Gerenciando o acesso aos recursos

Para gerenciar o acesso para usuários ou IDs de serviço usando as políticas do IAM, deve-se ser o proprietário da conta ou ter o acesso correto designado. Para designar o acesso do usuário a recursos, deve-se ser um administrador em todos os serviços na conta ou o administrador designado para o serviço ou instância de serviço específica. Para designar acesso a um ID de serviço, deve-se ser administrador no serviço de identidade ou no ID de serviço específico.

Designando acesso a recursos

É possível designar acesso aos recursos usando dois tipos de políticas:

Acesso aos recursos na conta, incluindo a opção para apenas um tipo ou todos os tipos
Acesso a recursos em um grupo de recursos, incluindo a opção de apenas um recurso ou todos os recursos

Se você excluir ou editar uma política existente para uma ID de serviço que esteja sendo usada no momento, isso poderá causar a interrupção do serviço.

Se você desejar ativar um acesso total de administrador para concluir as tarefas de gerenciamento de conta, como convidar e remover usuários, visualizar o faturamento e o uso, gerenciar os IDs de serviço, gerenciar os grupos de acesso, gerenciar o acesso do usuário e o acesso a todos os recursos ativados para IAM, o acesso a seguir deverá ser designado a um usuário:

Uma política para serviços habilitados para Identidade e Acesso com as funções de Administrador e Gerente.
Uma política com a função de administrador em todos os serviços de gerenciamento de contas.

Também é possível configurar tags de gerenciamento de acesso para gerenciar o acesso. Para obter mais informações, consulte Controlando o acesso aos recursos usando tags.

Os usuários com a função de Administrador para serviços de gerenciamento de conta podem alterar o acesso de outros usuários e remover usuários do recurso, incluindo outros usuários com a função de administrador..

Designando acesso aos recursos no console

Para designar acesso a um recurso individual na conta ou acesso a todos os recursos na conta, conclua as etapas a seguir:

No console do IBM Cloud, clique em Gerenciar > Acesso (IAM), e selecione Usuários ou Gerenciar > Acesso (IAM), e selecione IDs de serviço, dependendo da identidade à qual deseja designar acesso.
Clique no ícone Ações > Designar acesso para o usuário ou ID de serviço ao qual deseja atribuir acesso.
Selecione um grupo de serviços ou um único serviço. Em seguida, clique em Avançar.
Defina o escopo do acesso a todos os recursos na conta, ou selecione recursos específicos com base em atributos.
Clique em Avançar.
Selecione qualquer combinação de funções para designar e clique em Revisar.
Clique em Incluir para incluir sua configuração de política em seu resumo de política.
(Opcional) Inclua usuários ou IDs de serviço em Grupos de acesso.
1. Selecione os grupos de acesso aos quais deseja que o usuário ou ID do serviço pertença.
2. Clique em Incluir.
Clique em Designar.

Se um usuário não tiver uma função no grupo de recursos que contenha os recursos, ele poderá ver os recursos, mas não poderá acessar os recursos acessando a página Lista de recursos na conta para começar a trabalhar com eles. Designar a função de Visualizador ou mais alta no próprio grupo de recursos para assegurar-se de que um usuário possa acessar o recurso.

Limites de apólice aumentados para IDs de serviço estão disponíveis para contas selecionadas. Para aproveitar os limites maiores da política, atribua acesso aos serviços Event Streams ou IBM Cloud Object Storage. Você também deve definir o escopo das políticas de acesso para uma instância de serviço, um tipo de recurso e uma ID de recurso específicos.

Designando acesso a um grupo de recursos no console

Para designar acesso a todos os recursos em um grupo de recursos ou a apenas um serviço em um grupo de recursos, conclua as etapas a seguir:

No console da IBM Cloud, clique em Gerenciar > Acesso (IAM), e selecione Usuários ou IDs de serviço, dependendo da identidade à qual deseja atribuir acesso.
Clique no ID de usuário ou serviço ao qual você deseja atribuir acesso e, em seguida, clique em Acesso > Atribuir acesso.
Selecione um grupo de serviços ou um único serviço. Em seguida, clique em Avançar.
Defina o escopo do acesso para Recursos específicos. Selecione o tipo de atributo Grupo de recursos e insira um grupo de recursos..
Clique em Avançar.
Selecione as funções de acesso para gerenciar o grupo de recursos. Em seguida, clique em Avançar.
Selecione qualquer combinação de funções para designar e clique em Revisar.
Clique em Incluir para incluir sua configuração de política em seu resumo de política.
Clique em Designar.

Atribuição de acesso para gerenciar um grupo de recursos

É possível atribuir acesso para visualizar ou gerenciar um grupo de recursos sem atribuir acesso ao serviço.

Como administrador, você pode desejar criar um grupo de acesso com a função Viewer em todos os grupos de recursos. Dessa forma, ao atribuir acesso a recursos de serviço não é preciso criar políticas adicionais para visualização de grupos de recursos. A função do Viewer em um grupo de recursos é necessária para que um usuário crie uma instância de serviço nesse grupo de recursos.

Para designar o acesso a um grupo de recursos sem atribuir acesso ao serviço, preencha as seguintes etapas:

No console da IBM Cloud, clique em Gerenciar > Acesso (IAM), e selecione Usuários ou IDs de serviço, dependendo da identidade à qual deseja atribuir acesso.
Clique no ID de usuário ou serviço ao qual você deseja atribuir acesso e, em seguida, clique em Acesso > Atribuir acesso.
Selecione somente Grupo de recursos.
Selecione Adicionar uma condição.
Selecione o tipo de atributo Grupo de Recursos e digite um grupo de recursos.
Clique em Avançar.
Selecione as funções de acesso para visualização ou gerenciamento do grupo de recursos. Em seguida, clique em Revisar.
Clique em Incluir para incluir sua configuração de política em seu resumo de política.
Clique em Designar.

É possível repetir esse tipo de política conforme a necessidade de cada grupo de recursos disponível na conta para designar o acesso para gerenciar todos os grupos de recursos na conta.

Designando acesso aos recursos usando a CLI

Efetue login na CLI da IBM Cloud®. Se você tiver múltiplas contas, deverá selecionar qual conta usar. Se você não especificar uma região com o sinalizador -r, deverá também selecionar uma região.
```
ibmcloud login
```
Se as suas credenciais forem rejeitadas, talvez você esteja usando um ID federado. Para efetuar login com um ID federado, use a sinalização --sso. Consulte Efetuando login com um ID federado para obter mais detalhes.

Se esta for a sua primeira vez usando a CLI da IBM Cloud, confira o tutorial de introdução.
Crie uma política de acesso e atribua-a a um usuário ou a um ID de serviço, usando o comando ibmcloud iam user-policy-create.
- Este exemplo atribui o acesso a um recurso individual na conta com a função Administrator para todas as instâncias do sample-service serviço:
```
ibmcloud iam user-policy-create name@example.com --roles Administrator --service-name sample-service
```
- Este exemplo atribui o acesso a Todos os serviços de Gerenciamento de Conta com a função Administrator :
```
ibmcloud iam service-policy-create name@example.com --roles Administrator --account-management
```
- Este exemplo atribui o acesso a Todos os serviços habilitados de Identidade e Acesso com a função Administrator :
```
ibmcloud iam service-policy-create name@example.com --roles Administrator --attributes serviceType=service
```
- Este exemplo atribui o acesso a Todos os serviços de Gerenciamento de Conta IAM com a função Administrator :
```
ibmcloud iam service-policy-create name@example.com --roles Administrator --attributes service_group_id=IAM
```
Limites de apólice aumentados para IDs de serviço estão disponíveis para contas selecionadas. Para aproveitar os limites maiores da política, atribua acesso aos serviços Event Streams ou IBM Cloud Object Storage. Você também deve definir o escopo das políticas de acesso para uma instância de serviço, um tipo de recurso e uma ID de recurso específicos.
- Este exemplo atribui acesso a Object Storage com a função Manager. Ele define o escopo do acesso a uma instância de serviço, tipo de recurso e ID de recurso específicos:
```
ibmcloud iam service-policy-create SERVICE_ID service-name cloud-object-storage --service-instance SERVICE_INSTANCE_GUID --resource-type RESOURCE_TYPE --resource RESOURCE --roles Manager
```

Designando acesso a um grupo de recursos usando a CLI

Insira o comando ibmcloud user-policy-create para designar o acesso a todos os recursos em um grupo de recursos ou a apenas um serviço em um grupo de recursos. Esse exemplo dá ao name@example.com a função Operator do grupo de recursos com o ID dda27e49d2a1efca58083a01dfde18f6:

ibmcloud iam user-policy-create name@example.com --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6

Insira o comando ibmcloud iam service-policy-create para designar o acesso a todos os recursos em um grupo de recursos ou a apenas um serviço em um grupo de recursos. Este exemplo dá ao serviço test a função Administrator do grupo de recursos chamado sample-resource-group:

ibmcloud iam service-policy-create test --roles Administrator --resource-group-name sample-resource-group

Atribuição de acesso para gerenciar um grupo de recursos usando a CLI

É possível atribuir acesso para visualizar ou gerenciar um grupo de recursos sem atribuir acesso ao serviço.

O exemplo a seguir cria uma política para o Viewer de um grupo de recursos específicos:

iam user-policy-create name@example.com --roles Viewer --resource-type resource-group --resource fec6c95e6a0a44c5bcca138bfe5a1f9e

O exemplo a seguir cria uma política para o Viewer de todos os grupos de recursos na conta.

iam user-policy-create name@example.com --roles Viewer --resource-type resource-group

O exemplo a seguir cria uma política para o Viewer de todos os recursos em um grupo de recursos

iam user-policy-create name@example.com --roles Viewer --resource-group-name satellite-test

Designando acesso aos recursos por meio da API

Você pode atribuir acesso a um recurso individual na conta ou acesso a uma lista de recursos na conta chamando a API de gerenciamento de políticas IBM Cloud® Identity and Access Management(IAM), conforme mostrado na solicitação de amostra a seguir. A solicitação de amostra dá acesso à função de Administrator para uma instância de um serviço:

curl -X POST 'https://iam.cloud.ibm.com/v1/policies' -H 'Authorization: Bearer $TOKEN' \
-H 'Content-Type: application/json' -d '{
  "type": "access",
  "description": "Administrator role for SERVICE_NAME's RESOURCE_NAME",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "$SERVICE_NAME"
        },
        {
          "name": "resource",
          "value": "$RESOURCE_NAME",
          "operator": "stringEquals"
        }
      ]
    }
  ]
}'

SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
      .name("iam_id")
      .value("EXAMPLE_USER_ID")
      .build();

PolicySubject policySubjects = new PolicySubject.Builder()
      .addAttributes(subjectAttribute)
      .build();

PolicyRole policyRoles = new PolicyRole.Builder()
      .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
      .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
      .name("accountId")
      .value(exampleAccountId)
      .operator("stringEquals")
      .build();

ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
      .name("serviceName")
      .value("service")
      .operator("stringEquals")
      .build();

PolicyResource policyResources = new PolicyResource.Builder()
      .addAttributes(accountIdResourceAttribute)
      .addAttributes(serviceNameResourceAttribute)
      .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
      .type("access")
      .subjects(Arrays.asList(policySubjects))
      .roles(Arrays.asList(policyRoles))
      .resources(Arrays.asList(policyResources))
      .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);

const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: 'exampleUserId',
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: exampleAccountId,
  operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
  name: 'serviceName',
  value: 'service',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });

policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceName', value='service')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_name_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))

subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr(exampleAccountID),
  Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceName"),
  Value:    core.StringPtr("service"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceNameResourceAttribute}
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

É possível atribuir acesso a um grupo de serviços. Para designar o acesso a Todos os serviços habilitados de Identidade e Acesso, especifique serviceType para o atributo name, e use o value service. Para designar o acesso a Todos os serviços de Gerenciamento de Conta, especifique serviceType para o atributo name, e use o value platform_service. Para designar o acesso ao subconjunto de serviços de gerenciamento de contas Todos os serviços de Gerenciamento de Conta IAM, especifique service_group_id para o atributo name, e use o value IAM.

A solicitação de exemplo a seguir fornece a uma função de ID de serviço Reader acesso a uma instância de Object Storage. Ele define o escopo do acesso a uma instância de serviço, tipo de recurso e ID de recurso específicos:

curl -X POST 'https://iam.cloud.ibm.com/v1/policies' -H 'Authorization: Bearer $TOKEN' -H 'Content-Type: application/json' -d '{
  "type": "access",
  "description": "Reader role for SERVICE_NAME's RESOURCE_NAME",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "$SERVICE_ID"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::serviceRole:Reader"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "cloud-object-storage"
        },,
        {
          "name": "serviceInstance",
          "value": "$INSTANCE_ID",
          "operator": "stringEquals"
        }
        {
          "name": "resourceType",
          "value": "$RESOURCE_TYPE",
          "operator": "stringEquals"
        },
        {
          "name": "resource",
          "value": "$RESOURCE_NAME",
          "operator": "stringEquals"
        }
      ]
    }
  ]
}'

Designando o acesso dentro de um grupo de recursos por meio da API

Essa ação só pode ser executada por meio da IU ou da CLI. Para ver as etapas, alterne para as instruções da IU ou da CLI.

Antes de Iniciar

Antes de poder atribuir acesso a recursos usando Terraform, certise-se de que você concluiu o seguinte:

Instale o CLI Terraform e configure o plug-in do Provedor IBM Cloud Provider para Terraform. Para obter mais informações, veja o tutorial para Introdução ao Terraform em IBM Cloud®. O plug-in abstrai as APIs do IBM Cloud que são usadas para concluir esta tarefa.
Crie um arquivo de configuração do Terraform que seja denominado main.tf. Neste arquivo, você define recursos usando o HashiCorp Configuration Language. Para obter mais informações, consulte a documentação do Terraform.

Atribuindo acesso a recursos usando o Terraform

Para designar o acesso aos recursos usando Terraform, use as seguintes etapas:

Atribua acesso a recursos usando o argumento de recurso ibm_iam_user_policy em seu arquivo main.tf.

O exemplo a seguir dá test@in.ibm.com Viewer role para todas as instâncias do kms service usando ibm_iam_user_policy.
```
resource "ibm_iam_user_policy" "policy" {
 ibm_id = "test@in.ibm.com"
 roles  = ["Viewer"]

resources {
 service = "kms"
}
}
```
Limites de apólice aumentados para IDs de serviço estão disponíveis para contas selecionadas. Para aproveitar os limites maiores da política, atribua acesso aos serviços Event Streams ou IBM Cloud Object Storage. Você também deve definir o escopo das políticas de acesso para uma instância de serviço, um tipo de recurso e uma ID de recurso específicos.

O exemplo a seguir dá a um ID de serviço o acesso de função Reader a uma instância de Object Storage usando ibm_iam_user_policy. Ele define o escopo do acesso a uma instância de serviço, tipo de recurso e ID de recurso específicos:
```
resource "ibm_iam_service_policy" "policy" {
 iam_service_id = "$SERVICE_ID"
 roles          = ["Reader"]

resources {
 service              = "cloud_object_storage"
 resource_instance_id = "$SERVICE_INSTANCE_ID"
 resource_type = "$RESOURCE_TYPE"
 resource      = "$RESOURCE"
}
}
```
É possível especificar o nome do serviço para o qual deseja designar acesso na opção service. Para obter mais informações, consulte os detalhes de referência do argumento na página do Terraform Identity and Access Management(IAM).
Após finalizar a construção do seu arquivo de configuração, inicialize o CLI Terraform. Para obter mais informações, consulte Inicializando as Diretorias de Trabalho.
```
terraform init
```
Provisionar os recursos a partir do arquivo main.tf. Para obter mais informações, consulte Infraestrutura Provisória com Terraform.
1. Execute terraform plan para gerar um plano de execução Terraforme para pré-visualizar as ações propostas.
```
terraform plan
```
2. Execute terraform apply para criar os recursos que estão definidos no plano.
```
terraform apply
```

Atribuindo acesso dentro de um grupo de recursos usando o Terraform

Para designar o acesso dentro de um grupo de recursos usando Terraform, use as seguintes etapas.

Atribua acesso dentro de um grupo de recursos usando o recurso ibm_iam_user_policy em seu arquivo main.tf.

O exemplo a seguir dá test@in.ibm.com Viewer função para grupo de recursos com ID data.ibm_resource_group.group.id usando ibm_iam_user_policy.
```
data "ibm_resource_group" "group" {
 name = "default"
}

resource "ibm_iam_user_policy" "policy" {
 ibm_id = "test@in.ibm.com"
 roles  = ["Viewer"]

resources {
 service           = "containers-kubernetes"
 resource_group_id = data.ibm_resource_group.group.id
}
}
```
Você pode especificar a ID do grupo de recursos ao qual deseja atribuir acesso na opção resource_group_id. Para obter mais informações, consulte os detalhes de referência do argumento na página do Terraform Identity and Access Management(IAM).
Após finalizar a construção do seu arquivo de configuração, inicialize o CLI Terraform. Para obter mais informações, consulte Inicializando as Diretorias de Trabalho.
```
terraform init
```
Provisionar os recursos a partir do arquivo main.tf. Para obter mais informações, consulte Infraestrutura Provisória com Terraform.
1. Execute terraform plan para gerar um plano de execução Terraforme para pré-visualizar as ações propostas.
```
terraform plan
```
2. Execute terraform apply para criar os recursos que estão definidos no plano.
```
terraform apply
```

Removendo acesso no console

A remoção de acesso para um ID de usuário ou de serviço pode levar até 10 minutos para entrar em vigor.

No console da IBM Cloud, clique em Gerenciar > Acesso (IAM), e selecione Usuários ou IDs de serviço, dependendo da identidade que deseja gerenciar.
Selecione o nome do usuário ou o ID de serviço para o qual você deseja remover o acesso.
Na guia Acesso, clique no ícone Ações > Remover na linha da política que você deseja remover.
Revise os detalhes da política que você está prestes a remover e confirme clicando em Remover.

Também é possível remover os IDs de serviço e usuários de grupos de acesso selecionando a caixa de seleção do ID de serviço ou de usuário que você deseja remover e clicando em Remover. Em seguida, clique em Remover novamente para aprovar o processo.

Removendo o acesso por meio da CLI

Para remover uma política do usuário usando a CLI, é possível usar o comando ibmcloud iam user-policy-delete.

ibmcloud iam user-policy-delete USER_ID POLICY_ID [-f, --force]

Para remover uma política de ID de serviço usando a CLI, é possível usar o comando ibmcloud iam service-policy-delete.

ibmcloud iam service-policy-delete SERVICE_ID POLICY_ID [-f, --force]

Removendo o acesso por meio da API

Exclua uma política fornecendo um ID de política e chamando a API de gerenciamento de políticas IBM Cloud® Identity and Access Management(IAM), conforme mostrado na solicitação de amostra a seguir:

curl -X DELETE 'https://iam.cloud.ibm.com/v1/policies/$POLICY_ID' \
-H 'Authorization: Bearer $TOKEN' \
-H 'Content-Type: application/json'

DeletePolicyOptions options = new DeletePolicyOptions.Builder()
      .policyId(examplePolicyId)
      .build();

service.deletePolicy(options).execute();

const params = {
  policyId: examplePolicyId,
};

iamPolicyManagementService.deletePolicy(params)
.then(res => {
  console.log(JSON.stringify(res, null, 2));
})
.catch(err => {
  console.warn(err)
});

response = iam_policy_management_service.delete_policy(
  policy_id=example_policy_id
).get_result()

print(json.dumps(response, indent=2))

options := iamPolicyManagementService.NewDeletePolicyOptions(
  examplePolicyID,
)

response, err := iamPolicyManagementService.DeletePolicy(options)
if err != nil {
  panic(err)
}

Uma política não poderá ser excluída se o ID do assunto contiver um ID de serviço bloqueado.

Revisando o acesso designado no console

Se for necessário revisar o acesso designado em uma conta à qual você foi incluído, conclua as etapas a seguir:

No console da IBM Cloud, clique em Gerenciar > Acesso (IAM), e selecione Usuários ou IDs de serviço, dependendo de qual identidade você deseja revisar.
Selecione seu nome ou o ID de serviço.
Revise o acesso atribuído na guia Acesso.

Caso precise de mais acesso, deve-se entrar em contato com o proprietário da conta para atualizar seu acesso ou com o administrador do serviço ou da instância de serviço para atualizar a política de acesso.

Revisando o acesso designado usando a CLI

Se for necessário revisar o seu acesso designado em uma conta à qual você foi incluído, será possível usar o comando ibmcloud iam user-policies. Este exemplo lista as políticas do usuário name@example.com:

ibmcloud iam user-policies name@example.com

Revisando o acesso designado por meio da API

Ao usar a API, será possível apenas recuperar todas as políticas na conta e filtrar por valores de atributo. Você pode verificar o acesso atribuído em uma conta acessando Manage > Users > your_name > Access no console IBM Cloud. Para recuperar políticas, chame a API de gerenciamento de políticas IBM Cloud® Identity and Access Management(IAM), conforme mostrado na solicitação de amostra a seguir:

curl -X GET 'https://iam.cloud.ibm.com/v1/policies?account_id=$ACCOUNT_ID' \
-H 'Authorization: Bearer $TOKEN' \
-H 'Content-Type: application/json'

ListPoliciesOptions options = new ListPoliciesOptions.Builder()
    .accountId(exampleAccountId)
    .iamId(EXAMPLE_USER_ID)
    .build();

Response<PolicyList> response = service.listPolicies(options).execute();
PolicyList policyList = response.getResult();

System.out.println(policyList);

const params = {
  accountId: exampleAccountId,
  iamId: exampleUserId
};

iamPolicyManagementService.listPolicies(params)
 .then(res => {
   console.log(JSON.stringify(res.result, null, 2));
 })
 .catch(err => {
   console.warn(err)
 });

policy_list = iam_policy_management_service.list_policies(
 account_id=example_account_id, iam_id=example_user_id
).get_result()

print(json.dumps(policy_list, indent=2))

options := iamPolicyManagementService.NewListPoliciesOptions(
 exampleAccountID,
)
options.SetIamID(exampleUserID)

policyList, response, err := iamPolicyManagementService.ListPolicies(options)
if err != nil {
 panic(err)
}
b, _ := json.MarshalIndent(policyList, "", "  ")
fmt.Println(string(b))