IBM Cloud Docs
アカウント管理サービスへのアクセス権限の割り当て

アカウント管理サービスへのアクセス権限の割り当て

アカウント所有者またはアカウント管理サービスの管理者は、アカウントへのユーザーの招待、請求および使用量の追跡、およびサポート Case の処理を実行するためのアクセス権限をユーザーに付与することができます。 アカウント管理アクセス・ポリシーを持つユーザーは、サービス ID、アクセス・ポリシー、カタログ・エントリー、アクセス・グループ、Security and Compliance Center サービスのリソースを管理したり、コンテキスト・ベースの制限を処理したりすることもできます。

コンソールでのアクセス権限の割り当て

1 つまたはすべてのアカウント管理サービスへのアクセス権限を割り当てるには、以下のステップを実行します。

  1. IBM Cloud® コンソールで 「管理」 > 「アクセス (IAM)」 をクリックして、「ユーザー」 を選択します。
  2. アクセス権を割り当てるユーザーをクリックし、 [アクセス] > [アクセス権の割り当て ] の順に選択します。
  3. サービスに対して、「すべてのアカウント管理サービス」を選択するか、特定のアカウント管理サービスを選択します。 そして、「次へ (Next)」 をクリックします。
  4. アクセス権限のスコープを 「すべてのリソース」 または 「特定のリソース」 に設定します。 そして、「次へ (Next)」 をクリックします。
  5. 役割または許可の任意の組み合わせを選択し、確認をクリックします。
  6. 追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
  7. 割り当て をクリックします。

ユーザー・アクセスとすべての IAM 対応アカウント・リソースの管理を行う目的で、別のユーザーにアカウントへの全アクセス権限を付与するには、2 つのポリシーを割り当てる必要があります。 最初のポリシーを作成するには、「管理者プラットフォームロール」と「マネージャーサービスロール」を持つ 「すべてのIDおよびアクセスが有効なサービス」 を選択します。 2つ目のポリシーを作成するには、管理者ロールが割り当てられたすべてのアカウント管理サービスを選択します。

アカウント管理サービスの管理者役割を持つユーザーは、他のユーザーのアクセス権限を変更したり、アカウントからユーザー (管理者役割を持つ他のユーザーを含む) を削除したりすることができます。

アカウント管理サービスのアクションおよび役割

以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。

すべてのアカウント管理サービス

ユーザーに幅広いアカウント管理アクセスを迅速に提供するには、すべてのアカウント管理サービスにポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。

「すべてのアカウント管理サービス」 のグループに対するアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
  • 課金
  • カタログ管理
  • コンテキスト・ベースの制約事項
  • Enterprise
  • グローバル・カタログ
  • IBM Cloud シェル設定
  • ライセンスおよび資格
  • パートナー・センター
  • パートナー・センター - 販売
  • プロジェクト
  • Security and Compliance Center
  • ソフトウェア・インスタンス
  • サポート
すべてのアカウント管理サービスに関するポリシーの役割とアクションの例
役割 アクション
ビューアー アカウント管理サービスに対するすべてのビューアー役割アクション
オペレーター アカウント管理サービスに対するすべてのオペレーター役割アクション
エディター アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力
管理者 アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力

すべての IAM アカウント管理サービス

Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 「すべての IAM アカウント管理サービス」 のグループに対するアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
すべてのIAMアカウント管理サービスに関するポリシーの役割とアクション例
役割 アクション
ビューアー IAM サービスのすべてのビューアー役割アクション
オペレーター IAM サービスのすべてのオペレーター役割アクション
エディター IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能
管理者 IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能
ユーザー API キー作成者 APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する
サービス ID 作成者 サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する
テンプレート管理者 アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。
テンプレート割り当て管理者 エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。

「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。

課金

請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。

課金サービスの役割とアクション例
役割 アクション
ビューアー アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示

サブスクリプション残高の表示と使用量の追跡
オペレーター アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示および変更
エディター アカウント・フィーチャー設定の表示および更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションおよびフィーチャー・コードの表示および適用

アカウント名の表示および変更

消費量制限の表示および更新

消費量通知の設定

サブスクリプション・バランスの表示および使用量の追跡
管理者 アカウント・フィーチャー設定の表示と更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションとフィーチャー・コードの表示

アカウント名の表示と変更

消費量制限の表示と更新

消費量通知の設定

サブスクリプション残高の表示と使用量の追跡

エンタープライズの作成

「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。

カタログ管理

プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。

カタログ管理サービスの役割と例となるアクション
役割 アクション
ビューアー IBM Cloud カタログ

「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示
オペレーター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
エディター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
管理者 IBM Cloud カタログのアカウント・レベルのフィルターを設定

プライベート・カタログの作成、更新、および削除

IBM 承認済み製品の公開

アクセス・ポリシーの割り当て
パブリッシャー IBM によって承認された製品のプライベート・カタログからの公開

コンテキスト・ベースの制限

ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。

コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。

コンテキスト・ベースの制限のサービスの役割とアクション例
役割 アクション
ビューアー ネットワーク・ゾーンの表示
エディター ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除
管理者 ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除

Enterprise

ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。

Enterpriseサービスの役割とアクション例
役割 アクション
ビューアー エンタープライズ、アカウント・グループ、およびアカウントの表示
オペレーター 適用外
エディター エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート
管理者 エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示
使用量レポート・ビューアー エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示

グローバル・カタログ

カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。

グローバルカタログサービスの役割と例となるアクション
役割 アクション
ビューアー プライベート・サービスの表示
オペレーター プライベート・サービスの表示
エディター オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない
管理者 オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる

IAM アクセス・グループ

IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。

IAM アクセスグループサービスの役割と例となるアクション
役割 アクション
ビューアー アクセス・グループとメンバーの表示
オペレーター 適用外
エディター グループの表示、作成、編集、および削除

グループへのユーザーの追加またはグループからのユーザーの削除
管理者 グループの閲覧、作成、編集、削除

他の管理者を含むユーザーの追加または削除

グループへのアクセス権の割り当て

アクセスグループでの作業のためのアクセス権の管理

アカウントレベルでのリソースへのパブリックアクセスの有効化または無効化

IAM アクセス管理サービス

アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。

IAMアクセス管理サービスの役割とアクション例
役割 アクション
ビューアー アクセス・ポリシーおよびカスタム役割の表示
オペレーター アクセス・ポリシーおよびカスタム役割の表示
エディター カスタム役割の表示および編集

IAM の洞察、ポリシー、および設定の表示
管理者 カスタム役割の表示、作成、編集、および削除

IAM 設定の表示および更新

グループへのアクセス権限の割り当て

アクセス・ポリシーの表示、作成、編集、および削除

役割管理

ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。 IAM アクセス管理サービスの子サービス。

役割管理サービスの役割とアクションの例
役割 アクション
ビューアー カスタム役割の表示
オペレーター 適用外
エディター アカウントのカスタム役割を編集および更新する
管理者 アカウントのカスタム役割を作成、編集、更新、および削除する

IAM Identity サービス

IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。

IAM アイデンティティサービスの役割と例となるアクション
役割 アクション
ビューアー ID の表示
オペレーター ID および API キーの作成と削除

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの削除
エディター IDおよびAPIキーの作成と更新

表示と更新 IdPs

サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新

信頼済みプロファイルの更新
管理者 ID および API キーの作成、更新、および削除

ID へのアクセス・ポリシーの割り当て

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの作成
ユーザー API キー作成者 API キーを制限するアカウント設定が有効な場合に API キーを作成できます。
サービス ID 作成者 サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。

IBM Cloud Shell の設定

対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。

IBM Cloud Shellサービスのロールとアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター 適用外
管理者 IBM Cloud Shell 設定の表示および更新
クラウド・オペレーター Cloud Shell リソースを管理する IBM Cloud 環境を作成します。
クラウド開発者 Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。
File Manager Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。

ライセンスおよび資格

アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。

ライセンスおよび使用権サービスの役割とアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。
管理者 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。

Platform Analytics

ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。

Platform Analyticsサービスの役割とアクション例
役割 アクション
ビューアー データとグラフの表示、検索、作成、更新、共有
管理者 データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。

パートナー・センター

パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。

パートナーセンターサービスの役割と例となるアクション
役割 アクション
ビューアー パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。
エディター パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。
オペレーター
管理者 パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。

パートナー・センター - 販売

ユーザーに製品へのアクセス権を与え、検証、公開することができます。

パートナーセンターの役割と例となるアクション - サービス販売
役割 アクション
管理者 製品の作成、編集、検証、および公開
エディター 製品の検証および編集
承認者 ワークフロー・インスタンスのタスクを承認または拒否します

プロジェクト

Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。

IBM Cloudのロールとアクション例プロジェクトサービス
役割 アクション
ビューアー プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
オペレーター プロジェクト、構成、およびデプロイメントに関する詳細の表示

構成の検証

構成の編集
エディター View details about projects, configurations, and deployments

Validate a configuration

Edit a configuration

Create a project

Edit a project

Delete a project

Create a configuration

Discard a draft configuration

Deploy configuration changes

Destroy resources
管理者 プロジェクト、構成、およびデプロイメントに関する詳細を表示します。

構成の検証

構成の編集

プロジェクトの作成

プロジェクトの編集

プロジェクトの削除

構成の作成

ドラフト構成の破棄

構成変更のデプロイ

リソースの破棄

検証に失敗した変更の強制承認

Security and Compliance Center

アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。

Security and Compliance Centerサービスの役割とアクション例
役割 アクション
ビューアー 利用可能なプロファイルと添付ファイルの表示

スコープ、認証情報、ルールなどの作成済みリソースの表示

サービスのグローバル設定の表示
オペレーター Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。

コンプライアンス・アクティビティーをモニターするための監査ログを作成します。
エディター オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。

目標のパラメーター設定を更新します。

ルールおよびテンプレートを作成、更新、または削除します。

サービスのグローバル管理設定を編集します。
管理者 この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。
マネージャー サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。
リーダー サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。
ライター サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。

ソフトウェア・インスタンス

ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。

ソフトウェア・インスタンス・サービスについての役割とアクション例
役割 アクション
ビューアー ソフトウェア・インスタンスの詳細ページを表示する
オペレーター ソフトウェア・インスタンスの更新

ソフトウェア・インスタンスの詳細ページの表示
エディター ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示
管理者 ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示

ソフトウェア・インスタンスのログの表示

IAM 権限の割り当て

サポート

サポート Case を管理するアクセス権限をユーザーに付与できます。

サポート・センター・サービスの役割とアクション例
役割 アクション
ビューアー 「ケースの表示」

「ケースの検索」
オペレーター 適用外
エディター 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」
管理者 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」

ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。

ユーザー管理

アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。

ユーザー管理サービスの役割とアクション例
役割 アクション
ビューアー アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
オペレーター アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
エディター アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新
管理者 アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新

ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。

Activity Tracker Event Routing

プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。

Activity Tracker Event Routingサービスの役割とアクション例
役割 アクション
ビューアー 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
オペレーター 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
エディター Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。
管理者 Activity Tracker Event Routing リソース

を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。

アカウント管理サービス名

CLI または API を使用してアクセス権限を割り当てる場合、アカウント管理サービスは以下の属性と値を使用します。

アカウント管理サービス名
アカウント管理サービス 属性と値
すべてのアカウント管理サービス serviceType=platform_service
すべての IAM アカウント管理サービス service_group_id=IAM
課金 serviceName=billing
カタログ管理 serviceName=globalcatalog-collection
コンテキスト・ベースの制約事項 serviceName=context-based-restrictions
Enterprise serviceName=enterprise
グローバル・カタログ serviceName=globalcatalog
IAM アクセス・グループ・サービス serviceName=iam-groups
IAM Identity サービス serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
ライセンスおよび資格 serviceName=entitlement
プロジェクト serviceName=project
役割管理 serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
サポート serviceName=support
ユーザー管理 serviceName=user-management

API を使用したアクセス権限の割り当て

以下の例は、アクセス・グループの IAM アカウント管理サービスに対する管理者役割を持つ、ポリシーを割り当てます。

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "iam-groups"
        }
      ]
    }
  ]
}'

SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceName")
        .value("iam-groups")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceNameResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);

const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
  name: 'serviceName',
  value: 'iam-groups',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });

policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_name_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))

subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceName"),
  Value:    core.StringPtr("iam-groups"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceNameResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

次の例では、 全アカウント管理サービスに管理者ロールを持つポリシーを割り当てます。

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceType",
          "value": "platform-service"
        }
      ]
    }
  ]
}'

SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceType")
        .value("platform-service")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceTypeResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);

const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
  name: 'serviceType',
  value: 'platform-service',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });

policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceType', value='platform-service')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_type_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))

subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceType"),
  Value:    core.StringPtr("platform-service"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceTypeResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

アカウント管理サービスのアクションおよび役割

以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。

すべてのアカウント管理サービス

ユーザーに幅広いアカウント管理アクセスを迅速に提供するには、すべてのアカウント管理サービスにポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。

「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
  • 課金
  • カタログ管理
  • コンテキスト・ベースの制約事項
  • Enterprise
  • グローバル・カタログ
  • IBM Cloud シェル設定
  • ライセンスおよび資格
  • パートナー・センター
  • パートナー・センター - 販売
  • プロジェクト
  • Security and Compliance Center
  • ソフトウェア・インスタンス
  • サポート
すべてのアカウント管理サービスに関するポリシーの役割とアクションの例
役割 アクション role_ID 値
ビューアー アカウント管理サービスに対するすべてのビューアー役割アクション crn:v1:bluemix:public:iam::::role:Viewer
オペレーター アカウント管理サービスに対するすべてのオペレーター役割アクション crn:v1:bluemix:public:iam::::role:Operator
エディター アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力 crn:v1:bluemix:public:iam::::role:Editor
管理者 アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力 crn:v1:bluemix:public:iam::::role:Administrator

すべての IAM アカウント管理サービス

Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
すべてのIAMアカウント管理サービスに関するポリシーの役割とアクション例
役割 アクション role_ID 値
ビューアー IAM サービスのすべてのビューアー役割アクション crn:v1:bluemix:public:iam::::role:Viewer
オペレーター IAM サービスのすべてのオペレーター役割アクション crn:v1:bluemix:public:iam::::role:Operator
エディター IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能 crn:v1:bluemix:public:iam::::role:Editor
管理者 IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能 crn:v1:bluemix:public:iam::::role:Administrator
ユーザー API キー作成者 APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
サービス ID 作成者 サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator
テンプレート管理者 アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 crn:v1:bluemix:public:iam::::role:TemplateAdministrator
テンプレート割り当て管理者 エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。 crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator

「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。

課金

請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。

課金サービスの役割とアクション例
役割 アクション role_ID 値
ビューアー アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示

サブスクリプション残高の表示と使用量の追跡

 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示および変更

 crn:v1:bluemix:public:iam::::role:Operator
エディター アカウント・フィーチャー設定の表示および更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションおよびフィーチャー・コードの表示および適用

アカウント名の表示および変更

消費量制限の表示および更新

消費量通知の設定

サブスクリプション・バランスの表示および使用量の追跡

 crn:v1:bluemix:public:iam::::role:Editor
管理者 アカウント・フィーチャー設定の表示と更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションとフィーチャー・コードの表示

アカウント名の表示と変更

消費量制限の表示と更新

消費量通知の設定

サブスクリプション残高の表示と使用量の追跡

エンタープライズの作成

 crn:v1:bluemix:public:iam::::role:Administrator

「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。

カタログ管理

プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。

カタログ管理サービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー IBM Cloud カタログ

「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示

 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示

 crn:v1:bluemix:public:iam::::role:Operator
エディター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示

 crn:v1:bluemix:public:iam::::role:Editor
管理者 IBM Cloud カタログのアカウント・レベルのフィルターを設定

プライベート・カタログの作成、更新、および削除

IBM 承認済み製品の公開

アクセス・ポリシーの割り当て

 crn:v1:bluemix:public:iam::::role:Administrator
パブリッシャー IBM によって承認された製品のプライベート・カタログからの公開 crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter

コンテキスト・ベースの制約事項

ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。

コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。

コンテキスト・ベースの制限のサービスの役割とアクション例
役割 アクション role_ID 値
ビューアー ネットワーク・ゾーンの表示 crn:v1:bluemix:public:iam::::role:Viewer
エディター ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除

 crn:v1:bluemix:public:iam::::role:Editor
管理者 ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除

 crn:v1:bluemix:public:iam::::role:Administrator

コンテキスト・ベースの制限およびネットワーク・ゾーンを表示、作成、更新、および削除するためのアクセス権限をユーザーに付与できます。

Enterprise

ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。

Enterpriseサービスの役割とアクション例
役割 アクション role_ID 値
ビューアー エンタープライズ、アカウント・グループ、およびアカウントの表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 適用外
エディター エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート crn:v1:bluemix:public:iam::::role:Editor
管理者 エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示 crn:v1:bluemix:public:iam::::role:Administrator
使用量レポート・ビューアー エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示 crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer

グローバル・カタログ

カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。

グローバルカタログサービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー プライベート・サービスの表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 適用外 crn:v1:bluemix:public:iam::::role:Operator
エディター オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない crn:v1:bluemix:public:iam::::role:Editor
管理者 オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる crn:v1:bluemix:public:iam::::role:Administrator

IAM アクセス・グループ

IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。

IAM アクセスグループサービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー アクセス・グループとメンバーの表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 適用外
エディター グループの表示、作成、編集、および削除

グループへのユーザーの追加またはグループからのユーザーの削除

 crn:v1:bluemix:public:iam::::role:Editor
管理者 グループの表示、作成、編集、および削除

ユーザーの追加または削除

グループへのアクセス権限の割り当て

アクセス・グループで作業するためのアクセス権限の管理

アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化

 crn:v1:bluemix:public:iam::::role:Administrator

IAM アクセス管理サービス

アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。

IAMアクセス管理サービスの役割とアクション例
役割 アクション role_ID 値
ビューアー アクセス・ポリシーおよびカスタム役割の表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター アクセス・ポリシーおよびカスタム役割の表示 crn:v1:bluemix:public:iam::::role:Operator
エディター カスタム役割の表示および編集

IAM の洞察、ポリシー、および設定の表示

 crn:v1:bluemix:public:iam::::role:Editor
管理者 カスタム役割の表示、作成、編集、および削除

IAM 設定の表示および更新

グループへのアクセス権限の割り当て

アクセス・ポリシーの表示、作成、編集、および削除

 crn:v1:bluemix:public:iam::::role:Administrator

役割管理

ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。

アクセス管理サービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー カスタム役割の表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 適用外
エディター アカウントのカスタム役割を編集および更新する crn:v1:bluemix:public:iam::::role:Editor
管理者 アカウントのカスタム役割を作成、編集、更新、および削除する crn:v1:bluemix:public:iam::::role:Administrator

IAM Identity サービス

IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。

IAM アイデンティティサービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー ID の表示 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター ID および API キーの作成と削除

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの削除

 crn:v1:bluemix:public:iam::::role:Operator
エディター IDおよびAPIキーの作成と更新

表示と更新 IdPs

サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新

信頼済みプロファイルの更新

 crn:v1:bluemix:public:iam::::role:Editor
管理者 ID および API キーの作成、更新、および削除

ID へのアクセス・ポリシーの割り当て

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの作成

 crn:v1:bluemix:public:iam::::role:Administrator
ユーザー API キー作成者 API キーを制限するアカウント設定が有効な場合に API キーを作成できます。 crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
サービス ID 作成者 サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。 crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator

IBM Cloud Shell の設定

対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。

IBM Cloud Shellサービスのロールとアクション例
役割 アクション role_ID 値
ビューアー 適用外
オペレーター 適用外
エディター 適用外
管理者 IBM Cloud Shell 設定の表示および更新 crn:v1:bluemix:public:iam::::role:Administrator
クラウド・オペレーター Cloud Shell リソースを管理する IBM Cloud 環境を作成します。 crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator
クラウド開発者 Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。 crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper
File Manager Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。 crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager

ライセンスおよび資格

アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。

ライセンスおよび使用権サービスの役割とアクション例
役割 アクション role_ID 値
ビューアー 適用外
オペレーター 適用外
エディター エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。 crn:v1:bluemix:public:iam::::role:Editor
管理者 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。 crn:v1:bluemix:public:iam::::role:Administrator

Platform Analytics

ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。

Platform Analyticsサービスの役割とアクション例
役割 アクション role_ID 値
ビューアー データとグラフの表示、検索、作成、更新、共有 crn:v1:bluemix:public:iam::::role:Viewer
管理者 データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。 crn:v1:bluemix:public:iam::::role:Administrator

パートナー・センター

パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。

パートナーセンターサービスの役割と例となるアクション
役割 アクション role_ID 値
ビューアー パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。 crn:v1:bluemix:public:iam::::role:Viewer
エディター パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 crn:v1:bluemix:public:iam::::role:Editor
オペレーター
管理者 パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。 crn:v1:bluemix:public:iam::::role:Administrator

パートナー・センター - 販売

ユーザーに製品へのアクセス権を与え、検証、公開することができます。

パートナーセンターの役割と例となるアクション - サービス販売
役割 アクション role_ID 値
管理者 製品の作成、編集、検証、および公開
エディター 製品の検証および編集 crn:v1:bluemix:public:iam::::role:Editor
承認者 ワークフロー・インスタンスのタスクを承認または拒否します crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover

プロジェクト

Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。

IBM Cloudのロールとアクション例プロジェクトサービス
役割 アクション role_ID 値
ビューアー プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター プロジェクト、構成、およびデプロイメントに関する詳細の表示

構成の検証

構成の編集

 crn:v1:bluemix:public:iam::::role:Operator
エディター View details about projects, configurations, and deployments

Validate a configuration

Edit a configuration

Create a project

Edit a project

Delete a project

Create a configuration

Discard a draft configuration

Deploy configuration changes

Destroy resources

 crn:v1:bluemix:public:iam::::role:Editor
管理者 プロジェクト、構成、およびデプロイメントに関する詳細を表示します。

構成の検証

構成の編集

プロジェクトの作成

プロジェクトの編集

プロジェクトの削除

構成の作成

ドラフト構成の破棄

構成変更のデプロイ

リソースの破棄

検証に失敗した変更の強制承認

 crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。

Security and Compliance Centerサービスの役割とアクション例
役割 アクション role_ID 値
ビューアー 利用可能なプロファイルと添付ファイルの表示

スコープ、認証情報、ルールなどの作成済みリソースの表示

サービスのグローバル設定の表示

 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。

コンプライアンス・アクティビティーをモニターするための監査ログを作成します。

 crn:v1:bluemix:public:iam::::role:Operator
エディター オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。

目標のパラメーター設定を更新します。

ルールおよびテンプレートを作成、更新、または削除します。

サービスのグローバル管理設定を編集します。

 crn:v1:bluemix:public:iam::::role:Editor
管理者 この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。 crn:v1:bluemix:public:iam::::role:Administrator
マネージャー サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。 crn:v1:bluemix:public:iam::::serviceRole:Manager
リーダー サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。 crn:v1:bluemix:public:iam::::serviceRole:Reader
ライター サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。 crn:v1:bluemix:public:iam::::serviceRole:Writer

ソフトウェア・インスタンス

ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。

ソフトウェア・インスタンス・サービスについての役割とアクション例
役割 アクション role_ID 値
ビューアー ソフトウェア・インスタンスの詳細ページを表示する crn:v1:bluemix:public:iam::::role:Viewer
オペレーター ソフトウェア・インスタンスの更新

ソフトウェア・インスタンスの詳細ページの表示

 crn:v1:bluemix:public:iam::::role:Operator
エディター ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示

 crn:v1:bluemix:public:iam::::role:Editor
管理者 ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示

ソフトウェア・インスタンスのログの表示

IAM 権限の割り当て

 crn:v1:bluemix:public:iam::::role:Administrator

サポート

サポート Case を管理するアクセス権限をユーザーに付与できます。

サポート・センター・サービスの役割とアクション例
役割 アクション role_ID 値
ビューアー 「ケースの表示」

「ケースの検索」

 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 適用外 crn:v1:bluemix:public:iam::::role:Operator
エディター 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」

 crn:v1:bluemix:public:iam::::role:Editor
管理者 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」

 crn:v1:bluemix:public:iam::::role:Administrator

ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。

ユーザー管理

アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。

ユーザー管理サービスの役割とアクション例
役割 アクション role_ID 値
ビューアー アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示

 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示

 crn:v1:bluemix:public:iam::::role:Operator
エディター アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新

 crn:v1:bluemix:public:iam::::role:Editor
管理者 アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新

 crn:v1:bluemix:public:iam::::role:Administrator

ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。

Activity Tracker Event Routing

プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。

Activity Tracker Event Routingサービスの役割とアクション例
役割 アクション role_ID 値
ビューアー 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。 crn:v1:bluemix:public:iam::::role:Operator
エディター Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。 crn:v1:bluemix:public:iam::::role:Editor
管理者 Activity Tracker Event Routing リソース

を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。

 crn:v1:bluemix:public:iam::::role:Administrator

アカウント管理サービス名

CLI または API を使用してアクセス権限を割り当てる場合、アカウント管理サービスは以下の属性と値を使用します。

アカウント管理サービス名
アカウント管理サービス 属性と値
すべてのアカウント管理サービス serviceType=platform_service
すべての IAM アカウント管理サービス service_group_id=IAM
課金 serviceName=billing
カタログ管理 serviceName=globalcatalog-collection
コンテキスト・ベースの制約事項 serviceName=context-based-restrictions
Enterprise serviceName=enterprise
グローバル・カタログ serviceName=globalcatalog
IAM アクセス・グループ・サービス serviceName=iam-groups
IAM Identity サービス serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
ライセンスおよび資格 serviceName=entitlement
プロジェクト serviceName=project
役割管理 serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
サポート serviceName=support
ユーザー管理 serviceName=user-management

CLI を使用したアクセス権限の割り当て

アクセス権限を割り当てるには、user-policy-create コマンドを実行します。 詳しくは、『ibmcloud iam user-policy-create』を参照してください。 以下のコマンド例では、IAM Identity アカウント管理サービスのユーザー API キー作成者役割を持つポリシーを割り当てます。

ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity

アカウント管理サービスごとに CLI コマンドで使用するサービス名については、表 1 を参照してください。 ただし、CLI 内のすべてのアカウント管理サービスのポリシーに対しては、--account-management の代わりに --service-name SERVICE_NAME を使用します。 複数の単語からなる役割の場合は、表示名を引用符で囲んで使用します。

次のコマンド例では、すべてのアカウント管理サービスに対して、管理者ロールを持つポリシーを割り当てます。

ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service

アカウント管理サービスのアクションおよび役割

以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。

すべてのアカウント管理サービス

アカウント管理のアクセス権限の広範なセットをユーザーに素早く付与するために、すべてのアカウント管理サービスでポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。

「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
  • 課金
  • カタログ管理
  • コンテキスト・ベースの制約事項
  • Enterprise
  • グローバル・カタログ
  • IBM Cloud シェル設定
  • ライセンスおよび資格
  • パートナー・センター
  • パートナー・センター - 販売
  • プロジェクト
  • Security and Compliance Center
  • ソフトウェア・インスタンス
  • サポート
すべてのアカウント管理サービスに関するポリシーの役割とアクションの例
役割 アクション
ビューアー アカウント管理サービスに対するすべてのビューアー役割アクション
オペレーター アカウント管理サービスに対するすべてのオペレーター役割アクション
エディター アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力
管理者 アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力

すべての IAM アカウント管理サービス

Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
すべてのIAMアカウント管理サービスに関するポリシーの役割とアクション例
役割 アクション
ビューアー IAM サービスのすべてのビューアー役割アクション
オペレーター IAM サービスのすべてのオペレーター役割アクション
エディター IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能
管理者 IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能
ユーザー API キー作成者 APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する
サービス ID 作成者 サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する
テンプレート管理者 アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。
テンプレート割り当て管理者 エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。

「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。

課金

請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。

課金サービスの役割とアクション例
役割 アクション
ビューアー アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示

サブスクリプション残高の表示と使用量の追跡
オペレーター アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示および変更
エディター アカウント・フィーチャー設定の表示および更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションおよびフィーチャー・コードの表示および適用

アカウント名の表示および変更

消費量制限の表示および更新

消費量通知の設定

サブスクリプション・バランスの表示および使用量の追跡
管理者 アカウント・フィーチャー設定の表示と更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションとフィーチャー・コードの表示

アカウント名の表示と変更

消費量制限の表示と更新

消費量通知の設定

サブスクリプション残高の表示と使用量の追跡

エンタープライズの作成

「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。

カタログ管理

プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。

カタログ管理サービスの役割と例となるアクション
役割 アクション
ビューアー IBM Cloud カタログ

「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示
オペレーター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
エディター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
管理者 IBM Cloud カタログのアカウント・レベルのフィルターを設定

プライベート・カタログの作成、更新、および削除

IBM 承認済み製品の公開

アクセス・ポリシーの割り当て
パブリッシャー IBM によって承認された製品のプライベート・カタログからの公開

コンテキスト・ベースの制約事項

ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。

コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。

コンテキスト・ベースの制限のサービスの役割とアクション例
役割 アクション
ビューアー ネットワーク・ゾーンの表示
エディター ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除
管理者 ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除

Enterprise

ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。

Enterpriseサービスの役割とアクション例
役割 アクション
ビューアー エンタープライズ、アカウント・グループ、およびアカウントの表示
オペレーター 適用外
エディター エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート
管理者 エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示
使用量レポート・ビューアー エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示

グローバル・カタログ

カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。

グローバルカタログサービスの役割と例となるアクション
役割 アクション
ビューアー プライベート・サービスの表示
オペレーター 適用外
エディター オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない
管理者 オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる

IAM アクセス・グループ

IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。

IAM アクセスグループサービスの役割と例となるアクション
役割 アクション
ビューアー アクセス・グループとメンバーの表示
オペレーター 適用外
エディター グループの表示、作成、編集、および削除

グループへのユーザーの追加またはグループからのユーザーの削除
管理者 グループの表示、作成、編集、および削除

ユーザーの追加または削除

グループへのアクセス権限の割り当て

アクセス・グループで作業するためのアクセス権限の管理

アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化

IAM アクセス管理サービス

アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。

IAMアクセス管理サービスの役割とアクション例
役割 アクション
ビューアー アクセス・ポリシーおよびカスタム役割の表示
オペレーター アクセス・ポリシーおよびカスタム役割の表示
エディター カスタム役割の表示および編集

IAM の洞察、ポリシー、および設定の表示
管理者 カスタム役割の表示、作成、編集、および削除

IAM 設定の表示および更新

グループへのアクセス権限の割り当て

アクセス・ポリシーの表示、作成、編集、および削除

役割管理

ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。

アクセス管理サービスの役割と例となるアクション
役割 アクション
ビューアー カスタム役割の表示
オペレーター 適用外
エディター アカウントのカスタム役割を編集および更新する
管理者 アカウントのカスタム役割を作成、編集、更新、および削除する

IAM Identity サービス

IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。

IAM アイデンティティサービスの役割と例となるアクション
役割 アクション
ビューアー ID の表示
オペレーター ID および API キーの作成と削除

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの削除
エディター IDおよびAPIキーの作成と更新

表示と更新 IdPs

サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新

信頼済みプロファイルの更新
管理者 ID および API キーの作成、更新、および削除

ID へのアクセス・ポリシーの割り当て

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの作成
ユーザー API キー作成者 API キーを制限するアカウント設定が有効な場合に API キーを作成できます。
サービス ID 作成者 サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。

IBM Cloud Shell の設定

対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。

IBM Cloud Shellサービスのロールとアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター 適用外
管理者 IBM Cloud Shell 設定の表示および更新
クラウド・オペレーター Cloud Shell リソースを管理する IBM Cloud 環境を作成します。
クラウド開発者 Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。
File Manager Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。

ライセンスおよび資格

アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。

ライセンスおよび使用権サービスの役割とアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。
管理者 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。

Platform Analytics

ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。

Platform Analyticsサービスの役割とアクション例
役割 アクション
ビューアー データとグラフの表示、検索、作成、更新、共有
管理者 データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。

パートナー・センター

パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。

パートナーセンターサービスの役割と例となるアクション
役割 アクション
ビューアー パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。
エディター パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。
オペレーター
管理者 パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。

パートナー・センター - 販売

ユーザーに製品へのアクセス権を与え、検証、公開することができます。

パートナーセンターの役割と例となるアクション - サービス販売
役割 アクション
管理者 製品の作成、編集、検証、および公開
エディター 製品の検証および編集
承認者 ワークフロー・インスタンスのタスクを承認または拒否します

プロジェクト

Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。

IBM Cloudのロールとアクション例プロジェクトサービス
役割 アクション role_ID 値
ビューアー プロジェクト、構成、およびデプロイメントに関する詳細を表示します。 crn:v1:bluemix:public:iam::::role:Viewer
オペレーター プロジェクト、構成、およびデプロイメントに関する詳細の表示

構成の検証

構成の編集

 crn:v1:bluemix:public:iam::::role:Operator
エディター View details about projects, configurations, and deployments

Validate a configuration

Edit a configuration

Create a project

Edit a project

Delete a project

Create a configuration

Discard a draft configuration

Deploy configuration changes

Destroy resources

 crn:v1:bluemix:public:iam::::role:Editor
管理者 プロジェクト、構成、およびデプロイメントに関する詳細を表示します。

構成の検証

構成の編集

プロジェクトの作成

プロジェクトの編集

プロジェクトの削除

構成の作成

ドラフト構成の破棄

構成変更のデプロイ

リソースの破棄

検証に失敗した変更の強制承認

 crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。

Security and Compliance Centerサービスの役割とアクション例
役割 アクション
ビューアー 利用可能なプロファイルと添付ファイルの表示

スコープ、認証情報、ルールなどの作成済みリソースの表示

サービスのグローバル設定の表示
オペレーター Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。

コンプライアンス・アクティビティーをモニターするための監査ログを作成します。
エディター オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。

目標のパラメーター設定を更新します。

ルールおよびテンプレートを作成、更新、または削除します。

サービスのグローバル管理設定を編集します。
管理者 この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。
マネージャー サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。
リーダー サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。
ライター サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。

ソフトウェア・インスタンス

ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。

ソフトウェア・インスタンス・サービスについての役割とアクション例
役割 アクション
ビューアー ソフトウェア・インスタンスの詳細ページを表示する
オペレーター ソフトウェア・インスタンスの更新

ソフトウェア・インスタンスの詳細ページの表示
エディター ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示
管理者 ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示

ソフトウェア・インスタンスのログの表示

IAM 権限の割り当て

サポート

サポート Case を管理するアクセス権限をユーザーに付与できます。

サポート・センター・サービスの役割とアクション例
役割 アクション
ビューアー 「ケースの表示」

「ケースの検索」
オペレーター 適用外
エディター 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」
管理者 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」

ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。

ユーザー管理

アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。

ユーザー管理サービスの役割とアクション例
役割 アクション
ビューアー アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
オペレーター アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
エディター アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新
管理者 アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新

ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。

Activity Tracker Event Routing

プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。

Activity Tracker Event Routingサービスの役割とアクション例
役割 アクション
ビューアー 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
オペレーター 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
エディター Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。
管理者 Activity Tracker Event Routing リソース

を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。

Terraform を使用したアクセス権限の割り当て

Terraform を使用してアクセス権限を割り当てる前に、以下を完了していることを確認してください。

  • Terraform CLI をインストールし、Terraform 用の IBM Cloud プロバイダー・プラグインを構成します。 詳しくは、 IBM Cloud® のチュートリアルを参照してください。 このプラグインは、以下のタスクを実行するために使用される IBM Cloud API を抽象化します。
  • main.tfという名前の Terraform 構成ファイルを作成します。 このファイルでは、 HashiCorp 構成言語を使用してリソースを定義します。 詳細については 、Terraformのドキュメントを参照してください。

Terraform を使用してアクセス権限を割り当てるには、以下の手順を実行します。

  1. main.tf ファイルに引数を作成します。 次の例では、IAM アクセスグループのアカウント管理サービスに Viewer ロールを割り当てたポリシーを割り当てます。

    resource "ibm_iam_access_group" "accgrp" {
 name = "test"
}

resource "ibm_iam_access_group_policy" "policy" {
 access_group_id = ibm_iam_access_group.accgrp.id
 roles           = ["Viewer"]
}

    access_group_id オプションでアクセス・グループの ID を指定できます。 詳細については 、Terraform Identity and Access Management(IAM)ページの引数リファレンスの詳細を参照してください。

  2. 構成ファイルの作成が完了したら、Terraform CLI を初期化します。 詳しくは、 作業ディレクトリーの初期化を参照してください。

    terraform init

  3. main.tf ファイルからリソースをプロビジョンします。 詳しくは、 Terraform を使用したインフラストラクチャーのプロビジョニングを参照してください。

    1. terraform plan を実行して、提案されたアクションをプレビューするための Terraform 実行プランを生成します。

      terraform plan

    2. terraform apply を実行して、計画に定義されているリソースを作成します。

      terraform apply

アカウント管理サービスのアクションおよび役割

以下の表に、各アカウント管理サービスの特定の役割を割り当てられたときにユーザーが実行できるアクションの概要を示します。 この情報を確認して、ユーザーを正しいアクセス・レベルに割り当てるようにしてください。

すべてのアカウント管理サービス

アカウント管理のアクセス権限の広範なセットをユーザーに素早く付与するために、すべてのアカウント管理サービスでポリシーを割り当てることができます。 「すべてのアカウント管理サービス」 に対する役割が割り当てられているユーザーは、個々のサービスに対して、その役割に関連付けられているすべてのアクションを実行できます。

「すべてのアカウント管理サービス」 のグループには、以下のサービスが含まれます。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
  • 課金
  • カタログ管理
  • コンテキスト・ベースの制約事項
  • Enterprise
  • グローバル・カタログ
  • IBM Cloud シェル設定
  • ライセンスおよび資格
  • パートナー・センター
  • パートナー・センター - 販売
  • プロジェクト
  • Security and Compliance Center
  • ソフトウェア・インスタンス
  • サポート
アカウント管理サービスに関するポリシーの役割とアクションの例
役割 アクション
ビューアー アカウント管理サービスに対するすべてのビューアー役割アクション
オペレーター アカウント管理サービスに対するすべてのオペレーター役割アクション
エディター アカウント管理サービスに対するすべてのエディター役割アクションおよびリソース・グループ作成能力
管理者 アカウント管理サービスに対するすべての管理者役割アクションおよびリソース・グループ作成能力

すべての IAM アカウント管理サービス

Identity and Access Management (IAM) サービスは、すべてのアカウント管理サービスのサブセットを構成します。 すべての IAM アカウント管理サービスへのアクセス権限をユーザーに付与して、ユーザーが以下のサービスを操作できるようにします。

  • IAM アクセス・グループ
  • IAM Identity サービス
  • IAM アクセス管理
    • 役割管理
  • ユーザー管理
すべてのIAMアカウント管理サービスに関するポリシーの役割とアクション例
役割 アクション
ビューアー IAM サービスのすべてのビューアー役割アクション
オペレーター IAM サービスのすべてのオペレーター役割アクション
エディター IAMサービスに関するすべてのエディタロールのアクションとリソースグループを作成する機能
管理者 IAMサービスに関するすべての管理者ロールの操作と、リソースグループを作成する機能
ユーザー API キー作成者 APIキーの作成を制限するアカウント設定が有効になっている場合、APIキーを作成する
サービス ID 作成者 サービスID作成を制限するアカウント設定が有効になっている場合、サービスIDを作成する
テンプレート管理者 アクセス グループ、信頼できるプロファイル、アカウント設定、ポリシー用のエンタープライズ IAM テンプレートを作成します。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。
テンプレート割り当て管理者 エンタープライズ IAM テンプレートを子アカウントに割り当てます。 このロールは、ルート エンタープライズ アカウントでのみ使用できます。

「すべての IAM アカウント管理サービス」 のポリシーに割り当てる一部の役割は、特定のリソースにのみ影響します。 例えば、役割「サービス ID 作成者」は、IAM Identity サービスにのみ関連します。

課金

請求サービスを使用して、アカウント設定の更新、サブスクリプションの表示、オファーの表示、サブスクリプション・コードとフィーチャー・コードの適用、消費限度の更新、および使用量の追跡を行うアクセス権限をユーザーに付与できます。

課金サービスの役割とアクション例
役割 アクション
ビューアー アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示

サブスクリプション残高の表示と使用量の追跡
オペレーター アカウント機能設定の表示

アカウント内のサブスクリプションの表示

アカウント名の表示および変更
エディター アカウント・フィーチャー設定の表示および更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションおよびフィーチャー・コードの表示および適用

アカウント名の表示および変更

消費量制限の表示および更新

消費量通知の設定

サブスクリプション・バランスの表示および使用量の追跡
管理者 アカウント・フィーチャー設定の表示と更新

アカウント内のサブスクリプションの表示

アカウント内のオファーの表示

サブスクリプションとフィーチャー・コードの表示

アカウント名の表示と変更

消費量制限の表示と更新

消費量通知の設定

サブスクリプション残高の表示と使用量の追跡

エンタープライズの作成

「アカウント設定」ページからサブスクリプションの残高や使用法を表示できますが、ビューアー役割やオペレーター役割では「アカウント」設定ページを表示できません。 「アカウント設定」ページにアクセスして、そのページにあるサブスクリプション情報を表示するには、エディター以上の役割が必要です。

カタログ管理

プライベート・カタログやカタログ・フィルターを表示したり、プライベート・カタログを作成したり、ソフトウェアをプライベート・カタログに追加しり、カタログ・フィルターを設定したりするためのアクセス権限をユーザーに付与できます。

カタログ管理サービスの役割と例となるアクション
役割 アクション
ビューアー IBM Cloud カタログ

「プライベート・カタログの表示」に設定されたアカウント・レベルのフィルターの表示
オペレーター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
エディター プライベート・カタログの作成

プライベート・カタログのフィルターの設定

ソフトウェアの追加と更新

アカウント・レベルのフィルターの表示
管理者 IBM Cloud カタログのアカウント・レベルのフィルターを設定

プライベート・カタログの作成、更新、および削除

IBM 承認済み製品の公開

アクセス・ポリシーの割り当て
パブリッシャー IBM によって承認された製品のプライベート・カタログからの公開

コンテキスト・ベースの制約事項

ネットワーク・ゾーンを表示、作成、更新、削除するためのアクセス権限をユーザーに付与できます。 サービスのコンテキスト・ベースの制限ルールを作成するには、ルールを作成するサービスの管理者役割を持つ IAM ポリシーが割り当てられている必要があります。 例えば、 Key Protect インスタンスを保護するルールを作成する場合は、 Key Protect サービスに対する管理者役割と、 コンテキスト・ベースの制限 サービスに対するビューアー以上の役割が割り当てられている必要があります。

コンテキスト・ベースの制限サービスに対するビューアー役割を使用すると、ルールにネットワーク・ゾーンを追加できます。

コンテキスト・ベースの制限のサービスの役割とアクション例
役割 アクション
ビューアー ネットワーク・ゾーンの表示
エディター ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除
管理者 ネットワーク・ゾーンの表示

ネットワーク・ゾーンの作成

ネットワーク・ゾーンの更新

ネットワーク・ゾーンの削除

Enterprise

ユーザーがエンタープライズ内でのアカウントの作成、アカウント・グループへのアカウントの割り当て、アカウント・グループの命名などを行うことによってエンタープライズを管理できるように、エンタープライズ・サービスを使用してユーザーにアクセス権限を割り当てることができます。 このタイプのポリシーは、エンタープライズ・アカウント内で割り当てられる場合にのみ機能します。

Enterpriseサービスの役割とアクション例
役割 アクション
ビューアー エンタープライズ、アカウント・グループ、およびアカウントの表示
オペレーター 適用外
エディター エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、使用量レポートの表示、およびアカウントのインポート
管理者 エンタープライズ名およびドメインの表示および更新、アカウントおよびアカウント・グループの作成、アカウント・グループ間でのアカウントの移動、既存アカウントのインポート、および使用量レポートの表示
使用量レポート・ビューアー エンタープライズ、アカウント、およびアカウント・グループの表示、エンタープライズ内のすべてのアカウントの使用量レポートの表示

グローバル・カタログ

カタログ内のプライベート製品を表示したり、アカウント内の他のユーザーに対するプライベート製品の可視性を変更したりするためのアクセス権限を、ユーザーに付与できます。

グローバルカタログサービスの役割と例となるアクション
役割 アクション
ビューアー プライベート・サービスの表示
オペレーター 適用外
エディター オブジェクト・メタデータを変更できるが、プライベート・サービスの可視性を変更できない
管理者 オブジェクト・メタデータを変更することもプライベート・サービスの可視性を変更することもでき、パブリック・サービスの可視性を制限できる

IAM アクセス・グループ

IAM アクセス・グループ・サービスを使用して、アカウント内のアクセス・グループを表示、作成、編集、削除するためのアクセス権限をユーザーに付与できます。

IAM アクセスグループサービスの役割と例となるアクション
役割 アクション
ビューアー アクセス・グループとメンバーの表示
オペレーター 適用外
エディター グループの表示、作成、編集、および削除

グループへのユーザーの追加またはグループからのユーザーの削除
管理者 グループの表示、作成、編集、および削除

ユーザーの追加または削除

グループへのアクセス権限の割り当て

アクセス・グループで作業するためのアクセス権限の管理

アカウント・レベルでのリソースへのパブリック・アクセスの有効化または無効化

IAM アクセス管理サービス

アクセス・ポリシーおよびカスタム役割を管理するためのアクセス権限をユーザーに付与できます。

IAMアクセス管理サービスの役割とアクション例
役割 アクション
ビューアー アクセス・ポリシーおよびカスタム役割の表示
オペレーター アクセス・ポリシーおよびカスタム役割の表示
エディター カスタム役割の表示および編集

IAM の洞察、ポリシー、および設定の表示
管理者 カスタム役割の表示、作成、編集、および削除

IAM 設定の表示および更新

グループへのアクセス権限の割り当て

アクセス・ポリシーの表示、作成、編集、および削除

役割管理

ユーザーに対して、アカウントのサービスのカスタム役割を作成、更新、および削除する権限を付与できます。

アクセス管理サービスの役割と例となるアクション
役割 アクション
ビューアー カスタム役割の表示
オペレーター 適用外
エディター アカウントのカスタム役割を編集および更新する
管理者 アカウントのカスタム役割を作成、編集、更新、および削除する

IAM Identity サービス

IAM Identity サービスを使用して、サービス ID および ID プロバイダー (IdP) を管理するアクセス権限をユーザーに付与できます。 これらのアクションは、ユーザーが作成しなかった、アカウント内のサービス ID および IdP に適用されます。 すべてのユーザーがサービス ID を作成できます。 ID を作成したユーザーはそれらの ID の管理者であり、関連付けられた API キーおよびアクセス・ポリシーを作成することができますが、IdP を作成できるのはオペレーター役割および管理者役割を持つユーザーのみです。 このアカウント管理サービスは、他のユーザーによって作成されたアカウント内のサービス ID の表示、更新、削除、およびサービス ID へのアクセス権限の割り当てを行う権限に適用されます。

IAM アイデンティティサービスの役割と例となるアクション
役割 アクション
ビューアー ID の表示
オペレーター ID および API キーの作成と削除

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの削除
エディター IDおよびAPIキーの作成と更新

表示と更新 IdPs

サービスIDとユーザーAPIキー作成のためのIAMアカウント設定の更新

信頼済みプロファイルの更新
管理者 ID および API キーの作成、更新、および削除

ID へのアクセス・ポリシーの割り当て

IdP の表示、作成、更新、および削除

サービス ID およびユーザー API キー作成の IAM アカウント設定の更新

トラステッド・プロファイルの作成
ユーザー API キー作成者 API キーを制限するアカウント設定が有効な場合に API キーを作成できます。
サービス ID 作成者 サービス ID 作成を制限するアカウント設定が有効な場合にサービス ID を作成できます。

IBM Cloud Shell の設定

対象アカウントにおける IBM Cloud Shell の設定の表示と更新を行うアクセス権限をユーザーに割り当てることができます。 アカウント所有者と、IBM Cloud Shell 管理者役割を持つユーザーのみがこの設定の表示と更新を行うことができます。

IBM Cloud Shellサービスのロールとアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター 適用外
管理者 IBM Cloud Shell 設定の表示および更新
クラウド・オペレーター Cloud Shell リソースを管理する IBM Cloud 環境を作成します。
クラウド開発者 Cloud Shell リソースを管理する IBM Cloud 環境を作成し、IBM Cloud 用のアプリケーションを開発します (Web プレビューを使用可能)。
File Manager Cloud Shell リソースを管理する IBM Cloud 環境を作成し、ワークスペース内のファイルを管理します (「ファイルのアップロード」および「ファイルのダウンロード」を使用可能)。

ライセンスおよび資格

アカウント内のライセンスおよび使用権を管理するためのアクセス権限をユーザーに割り当てることができます。 アカウントの任意のメンバーが、アカウントの持つ使用権を表示および使用できます。

ライセンスおよび使用権サービスの役割とアクション例
役割 アクション
ビューアー 適用外
オペレーター 適用外
エディター エディターは、使用権を作成することができ、自分が獲得した使用権のみを表示、更新、バインド、および削除できます。
管理者 管理者は、使用権を作成することができ、アカウント内の任意の使用権を表示、更新、バインド、および削除できます。

Platform Analytics

ユーザーにデータ チャートを表示、作成、共有するアクセス権を付与できます。

Platform Analyticsサービスの役割とアクション例
役割 アクション
ビューアー データとグラフの表示、検索、作成、更新、共有
管理者 データとグラフを表示、検索、作成、更新、共有します。 アクセスを割り当てるPlatform Analytics。

パートナー・センター

パートナー・プロファイルの詳細、オファー、高速トラックを表示および編集したり、サポート Case を作成および表示したりするためのアクセス権限をユーザーに付与できます。

パートナーセンターサービスの役割と例となるアクション
役割 アクション
ビューアー パートナー・プロファイル、オファー、高速トラック、サポート Case に関する詳細を表示します。
エディター パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。
オペレーター
管理者 パートナー・プロファイル、オファー、および高速トラックを表示および編集します。 サポート Case を作成、編集、および表示します。

パートナー・センター - 販売

ユーザーに製品へのアクセス権を与え、検証、公開することができます。

パートナーセンターの役割と例となるアクション - サービス販売
役割 アクション
管理者 製品の作成、編集、検証、および公開
エディター 製品の検証および編集
承認者 ワークフロー・インスタンスのタスクを承認または拒否します

プロジェクト

Infrastructure as Code (IaC) デプロイメントを構成、検証、およびモニターするためのアクセス権限をユーザーに付与できます。

IBM Cloudのロールとアクション例プロジェクトサービス
役割 アクション
ビューアー プロジェクト、構成、およびデプロイメントに関する詳細を表示します。
オペレーター プロジェクト、構成、およびデプロイメントに関する詳細の表示

構成の検証

構成の編集
エディター View details about projects, configurations, and deployments

Validate a configuration

Edit a configuration

Create a project

Edit a project

Delete a project

Create a configuration

Discard a draft configuration

Deploy configuration changes

Destroy resources
管理者 プロジェクト、構成、およびデプロイメントに関する詳細を表示します。

構成の検証

構成の編集

プロジェクトの作成

プロジェクトの編集

プロジェクトの削除

構成の作成

ドラフト構成の破棄

構成変更のデプロイ

リソースの破棄

検証に失敗した変更の強制承認

Security and Compliance Center

アクセス権限が割り当てられたアカウント内の Security and Compliance Center サービスのリソースを作成、更新、削除するためのアクセス権限をユーザーに付与できます。

Security and Compliance Centerサービスの役割とアクション例
役割 アクション
ビューアー 利用可能なプロファイルと添付ファイルの表示

スコープ、認証情報、ルールなどの作成済みリソースの表示

サービスのグローバル設定の表示
オペレーター Security and Compliance Center ダッシュボードにアクセスして、現在の状況と結果を表示します。

コンプライアンス・アクティビティーをモニターするための監査ログを作成します。
エディター オブジェクト (スコープ、資格情報、コレクターなど) を作成、更新、または削除します。

目標のパラメーター設定を更新します。

ルールおよびテンプレートを作成、更新、または削除します。

サービスのグローバル管理設定を編集します。
管理者 この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行します。これには、他のユーザーへのアクセス・ポリシーの割り当ても含まれます。
マネージャー サービスによって定義された特権アクションを実行するための、ライター役割を超える権限。 それに加え、サービス固有のリソースを作成および編集できます。
リーダー サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行します。
ライター サービス固有のリソースの作成および編集を含む、リーダー役割を超える権限。

ソフトウェア・インスタンス

ソフトウェア・インスタンスを作成、削除、または更新するアクセス権限をユーザーに付与することができます。 また、ソフトウェア・インスタンスの詳細ページとログを表示する権限をユーザーに付与することもできます。

ソフトウェア・インスタンス・サービスについての役割とアクション例
役割 アクション
ビューアー ソフトウェア・インスタンスの詳細ページを表示する
オペレーター ソフトウェア・インスタンスの更新

ソフトウェア・インスタンスの詳細ページの表示
エディター ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示
管理者 ソフトウェア・インスタンスの作成、削除、更新

ソフトウェア・インスタンスの詳細ページの表示

ソフトウェア・インスタンスのログの表示

IAM 権限の割り当て

サポート

サポート Case を管理するアクセス権限をユーザーに付与できます。

サポート・センター・サービスの役割とアクション例
役割 アクション
ビューアー 「ケースの表示」

「ケースの検索」
オペレーター 適用外
エディター 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」
管理者 「ケースの表示」

「ケースの検索」

「ケースの更新」

「ケースの作成」

ユーザー・リストの可視性設定には関係なく、ユーザーがアカウントのすべての Case を確実に表示できるように、サポート・センターのアクセス・ポリシーに加えて、ユーザー管理サービスのビューアー役割をユーザーに割り当てます。 ユーザー・リストの可視性が「制限付き」に設定されている場合、アカウントのサポート Case のうちユーザーが自分でオープンしなかったものを表示、検索、および管理する権限が制限される可能性があります。

ユーザー管理

アカウント内のユーザーの表示、ユーザーの招待と削除、ユーザー・プロファイル設定の表示と更新を行うアクセス権限をユーザーに付与できます。

ユーザー管理サービスの役割とアクション例
役割 アクション
ビューアー アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
オペレーター アカウント内のユーザーの表示

ユーザー・プロファイル設定の表示
エディター アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新
管理者 アカウントからのユーザーの表示、招待、削除、および更新

ユーザー・プロファイル設定の表示および更新

ユーザー管理サービスのビューアー役割は、通常、サポート Case を表示または管理する役割が割り当てられるユーザーに割り当てるための役割です。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。

Activity Tracker Event Routing

プラットフォーム・アクションを実行するためのアクセス権限をユーザーに付与できます。

Activity Tracker Event Routingサービスの役割とアクション例
役割 アクション
ビューアー 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
オペレーター 経路やターゲットなどの Activity Tracker Event Routing 構成リソースを表示します。
エディター Activity Tracker Event Routing リソースを表示、作成、更新、および削除します。
管理者 Activity Tracker Event Routing リソース

を表示、作成、更新、および削除します。 アカウント内の他のユーザーに Activity Tracker Event Routing リソースを管理するためのアクセス・ポリシーを割り当てます。