Conceitos de acesso do IAM

O conceito de gerenciamento de acesso consiste em alguns componentes interrelacionados, incluindo usuários, IDs de serviço, grupos de acesso, perfis confiáveis, recursos, políticas, funções, ações e o sistema de controle do IBM Cloud IAM, que permite que os usuários executem ações em recursos dentro de uma conta.

IBM Cloud O IAM segue um padrão eventualmente consistente que é comum a muitos serviços nativos da nuvem. Como resultado, o IAM permanece altamente disponível e com alto desempenho em diversas regiões globais. As mudanças que são feitas às políticas de acesso ao IAM, autorizações, IDs de serviço, chaves de API, grupos de acesso, perfis confiáveis, grupos de recursos, usuários ou quaisquer outros controles de acesso são registrados e propagados em todos os componentes do IAM e serviços ativados para IAM no mundo todo. As mudanças de acesso podem não entrar em vigor até que o processo de propagação seja concluído.

Grupos de acesso

Um grupo de usuários e IDs de serviço pode ser organizado para que o mesmo acesso possa ser designado a todos os seus membros usando uma ou mais políticas. Com os grupos de acesso, é possível simplificar o processo de atribuição de acesso para que você possa gerenciar menos políticas e reduzir o número de políticas em uma conta, o que, por sua vez, aumenta o desempenho. Os grupos de acesso permitem que você conceda e revogue o acesso simplesmente incluindo ou removendo IDs de usuários ou de serviços no grupo de acesso. Depois que seus grupos são configurados, é possível iniciar a designação de políticas selecionando um grupo de acesso como o assunto da política. Para obter mais informações, consulte Grupos de acesso para gerenciamento de acesso aperfeiçoado.

Perfis confiáveis

Com perfis confiáveis, você gerencia as identidades de seus usuários dentro de seu próprio diretório corporativo. E, é possível gerenciar centralmente o ciclo de vida de acesso a várias contas e ativos da IBM Cloud para usuários federados sem a necessidade de configurar políticas de acesso para cada entidade dentro de cada conta. Não é preciso convidar usuários para sua conta para dar a eles acesso aos seus recursos do IBM Cloud.

Também é possível definir autorização de baixa granularidade para todos os aplicativos que estão em execução em um recurso de cálculo sem criar IDs de serviço ou gerenciar o ciclo de vida da chave de API para aplicativos. Para começar a criar perfis confiáveis para sua organização, consulte Perfis confiáveis para eliminar a necessidade de gerenciar credenciais.

Recursos

Os recursos da conta são as instâncias de serviço selecionadas no catálogo ou recursos mais refinados em uma instância de serviço, como um bucket IBM Cloud® Object Storage. Os recursos ativados para o IAM são incluídos em um grupo de recursos ao serem criados por meio do catálogo.

O gerenciamento de acesso do IAM permite o acesso de baixa granularidade, o que significa que uma política pode ser configurada em uma escala ampla para todos os recursos em um grupo de recursos, por exemplo, ou para uma instância de serviço específica na conta e até mesmo um tipo de recurso, como um depósito do IBM Cloud Object Storage em uma instância específica.

Políticas de acesso

As políticas de acesso são como os usuários, IDs de serviço, grupos de acesso e perfis confiáveis na conta recebem permissão para acessar e realizar ações em recursos da conta. As políticas incluem um assunto, o destino e a função. O assunto é o usuário, o ID do serviço ou o grupo de acesso ao qual você está concedendo acesso. O destino da política é o recurso ao qual você deseja fornecer acesso. E as funções do IAM definem o nível de acesso ou as ações permitidas no destino da política.

Uma política designa ao assunto uma ou mais funções que definem o nível de acesso e um ou mais atributos que definem o destino ao qual a política permite acesso. A política pode fornecer acesso a um único serviço no nível da instância, a um conjunto de recursos que são organizados juntos em um grupo de recursos ou a qualquer conjunto de recursos que podem ser definidos por um conjunto de atributos, como local ou tipo de recurso. Uma política também pode fornecer acesso a serviços de gerenciamento de conta. Dependendo das funções designadas do IAM, vários níveis de acesso são permitidos ao assunto para concluir tarefas de gerenciamento de conta, trabalhar com instâncias de serviço, acessar um serviço usando o console ou concluir chamadas da API.

Há diferentes tipos de políticas que permitem acesso a recursos da conta para usuários e IDs de serviço: uma política de grupo de recursos, uma política de instância de recurso, uma política de conta para acesso a todos os serviços ativados para o IAM ou a todas as instâncias de um serviço especificado, além de uma política em um ou em todos os serviços de gerenciamento de conta. Dependendo de suas seleções, opções de configuração customizada, como definir acesso a recursos em um local específico ou definir acesso ao nível granular de um recurso específico de serviço em uma instância, podem estar disponíveis.

Além das políticas de acesso para usuários e IDs de serviço, há um tipo de política chamado autorização que permite a serviços específicos ou a instâncias de serviços, acesso a outros serviços. É possível saber mais sobre como designar acesso entre os serviços na documentação de Usando autorizações para conceder acesso entre serviços.

Funções

As funções de acesso da IBM Cloud são um grupo de ações. As funções de acesso permitem que usuários e IDs de serviço concluam tarefas específicas dentro do contexto dos recursos de destino definidos na política. Há dois tipos de funções de acesso predefinidas: gerenciamento de plataforma e acesso de serviço. O terceiro tipo de função de acesso é uma função customizada que pode ser criada para um serviço para combinar qualquer conjunto de ações disponíveis para atender às suas necessidades organizacionais.

As funções de gerenciamento de plataforma definem ações permitidas, como designar o acesso de usuário e a criação de instâncias de serviço para gerenciar recursos no nível de plataforma. As funções da plataforma também se aplicam a ações que podem ser realizadas no contexto dos serviços de gerenciamento de contas, como convidar e remover usuários, gerenciar grupos de acesso, gerenciar IDs de serviço e produtos de catálogo privado.

As funções de acesso ao serviço definem ações permitidas, como chamar APIs de serviço ou acessar um painel do serviço. Essas funções são customizadas com base no serviço que é selecionado dentro da política.

Ao designar o acesso dentro do console, próximo à função, é possível ver o número de ações mapeadas para cada função e realizar drill down nessa lista para ver exatamente o que cada função permite.

Para obter mais informações, veja Funções do IAM.

Ações

As ações são mapeadas para as funções do IBM Cloud IAM para que os usuários possam executar apenas tarefas específicas quando as diferentes funções estão designadas a eles. Às vezes, as ações também são chamadas de permissões ou operações. As ações permitidas para cada função mudam com base no serviço que está sendo acessado, porque cada serviço define como essa função é mapeada para o uso do serviço. Para obter mais informações, consulte Funções e ações do IAM.

Modelos do IAM gerenciados pela empresa

Os modelos do IAM gerenciados corporativos são uma ferramenta útil para padronizar as configurações de gerenciamento de acesso e de segurança da conta em uma empresaUma estrutura hierárquica de contas com gerenciamento centralizado de conta e de faturamento em um ambiente de nuvem.. Os modelos permitem definir grupos de acesso comumente usados, perfis confiáveis e configurações de segurança de maneira consistente, garantindo que suas políticas de segurança sejam aplicadas uniformemente em toda a empresa. Isso pode ser especialmente importante para a conformidade com os padrões organizacionais, o que pode exigir que determinadas configurações de gerenciamento de acesso e segurança sejam configuradas de forma consistente em todas ou algumas contas. Ao usar modelos IAM, você pode simplificar o gerenciamento de suas políticas de segurança, reduzir o risco de configuração incorreta ou erro humano e melhorar a postura geral de segurança. Para obter mais informações, consulte Como o IAM gerenciado corporativo funciona.

Os recursos do IAM gerenciados pela empresa em sua conta-filha têm a tag gerenciado pela empresa.

Controles de ação

Os controles de ação impõem suas preferências sobre quais operações os administradores de contas secundárias podem realizar nos recursos do IAM gerenciados pela empresa em suas contas. Talvez você queira permitir que administradores de contas secundárias adicionem membros a um grupo de acesso gerenciado pela empresa que você atribui em suas contas. Nesse caso, é possível ativar o controle de ação para incluir membros. Ou você pode proibir administradores de contas infantis de adicionar novas políticas a um perfil confiável. Por padrão, os controles de ação impedem que os administradores de contas secundárias façam alterações nos recursos do IAM gerenciados pela empresa em suas contas.

Sistema de gerenciamento de acesso

O sistema de controle do IBM Cloud IAM permite ou nega ações por usuários ou IDs de serviço dentro do contexto de um serviço com base em suas políticas de acesso designadas. Por padrão, todo usuário e ID de serviço não tem acesso. Cada política de acesso incluída permite que o usuário ou o ID de serviço execute uma ação dentro da conta com base no destino e na função especificados selecionados na política de acesso. Quando um usuário tenta concluir uma ação específica, o sistema de controle usa os atributos que são definidos na política para determinar se o usuário tem permissão para executar essa tarefa. Para obter mais informações, consulte Como o IBM Cloud IAM funciona.

O que é ABAC e RBAC?

Há dois tipos comuns de sistemas IAM em provedores de nuvem e o entendimento de cada um desses modelos pode ajudar a obter um melhor entendimento de como o IAM funciona na IBM Cloud.

O controle de acesso baseado no atributo (ABAC) usa atributos de identidades, como usuários e IDs de serviço, ambientes e recursos. Esses atributos são utilizados por um mecanismo de decisão de acesso para determinar se uma solicitação de acesso deve ser permitida ou negada. O ABAC fornece mais flexibilidade, controle e recursos do que os sistemas de controle de acesso baseado na função. Geralmente, o ABAC é usado quando o controle de acesso de baixa granularidade é necessário ou quando uma grande variedade de casos de uso de controle de acesso precisa ser resolvida pelo mesmo mecanismo de decisão. O ABAC ajuda a reduzir os riscos de segurança, fornecendo controle de acesso de baixa granularidade e é geralmente mais complexo, especialmente durante a configuração inicial.
O controle de acesso baseado na função (RBAC) usa um mapeamento de uma identidade, como um usuário ou um ID de serviço, para uma função. A função RBAC define o tipo de acesso que uma identidade com a função RBAC pode usar em um recurso. Geralmente o acesso pode ser concedido para um tipo de recurso ou um agrupamento de recursos. As funções RBAC são definidas geralmente com base em responsabilidades de tarefas dentro de uma organização. A função RBAC concede o acesso necessário para uma identidade executar sua tarefa. Esse é um modelo simples porque os administradores do IAM gerenciam o mapeamento de funções RBAC para uma identidade. A configuração de funções RBAC pode ser mais simples que a configuração inicial do ABAC.

O IBM Cloud IAM utiliza um modelo ABAC usando atributos de identidade e de recursos. O IBM Cloud IAM utiliza políticas de acesso para armazenar as informações de atributos que são necessárias pelo mecanismo de decisão de acesso do IAM. E, as políticas de acesso informam ao mecanismo de decisão do IAM a quais atributos o autor da política requer para conceder acesso a um recurso.

Os atributos suportados para identidades são o iam_id e o ID do grupo de acesso. Os atributos suportados para recursos pertencem a uma das categorias a seguir:

Campos definidos no CRN do recurso, por exemplo, o nome do serviço.
Atributos de recurso definidos no sistema, como grupos de recursos.
Atributos de recurso específicos do serviço, como namespaces ou depósitos.

Cada serviço define os atributos suportados para recursos gerenciados. Para mais informações, consulte a documentação para o serviço que você está usando.

Uma melhor prática no IBM Cloud IAM é usar grupos de acesso para gerenciar o acesso para identidades. Depois que as políticas de acesso ao grupo de acesso forem definidas, conceder e revogar acesso será simplesmente uma questão de incluir e remover identidades dos grupos de acesso. Um usuário ou um ID de serviço pode pertencer a quantos grupos de acesso o administrador desejar e os membros do grupo herdam todo o acesso designado ao grupo de acesso. Essa abordagem fornece os benefícios de acesso de baixa granularidade do ABAC com a simplicidade do RBAC.

Os administradores do IAM familiarizados com o RBAC podem usar grupos de acesso para imitar um modelo RBAC. Conceitualmente um grupo de acesso é semelhante a uma função RBAC. Se você estiver mais familiarizado com o uso de funções tradicionais da RBAC, como administrador de sistema, administrador de rede ou administrador de armazenamento, estas poderão ser definidas no IBM Cloud IAM utilizando grupos de acesso com políticas de acesso específicas designadas a cada uma delas. Para obter mais informações sobre o uso de grupos de acesso e as melhores práticas para designar o acesso, consulte Melhores práticas para organizar recursos e designar o acesso.

Por exemplo, é possível criar um grupo de acesso chamado Storage Administrators. Quando o grupo de acesso é criado pela primeira vez, nenhum acesso é concedido a nenhum membro dele. O grupo de acesso pode, então, ser atribuído a políticas que concedem a função de Administrador a todos os recursos de armazenamento na conta atual, bem como a todos os que serão criados no futuro. Se um novo usuário entrar na equipe da organização com o cargo de administrador de armazenamento da conta, ele poderá simplesmente ser incluído no grupo de acesso e ter todo o acesso necessário para realizar suas funções.

Esse é um exemplo simples, mas a abordagem pode ser aplicada a qualquer tarefa, função ou responsabilidade em uma organização. As políticas de acesso designadas ao grupo de acesso podem ser de baixa granularidade, permitindo casos de uso como administrador de armazenamento de todo o armazenamento em um grupo de recursos específico e até mesmo para apenas um tipo de armazenamento específico.

Para obter mais informações sobre como estar funcional rapidamente com o IBM Cloud IAM configurando grupos de acesso para designações de acesso rápido, convidando os usuários para sua conta e gerenciando seu acesso, consulte Designando acesso aos recursos.