント管理サービスに対するすべてのビューアー役割アクション | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | アカウント管理サービスに対するすべてのオペレーター役割アクション | crn:v1:bluemix:public:iam::::role:Operator |
エディター | アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力 | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力 | crn:v1:bluemix:public:iam::::role:Administrator |
すべての IAM アカウント管理サービス
Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | IAM サービスのすべてのビューアー役割アクション | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | IAM サービスのすべてのオペレーター役割アクション | crn:v1:bluemix:public:iam::::role:Operator |
エディター | IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能 | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能 | crn:v1:bluemix:public:iam::::role:Administrator |
ユーザー API キー作成者 | APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
サービス ID 作成者 | サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
テンプレート管理者 | アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 | crn:v1:bluemix:public:iam::::role:TemplateAdministrator |
テンプレート割り当て管理者 | エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 | crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator |
「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。
課金
請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示 サブスクリプション残高の表示と使用量の追跡 |
crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示および変更 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | アカウント・フィーチャー設定の表示および更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションおよびフィーチャー・コードの表示および適用 アカウント名の表示および変更 消費量制限の表示および更新 消費量通知の設定 サブスクリプション・バランスの表示および使用量の追跡 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | アカウント・フィーチャー設定の表示と更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションとフィーチャー・コードの表示 アカウント名の表示と変更 消費量制限の表示と更新 消費量通知の設定 サブスクリプション残高の表示と使用量の追跡 エンタープライズの作成 |
crn:v1:bluemix:public:iam::::role:Administrator |
「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。
カタログ管理
プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | IBM Cloud カタログ
「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示 |
crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | IBM Cloud カタログのアカウント・レベルのフィルターを設定
プライベート・カタログの作成、更新、および削除 IBM 承認済み製品の公開 アクセス・ポリシーの割り当て |
crn:v1:bluemix:public:iam::::role:Administrator |
パブリッシャー | IBM によって承認された製品のプライベート・カタログからの公開 | crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter |
コンテキスト・ベースの制約事項
ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。
コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | ネットワーク・ゾーンの表示 | crn:v1:bluemix:public:iam::::role:Viewer |
エディター | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
crn:v1:bluemix:public:iam::::role:Administrator |
コンテキスト・ベースの制限およびネットワーク・ゾーンを表示、作成、更新、および削除するためのアクセス権限をユーザーに付与できます。
Enterprise
ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | エンタープライズ、アカウント・グループ、およびアカウントの表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 適用外 | |
エディター | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示 | crn:v1:bluemix:public:iam::::role:Administrator |
使用量レポート・ビューアー | エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示 | crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer |
グローバル・カタログ
カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | プライベート・サービスの表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 適用外 | crn:v1:bluemix:public:iam::::role:Operator |
エディター | オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる | crn:v1:bluemix:public:iam::::role:Administrator |
IAM アクセス・グループ
IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | アクセス・グループとメンバーの表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 適用外 | |
エディター | グループの表示、作成、編集、および削除
グループへのユーザーの追加またはグループからのユーザーの削除 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | グループの表示、作成、編集、および削除
ユーザーの追加または削除 グループへのアクセス権限の割り当て アクセス・グループで作業するためのアクセス権限の管理 アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化 |
crn:v1:bluemix:public:iam::::role:Administrator |
IAM アクセス管理サービス
アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | アクセス・ポリシーおよびカスタム役割の表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | アクセス・ポリシーおよびカスタム役割の表示 | crn:v1:bluemix:public:iam::::role:Operator |
エディター | カスタム役割の表示および編集
IAM の洞察、ポリシー、および設定の表示 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | カスタム役割の表示、作成、編集、および削除
IAM 設定の表示および更新 グループへのアクセス権限の割り当て アクセス・ポリシーの表示、作成、編集、および削除 |
crn:v1:bluemix:public:iam::::role:Administrator |
役割管理
ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | カスタム役割の表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 適用外 | |
エディター | アカウントのカスタム役割を編集および更新する | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | アカウントのカスタム役割を作成、編集、更新、および削除する | crn:v1:bluemix:public:iam::::role:Administrator |
IAM Identity サービス
IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | ID の表示 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | ID および API キーの作成と削除
IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの削除 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | IDおよびAPIキーの作成と更新
表示と更新 IdPs サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新 信頼済みプロファイルの更新 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | ID および API キーの作成、更新、および削除
ID へのアクセス・ポリシーの割り当て IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの作成 |
crn:v1:bluemix:public:iam::::role:Administrator |
ユーザー API キー作成者 | API キーを制限するアカウント設定が有効な場合に API キーを作成できます。 | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
サービス ID 作成者 | サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。 | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
IBM Cloud Shell の設定
対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | 適用外 | |
オペレーター | 適用外 | |
エディター | 適用外 | |
管理者 | IBM Cloud Shell 設定の表示および更新 | crn:v1:bluemix:public:iam::::role:Administrator |
クラウド・オペレーター | Cloud Shell リソースを管理する IBM Cloud 環境を作成します。 | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator |
クラウド開発者 | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。 | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper |
File Manager | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。 | crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager |
ライセンスおよび資格
アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | 適用外 | |
オペレーター | 適用外 | |
エディター | エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。 | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。 | crn:v1:bluemix:public:iam::::role:Administrator |
Platform Analytics
ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | データとグラフの表示、検索、作成、更新、共有 | crn:v1:bluemix:public:iam::::role:Viewer |
管理者 | データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。 | crn:v1:bluemix:public:iam::::role:Administrator |
パートナー・センター
パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。 | crn:v1:bluemix:public:iam::::role:Viewer |
エディター | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 | crn:v1:bluemix:public:iam::::role:Editor |
オペレーター | ||
管理者 | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 | crn:v1:bluemix:public:iam::::role:Administrator |
パートナー・センター - 販売
ユーザーに製品へのアクセス権を与え、検証、公開することができます。
役割 | アクション | role_ID 値 |
---|---|---|
管理者 | 製品の作成、編集、検証、および公開 | |
エディター | 製品の検証および編集 | crn:v1:bluemix:public:iam::::role:Editor |
承認者 | ワークフロー・インスタンスのタスクを承認または拒否します | crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover |
プロジェクト
Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | プロジェクト、構成、およびデプロイメントに関する詳細の表示
構成の検証 構成の編集 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | View details about projects, configurations, and deployments
Validate a configuration Edit a configuration Create a project Edit a project Delete a project Create a configuration Discard a draft configuration Deploy configuration changes Destroy resources |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
構成の検証 構成の編集 プロジェクトの作成 プロジェクトの編集 プロジェクトの削除 構成の作成 ドラフト構成の破棄 構成変更のデプロイ リソースの破棄 検証に失敗した変更の強制承認 |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | 利用可能なプロファイルと添付ファイルの表示
スコープ、認証情報、ルールなどの作成済みリソースの表示 サービスのグローバル設定の表示 |
crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。
コンプライアンス・アクティビティーをモニターするための監査ログを作成します。 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。
目標のパラメーター設定を更新します。 ルールおよびテンプレートを作成、更新、または削除します。 サービスのグローバル管理設定を編集します。 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。 | crn:v1:bluemix:public:iam::::role:Administrator |
マネージャー | サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。 | crn:v1:bluemix:public:iam::::serviceRole:Manager |
リーダー | サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。 | crn:v1:bluemix:public:iam::::serviceRole:Reader |
ライター | サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。 | crn:v1:bluemix:public:iam::::serviceRole:Writer |
ソフトウェア・インスタンス
ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | ソフトウェア・インスタンスの詳細ページを表示する | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | ソフトウェア・インスタンスの更新
ソフトウェア・インスタンスの詳細ページの表示 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 ソフトウェア・インスタンスのログの表示 IAM 権限の割り当て |
crn:v1:bluemix:public:iam::::role:Administrator |
サポート
サポート Case を管理するアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | 「ケースの表示」
「ケースの検索」 |
crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 適用外 | crn:v1:bluemix:public:iam::::role:Operator |
エディター | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
crn:v1:bluemix:public:iam::::role:Administrator |
ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。
ユーザー管理
アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
crn:v1:bluemix:public:iam::::role:Administrator |
ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。
Activity Tracker Event Routing
プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 | crn:v1:bluemix:public:iam::::role:Operator |
エディター | Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。 | crn:v1:bluemix:public:iam::::role:Editor |
管理者 | Activity Tracker Event Routing リソース
を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。 |
crn:v1:bluemix:public:iam::::role:Administrator |
アカウント管理サービス名
CLI または API を使用してアクセス権限を割り当てる場合、アカウント管理サービスは以下の属性と値を使用します。
アカウント管理サービス | 属性と値 |
---|---|
すべてのアカウント管理サービス | serviceType=platform_service |
すべての IAM アカウント管理サービス | service_group_id=IAM |
課金 | serviceName=billing |
カタログ管理 | serviceName=globalcatalog-collection |
コンテキスト・ベースの制約事項 | serviceName=context-based-restrictions |
Enterprise | serviceName=enterprise |
グローバル・カタログ | serviceName=globalcatalog |
IAM アクセス・グループ・サービス | serviceName=iam-groups |
IAM Identity サービス | serviceName=iam-identity |
IBM Cloud Shell | serviceName=cloudshell |
ライセンスおよび資格 | serviceName=entitlement |
プロジェクト | serviceName=project |
役割管理 | serviceName=iam-access-management |
Security and Compliance Center | serviceName=security-compliance |
サポート | serviceName=support |
ユーザー管理 | serviceName=user-management |
CLI を使用したアクセス権限の割り当て
アクセス権限を割り当てるには、user-policy-create
コマンドを実行します。 詳しくは、『ibmcloud iam user-policy-create』を参照してください。 以下のコマンド例では、IAM Identity アカウント管理サービスのユーザー API
キー作成者役割を持つポリシーを割り当てます。
ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity
アカウント管理サービスごとに CLI コマンドで使用するサービス名については、表 1 を参照してください。 ただし、CLI 内のすべてのアカウント管理サービスのポリシーに対しては、--account-management
の代わりに --service-name SERVICE_NAME
を使用します。 複数の単語からなる役割の場合は、表示名を引用符で囲んで使用します。
次のコマンド例では、すべてのアカウント管理サービスに対して、管理者ロールを持つポリシーを割り当てます。
ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service
アカウント管理サービスのアクションおよび役割
以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。
すべてのアカウント管理サービス
アカウント管理のアクセス権限の広範なセットをユーザーに素早く付与するために、すべてのアカウント管理サービスでポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。
「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
- 課金
- カタログ管理
- コンテキスト・ベースの制約事項
- Enterprise
- グローバル・カタログ
- IBM Cloud シェル設定
- ライセンスおよび資格
- パートナー・センター
- パートナー・センター - 販売
- プロジェクト
- Security and Compliance Center
- ソフトウェア・インスタンス
- サポート
役割 | アクション |
---|---|
ビューアー | アカウント管理サービスに対するすべてのビューアー役割アクション |
オペレーター | アカウント管理サービスに対するすべてのオペレーター役割アクション |
エディター | アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力 |
管理者 | アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力 |
すべての IAM アカウント管理サービス
Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
役割 | アクション |
---|---|
ビューアー | IAM サービスのすべてのビューアー役割アクション |
オペレーター | IAM サービスのすべてのオペレーター役割アクション |
エディター | IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能 |
管理者 | IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能 |
ユーザー API キー作成者 | APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する |
サービス ID 作成者 | サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する |
テンプレート管理者 | アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
テンプレート割り当て管理者 | エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。
課金
請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示 サブスクリプション残高の表示と使用量の追跡 |
オペレーター | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示および変更 |
エディター | アカウント・フィーチャー設定の表示および更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションおよびフィーチャー・コードの表示および適用 アカウント名の表示および変更 消費量制限の表示および更新 消費量通知の設定 サブスクリプション・バランスの表示および使用量の追跡 |
管理者 | アカウント・フィーチャー設定の表示と更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションとフィーチャー・コードの表示 アカウント名の表示と変更 消費量制限の表示と更新 消費量通知の設定 サブスクリプション残高の表示と使用量の追跡 エンタープライズの作成 |
「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。
カタログ管理
プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | IBM Cloud カタログ
「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示 |
オペレーター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
エディター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
管理者 | IBM Cloud カタログのアカウント・レベルのフィルターを設定
プライベート・カタログの作成、更新、および削除 IBM 承認済み製品の公開 アクセス・ポリシーの割り当て |
パブリッシャー | IBM によって承認された製品のプライベート・カタログからの公開 |
コンテキスト・ベースの制約事項
ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。
コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。
役割 | アクション |
---|---|
ビューアー | ネットワーク・ゾーンの表示 |
エディター | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
管理者 | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
Enterprise
ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。
役割 | アクション |
---|---|
ビューアー | エンタープライズ、アカウント・グループ、およびアカウントの表示 |
オペレーター | 適用外 |
エディター | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート |
管理者 | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示 |
使用量レポート・ビューアー | エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示 |
グローバル・カタログ
カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | プライベート・サービスの表示 |
オペレーター | 適用外 |
エディター | オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない |
管理者 | オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる |
IAM アクセス・グループ
IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・グループとメンバーの表示 |
オペレーター | 適用外 |
エディター | グループの表示、作成、編集、および削除
グループへのユーザーの追加またはグループからのユーザーの削除 |
管理者 | グループの表示、作成、編集、および削除
ユーザーの追加または削除 グループへのアクセス権限の割り当て アクセス・グループで作業するためのアクセス権限の管理 アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化 |
IAM アクセス管理サービス
アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・ポリシーおよびカスタム役割の表示 |
オペレーター | アクセス・ポリシーおよびカスタム役割の表示 |
エディター | カスタム役割の表示および編集
IAM の洞察、ポリシー、および設定の表示 |
管理者 | カスタム役割の表示、作成、編集、および削除
IAM 設定の表示および更新 グループへのアクセス権限の割り当て アクセス・ポリシーの表示、作成、編集、および削除 |
役割管理
ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。
役割 | アクション |
---|---|
ビューアー | カスタム役割の表示 |
オペレーター | 適用外 |
エディター | アカウントのカスタム役割を編集および更新する |
管理者 | アカウントのカスタム役割を作成、編集、更新、および削除する |
IAM Identity サービス
IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。
役割 | アクション |
---|---|
ビューアー | ID の表示 |
オペレーター | ID および API キーの作成と削除
IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの削除 |
エディター | IDおよびAPIキーの作成と更新
表示と更新 IdPs サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新 信頼済みプロファイルの更新 |
管理者 | ID および API キーの作成、更新、および削除
ID へのアクセス・ポリシーの割り当て IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの作成 |
ユーザー API キー作成者 | API キーを制限するアカウント設定が有効な場合に API キーを作成できます。 |
サービス ID 作成者 | サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。 |
IBM Cloud Shell の設定
対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | 適用外 |
管理者 | IBM Cloud Shell 設定の表示および更新 |
クラウド・オペレーター | Cloud Shell リソースを管理する IBM Cloud 環境を作成します。 |
クラウド開発者 | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。 |
File Manager | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。 |
ライセンスおよび資格
アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。 |
管理者 | 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。 |
Platform Analytics
ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。
役割 | アクション |
---|---|
ビューアー | データとグラフの表示、検索、作成、更新、共有 |
管理者 | データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。 |
パートナー・センター
パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。 |
エディター | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
オペレーター | |
管理者 | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
パートナー・センター - 販売
ユーザーに製品へのアクセス権を与え、検証、公開することができます。
役割 | アクション |
---|---|
管理者 | 製品の作成、編集、検証、および公開 |
エディター | 製品の検証および編集 |
承認者 | ワークフロー・インスタンスのタスクを承認または拒否します |
プロジェクト
Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。
役割 | アクション | role_ID 値 |
---|---|---|
ビューアー | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 | crn:v1:bluemix:public:iam::::role:Viewer |
オペレーター | プロジェクト、構成、およびデプロイメントに関する詳細の表示
構成の検証 構成の編集 |
crn:v1:bluemix:public:iam::::role:Operator |
エディター | View details about projects, configurations, and deployments
Validate a configuration Edit a configuration Create a project Edit a project Delete a project Create a configuration Discard a draft configuration Deploy configuration changes Destroy resources |
crn:v1:bluemix:public:iam::::role:Editor |
管理者 | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
構成の検証 構成の編集 プロジェクトの作成 プロジェクトの編集 プロジェクトの削除 構成の作成 ドラフト構成の破棄 構成変更のデプロイ リソースの破棄 検証に失敗した変更の強制承認 |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 利用可能なプロファイルと添付ファイルの表示
スコープ、認証情報、ルールなどの作成済みリソースの表示 サービスのグローバル設定の表示 |
オペレーター | Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。
コンプライアンス・アクティビティーをモニターするための監査ログを作成します。 |
エディター | オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。
目標のパラメーター設定を更新します。 ルールおよびテンプレートを作成、更新、または削除します。 サービスのグローバル管理設定を編集します。 |
管理者 | この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。 |
マネージャー | サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。 |
リーダー | サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。 |
ライター | サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。 |
ソフトウェア・インスタンス
ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。
役割 | アクション |
---|---|
ビューアー | ソフトウェア・インスタンスの詳細ページを表示する |
オペレーター | ソフトウェア・インスタンスの更新
ソフトウェア・インスタンスの詳細ページの表示 |
エディター | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 |
管理者 | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 ソフトウェア・インスタンスのログの表示 IAM 権限の割り当て |
サポート
サポート Case を管理するアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 「ケースの表示」
「ケースの検索」 |
オペレーター | 適用外 |
エディター | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
管理者 | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。
ユーザー管理
アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
オペレーター | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
エディター | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
管理者 | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。
Activity Tracker Event Routing
プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
オペレーター | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
エディター | Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。 |
管理者 | Activity Tracker Event Routing リソース
を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。 |
Terraform を使用したアクセス権限の割り当て
Terraform を使用してアクセス権限を割り当てる前に、以下を完了していることを確認してください。
- Terraform CLI をインストールし、Terraform 用の IBM Cloud プロバイダー・プラグインを構成します。 詳しくは、 IBM Cloud® のチュートリアルを参照してください。 このプラグインは、以下のタスクを実行するために使用される IBM Cloud API を抽象化します。
main.tf
という名前の Terraform 構成ファイルを作成します。 このファイルでは、 HashiCorp 構成言語を使用してリソースを定義します。 詳細については 、Terraformのドキュメントを参照してください。
Terraform を使用してアクセス権限を割り当てるには、以下の手順を実行します。
-
main.tf
ファイルに引数を作成します。 次の例では、IAM アクセスグループのアカウント管理サービスにViewer
ロールを割り当てたポリシーを割り当てます。resource "ibm_iam_access_group" "accgrp" { name = "test" } resource "ibm_iam_access_group_policy" "policy" { access_group_id = ibm_iam_access_group.accgrp.id roles = ["Viewer"] }
access_group_id
オプションでアクセス・グループの ID を指定できます。 詳細については 、Terraform Identity and Access Management(IAM)ページの引数リファレンスの詳細を参照してください。 -
構成ファイルの作成が完了したら、Terraform CLI を初期化します。 詳しくは、 作業ディレクトリーの初期化を参照してください。
terraform init
-
main.tf
ファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。-
terraform plan
を実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。terraform plan
-
terraform apply
を実行して、計画に定義されているリソースを作成します。terraform apply
-
アカウント管理サービスのアクションおよび役割
以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。
すべてのアカウント管理サービス
アカウント管理のアクセス権限の広範なセットをユーザーに素早く付与するために、すべてのアカウント管理サービスでポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。
「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
- 課金
- カタログ管理
- コンテキスト・ベースの制約事項
- Enterprise
- グローバル・カタログ
- IBM Cloud シェル設定
- ライセンスおよび資格
- パートナー・センター
- パートナー・センター - 販売
- プロジェクト
- Security and Compliance Center
- ソフトウェア・インスタンス
- サポート
役割 | アクション |
---|---|
ビューアー | アカウント管理サービスに対するすべてのビューアー役割アクション |
オペレーター | アカウント管理サービスに対するすべてのオペレーター役割アクション |
エディター | アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力 |
管理者 | アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力 |
すべての IAM アカウント管理サービス
Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。
- IAM アクセス・グループ
- IAM Identity サービス
- IAM アクセス管理
- 役割管理
- ユーザー管理
役割 | アクション |
---|---|
ビューアー | IAM サービスのすべてのビューアー役割アクション |
オペレーター | IAM サービスのすべてのオペレーター役割アクション |
エディター | IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能 |
管理者 | IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能 |
ユーザー API キー作成者 | APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する |
サービス ID 作成者 | サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する |
テンプレート管理者 | アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
テンプレート割り当て管理者 | エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 |
「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。
課金
請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示 サブスクリプション残高の表示と使用量の追跡 |
オペレーター | アカウント機能設定の表示
アカウント内のサブスクリプションの表示 アカウント名の表示および変更 |
エディター | アカウント・フィーチャー設定の表示および更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションおよびフィーチャー・コードの表示および適用 アカウント名の表示および変更 消費量制限の表示および更新 消費量通知の設定 サブスクリプション・バランスの表示および使用量の追跡 |
管理者 | アカウント・フィーチャー設定の表示と更新
アカウント内のサブスクリプションの表示 アカウント内のオファーの表示 サブスクリプションとフィーチャー・コードの表示 アカウント名の表示と変更 消費量制限の表示と更新 消費量通知の設定 サブスクリプション残高の表示と使用量の追跡 エンタープライズの作成 |
「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。
カタログ管理
プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | IBM Cloud カタログ
「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示 |
オペレーター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
エディター | プライベート・カタログの作成
プライベート・カタログのフィルターの設定 ソフトウェアの追加と更新 アカウント・レベルのフィルターの表示 |
管理者 | IBM Cloud カタログのアカウント・レベルのフィルターを設定
プライベート・カタログの作成、更新、および削除 IBM 承認済み製品の公開 アクセス・ポリシーの割り当て |
パブリッシャー | IBM によって承認された製品のプライベート・カタログからの公開 |
コンテキスト・ベースの制約事項
ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。
コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。
役割 | アクション |
---|---|
ビューアー | ネットワーク・ゾーンの表示 |
エディター | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
管理者 | ネットワーク・ゾーンの表示
ネットワーク・ゾーンの作成 ネットワーク・ゾーンの更新 ネットワーク・ゾーンの削除 |
Enterprise
ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。
役割 | アクション |
---|---|
ビューアー | エンタープライズ、アカウント・グループ、およびアカウントの表示 |
オペレーター | 適用外 |
エディター | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート |
管理者 | エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示 |
使用量レポート・ビューアー | エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示 |
グローバル・カタログ
カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | プライベート・サービスの表示 |
オペレーター | 適用外 |
エディター | オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない |
管理者 | オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる |
IAM アクセス・グループ
IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・グループとメンバーの表示 |
オペレーター | 適用外 |
エディター | グループの表示、作成、編集、および削除
グループへのユーザーの追加またはグループからのユーザーの削除 |
管理者 | グループの表示、作成、編集、および削除
ユーザーの追加または削除 グループへのアクセス権限の割り当て アクセス・グループで作業するためのアクセス権限の管理 アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化 |
IAM アクセス管理サービス
アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アクセス・ポリシーおよびカスタム役割の表示 |
オペレーター | アクセス・ポリシーおよびカスタム役割の表示 |
エディター | カスタム役割の表示および編集
IAM の洞察、ポリシー、および設定の表示 |
管理者 | カスタム役割の表示、作成、編集、および削除
IAM 設定の表示および更新 グループへのアクセス権限の割り当て アクセス・ポリシーの表示、作成、編集、および削除 |
役割管理
ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。
役割 | アクション |
---|---|
ビューアー | カスタム役割の表示 |
オペレーター | 適用外 |
エディター | アカウントのカスタム役割を編集および更新する |
管理者 | アカウントのカスタム役割を作成、編集、更新、および削除する |
IAM Identity サービス
IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。
役割 | アクション |
---|---|
ビューアー | ID の表示 |
オペレーター | ID および API キーの作成と削除
IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの削除 |
エディター | IDおよびAPIキーの作成と更新
表示と更新 IdPs サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新 信頼済みプロファイルの更新 |
管理者 | ID および API キーの作成、更新、および削除
ID へのアクセス・ポリシーの割り当て IdP の表示、作成、更新、および削除 サービス ID およびユーザー API キー作成の IAM アカウント設定の更新 トラステッド・プロファイルの作成 |
ユーザー API キー作成者 | API キーを制限するアカウント設定が有効な場合に API キーを作成できます。 |
サービス ID 作成者 | サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。 |
IBM Cloud Shell の設定
対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | 適用外 |
管理者 | IBM Cloud Shell 設定の表示および更新 |
クラウド・オペレーター | Cloud Shell リソースを管理する IBM Cloud 環境を作成します。 |
クラウド開発者 | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。 |
File Manager | Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。 |
ライセンスおよび資格
アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。
役割 | アクション |
---|---|
ビューアー | 適用外 |
オペレーター | 適用外 |
エディター | エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。 |
管理者 | 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。 |
Platform Analytics
ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。
役割 | アクション |
---|---|
ビューアー | データとグラフの表示、検索、作成、更新、共有 |
管理者 | データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。 |
パートナー・センター
パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。 |
エディター | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
オペレーター | |
管理者 | パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 |
パートナー・センター - 販売
ユーザーに製品へのアクセス権を与え、検証、公開することができます。
役割 | アクション |
---|---|
管理者 | 製品の作成、編集、検証、および公開 |
エディター | 製品の検証および編集 |
承認者 | ワークフロー・インスタンスのタスクを承認または拒否します |
プロジェクト
Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 |
オペレーター | プロジェクト、構成、およびデプロイメントに関する詳細の表示
構成の検証 構成の編集 |
エディター | View details about projects, configurations, and deployments
Validate a configuration Edit a configuration Create a project Edit a project Delete a project Create a configuration Discard a draft configuration Deploy configuration changes Destroy resources |
管理者 | プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
構成の検証 構成の編集 プロジェクトの作成 プロジェクトの編集 プロジェクトの削除 構成の作成 ドラフト構成の破棄 構成変更のデプロイ リソースの破棄 検証に失敗した変更の強制承認 |
Security and Compliance Center
アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 利用可能なプロファイルと添付ファイルの表示
スコープ、認証情報、ルールなどの作成済みリソースの表示 サービスのグローバル設定の表示 |
オペレーター | Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。
コンプライアンス・アクティビティーをモニターするための監査ログを作成します。 |
エディター | オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。
目標のパラメーター設定を更新します。 ルールおよびテンプレートを作成、更新、または削除します。 サービスのグローバル管理設定を編集します。 |
管理者 | この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。 |
マネージャー | サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。 |
リーダー | サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。 |
ライター | サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。 |
ソフトウェア・インスタンス
ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。
役割 | アクション |
---|---|
ビューアー | ソフトウェア・インスタンスの詳細ページを表示する |
オペレーター | ソフトウェア・インスタンスの更新
ソフトウェア・インスタンスの詳細ページの表示 |
エディター | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 |
管理者 | ソフトウェア・インスタンスの作成、削除、更新
ソフトウェア・インスタンスの詳細ページの表示 ソフトウェア・インスタンスのログの表示 IAM 権限の割り当て |
サポート
サポート Case を管理するアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 「ケースの表示」
「ケースの検索」 |
オペレーター | 適用外 |
エディター | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
管理者 | 「ケースの表示」
「ケースの検索」 「ケースの更新」 「ケースの作成」 |
ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。
ユーザー管理
アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
オペレーター | アカウント内のユーザーの表示
ユーザー・プロファイル設定の表示 |
エディター | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
管理者 | アカウントからのユーザーの表示、招待、削除、および更新
ユーザー・プロファイル設定の表示および更新 |
ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。
Activity Tracker Event Routing
プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。
役割 | アクション |
---|---|
ビューアー | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
オペレーター | 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 |
エディター | Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。 |
管理者 | Activity Tracker Event Routing リソース
を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。 |