IBM Cloud Docs
アカウントに含まれている内容

アカウントに含まれている内容

IBM Cloud® アカウントには、リソース、ユーザー、およびアクセス管理についての相互に作用する要素とシステムが多く含まれています。 特定のコンポーネントがどのように接続されているか、またはアクセスがどのように機能するかというような概念は、アカウントのセットアップ方法を理解するうえで役立ちます。

次の図には、理解する必要があるアカウント階層内のコンポーネントに関する 2 つの主要な概念が含まれています。 実線と点線の使用は、あるコンポーネントが他のコンポーネントの中に含まれていることを説明するのに役立ちます。例えば、ユーザーはアクセスグループに追加されます。 ただし、いくつかの要素は、メンバーシップではなくアクセス権限を提供するために他の要素と相互作用します。 例えば、ユーザーにはリソース・グループへのアクセス権限が付与されますが、リソース・グループのメンバーにはアクセス・グループの場合と同じ方法では付与されません。

サービス、ユーザー、それぞれのサブコンポーネントなど、アカウント内のコンポーネントを示す図。
サービス、ユーザー、それぞれのサブコンポーネントなど、アカウント内のコンポーネントを示す図。

ユーザー
ユーザーはアカウントに招待され、アカウント内のリソースへのアクセス権限を付与されます。
サービス ID
ユーザー ID がユーザーを識別するのと同様の方法で、サービス ID はサービスまたはアプリケーションを識別します。 作成するサービス ID を使用して、IBM Cloud の外部にあるアプリケーションがサービスにアクセスできるようにすることができます。 このサービス ID には、特定のサービスを使用するための許可を制限したり、さまざまなサービスにアクセスするための許可を結合したりする特定のアクセス・ポリシーを割り当てることができます。 サービス ID は特定のユーザーに結合されているわけではないため、ユーザーが組織を辞めてアカウントから削除されるようなことがあっても、サービス ID はそのまま残り、アプリケーションまたはサービスが確実に稼働し続けるようにします。 詳しくは、サービス ID の作成と処理を参照してください。
トラステッド・プロファイル
A trusted profile is a grouping of federated users, compute resources, IBM Cloud services, service IDs, or a combination of entities, to which the same IBM Cloud Identity and Access Management (IAM) access can be granted. トラステッド・プロファイルの適用時には、そのセッションの期間中に使用するための一時的なセキュリティー資格情報が提供されます。 1 つのプロファイルを適用できるすべての ID は、同じアクセス権限を継承します。 詳しくは、トラステッド・プロファイルの作成を参照してください。
サービス・インスタンスまたはリソース
サービスIBM Cloudリソース グループ ベースです。 リソースグループに追加でき、IAMを使って管理できるサービスインスタンスをリソースと呼ぶ。 詳しくは、リソースの作成を参照してください。
API キー
API キーは、呼び出し側のアプリケーションまたはユーザーを識別するために API に渡される固有のコードです。 ユーザー ID に関連付けられているプラットフォーム API キーを使用することができます。また、サービス ID 用の他の API キーを作成することができます。 詳しくは、『API キーについて』を参照してください。
アクセス・グループ
アクセス・グループを作成して、ユーザー、サービス ID、およびトラステッド・プロファイルのセットを単一のエンティティーに編成し、許可を簡単に割り当てることができます。 個々のユーザーまたはサービス ID ごとに同じアクセス権限を複数回割り当てるのではなく、単一のポリシーをグループに割り当てることができます。 詳細については、アクセス・グループのセットアップを参照してください。
リソース・グループ
リソース・グループを使用して、カスタマイズ可能なグループにアカウント・リソースを編成することができ、これにより、複数リソースへのアクセス権限を一度に素早くユーザーに割り当てることができます。 IAM のアクセス制御を使用して管理されるすべてのアカウント・リソースが、アカウント内のリソース・グループに属します。 ユーザーはリソース・グループに追加されませんが、ユーザーにはリソース・グループ内のリソースへのアクセス権限が付与され、ユーザーはリソース・グループを管理することができます。 リソース・グループを管理するためにアクセス権限を付与されたユーザーは、グループ内に新規インスタンスを作成したり、グループを操作するためにその他のユーザーのアクセス権限を管理したり、割り当てられた IAM 役割に基づいてグループ名を編集したりすることができます。 アカウントごとに最大 1000 個のリソース・グループを持つことができます。 詳しくは、『リソースを編成してアクセス権限を割り当てるためのベスト・プラクティス』を参照してください。

前述の図のもう1つの重要な点は、アカウント・ユーザーにアカウント内のリソースへのアクセスを提供するために使用できる2種類のアクセス管理システムが描かれていることです。

  • IAM アクセス役割を使用して、特定のリソース・グループに属するすべてのリソースへのアクセス権限をユーザーに付与できます。 リソース・グループの管理およびリソース・グループに割り当てられる新規サービス・インスタンスの作成を行うためのアクセス権限をユーザーに付与することもできます。
  • クラシック・インフラストラクチャーの許可を使用して、クラシック・インフラストラクチャー・リソース用に、より細分化された許可をユーザーに付与できます。 デバイス・アクセス権限と VPN サブネット・アクセス権限は別々に割り当てます。