IBM Cloud IAM 役割
アカウント内のリソース・グループに編成されたすべてのサービスは、IBM Cloud Identity and Access Management (IAM) を使用して管理されます。 アカウント所有者には、アカウント管理者役割が自動的に割り当てられます。 アカウント管理者は、ユーザーのアクセス権限の割り当てと管理、リソース・グループの作成、アクセス・グループの作成、信頼できるプロファイルの作成、請求の詳細の表示と使用量の追跡、およびサービス・インスタンスの作成を行うことができます。 ユーザー、サービス ID、アクセス・グループ、およびトラステッド・プロファイルにアクセス権限を付与するには、アクセスするポリシーのサブジェクトのターゲットを設定するポリシーと、許可されるアクセスのタイプを定義する役割を作成します。
IAM 役割
自分のアカウントに属するユーザーとリソースの特定の役割に基づいて、アクセス権限を管理および定義することができます。
-
プラットフォーム管理の役割には、インスタンスの作成や削除、認証情報の管理、アクセス管理など、さまざまな作業が含まれます。 プラットフォームの役割は、管理者、エディター、オペレーター、ビューアーです。 プラットフォーム管理の役割は、アカウント管理サービスにも適用され、ユーザーが、アカウント管理サービスに関して割り当てられた役割に応じて、ユーザーの招待、サービス ID の管理、アクセス・ポリシーの管理、カタログ・エントリーの管理、請求および使用量の追跡を行うことを可能にします。
-
サービス・アクセスの役割は、ユーザーまたはサービスが、コンソールへのアクセスや API 呼び出しの実行など、サービス・インスタンスに関するアクションを実行する能力を定義します。 最も一般的なサービス・アクセス役割は、管理者、ライター、およびリーダーです。 各サービスは、サービスを処理するための特定のアクションをこれらの各役割にマップします。
UI でポリシーを割り当てるときには、選択したサービスに使用可能な役割のみが表示されるため、ここにリストされている役割のすべてがオプションとして表示されるわけではありません。 それぞれのサービスでの有効な役割および各アクセス役割で許可されるアクションについて詳しくは、そのサービスの資料を参照してください。
-
アカウント所有者、または役割管理サービスに対する管理者役割を割り当てられたユーザーは、IAM の「役割」ページで、サービスのカスタム役割を作成できます。
特定のサービスについて、利用可能なロールと関連するアクションを確認するには 、「ロール」ページにアクセスし、さらに詳しく知りたいサービスを選択します。 これは、コンソールでカスタム役割を作成できるページと同じです。
プラットフォーム管理の役割
プラットフォーム管理の役割では、アカウント内またはサービスでプラットフォーム・アクションを実行するためのさまざまなレベルの許可をユーザーに割り当てることができます。 例えば、カタログ・リソース用に割り当てられたプラットフォーム管理の役割により、ユーザーは、サービス・インスタンスの作成、削除、編集、および表示などのアクションを実行できるようになります。 また、アカウント管理サービス用に割り当てられたプラットフォーム管理の役割により、ユーザーは、ユーザーの招待と削除、リソース・グループの操作、請求情報の表示などのアクションを実行できるようになります。 アカウント管理サービスについて詳しくは、アカウント管理サービスへのアクセス権限の割り当てを参照してください。
ポリシーの作成時に適用されるすべての役割を選択します。 各役割は、個々のアクションの実行を許可するものであり、より低い役割のアクションを継承することはありません。
以下の表に、カタログ・リソースおよびリソース・グループに関連してユーザーが実行できるプラットフォーム管理アクションのいくつかの例を示します。 各カタログ製品のドキュメントを参照し、使用中のサービスのコンテキスト内で、各ロールがユーザーにどのように適用されるかを理解してください。
プラットフォーム管理ロール | 1 つまたはすべての IAM 対応サービス | リソース・グループ内の選択されたサービス | リソース・グループ・アクセス権限 |
---|---|---|---|
ビューアー・ロール | インスタンスと認証情報を表示 | リソース・グループ内の指定されたインスタンスのみの表示 | リソース・グループの表示 |
オペレーターの役割 | インスタンスの表示と認証情報の管理 | 適用外 | 適用外 |
エディター・ロール | インスタンスの作成、削除、編集、および表示。 資格情報の管理 | リソース・グループ内の指定されたインスタンスのみの作成、削除、編集、一時停止、再開、表示、およびバインド | リソース・グループ名の表示および編集 |
管理者ロール | サービスに対するすべての管理アクション | リソース・グループ内の指定されたインスタンスに対するすべての管理アクション | リソース・グループのアクセス権限の表示、編集、および管理 |
ユーザーがアカウント管理サービスに関して自分に割り当てられた役割に基づいて実行できる具体的なアクションについて詳しくは、アカウント管理サービスへのアクセス権限の割り当てを参照してください。
サービスの中には、特定のアクションを、サービスのアクセスではなくサービスの管理に関連したプラットフォーム管理の役割にマップするものがあります。 例として、それらの役割にマップされている Kubernetes Service サービス・アクションの詳細を示す以下の表を参照してください。
プラットフォーム管理ロール | アクション | Kubernetes Service のアクション例 |
---|---|---|
ビューアー | サービス・インスタンスの表示はできるが、変更はできない |
|
エディター | アカウントの管理とアクセス・ポリシーの割り当てを除き、すべてのプラットフォーム・アクションを実行する |
|
オペレーター | サービスのダッシュボードの表示など、サービス・インスタンスの構成および操作に必要なプラットフォーム・アクションを実行する |
|
管理者 | 他のユーザーへのアクセス・ポリシーの割り当てを含め、この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行する |
|
サービス・アクセス役割
サービス・アクセスの役割は、サービスの API の呼び出しおよびサービスの UI へのアクセスを行うためのさまざまなレベルの許可をユーザーに割り当てることを可能にします。 以下の表は、Object Storage サービスの使用に基づいて割り当てられる役割に応じて実行できるアクションの例を示しています。
割り当てられた各役割に基づいて実行できるアクションは、ポリシーに対して選択したサービスによって異なります。 すべてのサービスがこれらのタイプの役割を使用するわけではありません。 詳しくは、サービスの資料を参照してください。
サービス・アクセス・ロール | アクション | Object Storage サービスのアクションの例 |
---|---|---|
リーダー | サービス固有のリソースの表示など、サービス内で読み取り専用アクションを実行する | オブジェクトの一覧表示およびダウンロード |
ライター | サービス固有のリソースの作成および編集など、リーダー役割を超えるアクセス権 | バケットおよびオブジェクトの作成と破棄 |
マネージャー | サービスによって定義された特権アクションの実行およびサービス固有のリソースの作成と編集を行う、ライター役割を超えるアクセス権 | データ・ストレージのすべての側面の管理、バケットおよびオブジェクトの作成と破棄 |
カスタム・アクセス・ロール
アカウント所有者、または、役割管理サービスに対する管理者役割を割り当てられたユーザーは、IAM の「役割」ページでサービスに対するカスタム役割を作成できます。 プラットフォーム役割またはサービス役割でサービスに使用できるアクションをいくつでも組み合わせて、名前を付けたカスタム役割に追加できます。
役割が作成されると、そのサービスのアクセス権限の割り当てを実行できるすべてのユーザーに、その新しいカスタム役割がオプションとして表示されるようになります。 アクセス権限について詳しくは、カスタム役割の作成を参照してください。