IBM Cloud Docs
IAM 访问概念

IAM 访问概念

访问管理的概念由几个相互关联的组件组成,包括用户、服务标识、访问组、可信配置文件、资源、策略、角色、操作以及 IBM Cloud IAM控制系统,该系统允许用户对账户内的资源采取操作。

IBM Cloud IAM遵循一种 最终一致的模型,这种模型在许多云原生服务中很常见。 因此,IAM 可在多个全球区域中保持高可用性和高性能。 对IAM访问策略、授权、服务ID、API密钥、访问组、可信配置文件、资源组、用户或任何其他访问控制所做的更改,都会记录下来并传播到全球所有IAM组件和启用IAM的服务中。 访问权更改可能要到传播过程完成之后才会生效。

访问组

可以对一组用户和服务ID进行组织,以便通过一个或多个策略为组内的所有成员分配相同的访问权限。 通过访问组,您可以简化访问分配流程,从而减少需要管理的策略数量,降低账户中的策略数量,进而提高性能。 访问组允许您仅通过在访问组中添加或除去用户或服务标识来授予和撤销访问权。 设置组后,可以通过选择作为策略主体的访问组来开始分配策略。 有关更多信息,请参阅 用于简化访问管理的访问组

可信概要文件

通过可信概要文件,您可以在自己的公司目录中管理用户的身份。 此外,您可以集中管理联合用户的多个 IBM Cloud 帐户和资产的访问生命周期,而无需为每个帐户中的每个实体配置访问策略。 您无需邀请用户加入您的帐户,即可让他们访问 IBM Cloud 资源。

您还可以为在计算资源中运行的所有应用程序定义细颗粒度授权,而无需创建服务标识或管理应用程序的 API 密钥生命周期。 要开始为组织创建可信概要文件,请参阅 不需要管理凭证的可信概要文件

资源

帐户资源是从服务实例 (例如 IBM Cloud® Object Storage 存储区) 中的目录或细颗粒度资源中选择的服务实例。 启用IAM的资源在从目录创建时会被添加到资源组中。

IAM访问管理可实现精细访问,这意味着可以针对资源组中的所有资源、账户中的特定服务实例,甚至特定实例中的资源类型(如 IBM Cloud Object Storage 存储桶)制定广泛策略。

访问策略

访问策略是向帐户中的用户,服务标识,访问组和可信概要文件授予访问权以及对帐户资源执行操作的方式。 策略包括主体、目标和角色。 主体是要为其提供访问权的用户、服务标识或访问组。 策略的目标是要提供其访问权的资源。 而 IAM 角色用于定义策略目标上的访问级别或允许的操作。

策略为主体分配一个或多个角色 (定义访问级别) 和一个或多个属性 (定义策略允许访问的目标)。 策略可以提供对实例级别的单个服务的访问权,对资源组中组织在一起的一组资源的访问权,或者对可由一组属性 (例如,位置或资源类型) 定义的任何一组资源的访问权。 策略还可以提供对帐户管理服务的访问权。 根据您分配的 IAM 角色,用户可以拥有不同程度的访问权限,用于完成账户管理任务、处理服务实例或通过控制台访问服务或完成 API 调用。

有多种类型的策略允许用户和服务 ID 访问帐户资源:资源组策略、资源实例策略、用于访问所有启用 IAM 的服务或指定服务的所有实例的帐户范围策略,以及关于所有或一个帐户管理服务的策略。 根据您的选择,自定义配置选项(例如定义对特定位置资源的访问权限,或定义对实例中特定服务资源的粒度级访问权限)可能可用。

除了用户和服务标识的访问策略外,还有一种称为授权的策略类型,允许特定服务或服务实例访问其他服务。 您可以在 使用授权在服务之间授予访问权 文档中了解有关在服务之间分配访问权的更多信息。

角色

IBM Cloud 访问角色是一组操作。 访问角色允许用户和服务标识在策略中定义的目标资源的上下文中完成特定任务。 有两种预定义的访问角色:平台管理和服务访问。 第三种类型的访问角色是您可以为服务创建的定制角色,以组合任何一组可用操作来满足您的组织需求。

平台管理角色定义了允许的操作,例如分配用户访问权限和创建服务实例,以便在平台层面管理资源。 平台角色也适用于账户管理服务范围内的操作,例如邀请和删除用户、管理访问组、管理服务ID以及私人目录产品。

服务访问角色定义允许的操作,例如调用服务 API 或访问服务的仪表板。 这些角色基于策略中所选服务进行定制。

在控制台中分配访问权时,您可以在角色旁边查看映射到每个角色的操作数,并向下钻取到该列表以准确查看每个角色所允许的内容。

有关更多信息,请参阅 IAM 角色

操作

操作映射到 IBM Cloud IAM角色,以便用户在分配到不同角色时只能执行特定的任务。 有时,行为也被称为权限或操作。 每个角色在每次角色切换时所允许的操作取决于所访问的服务,因为每个服务都定义了该角色与该服务的使用之间的映射关系。 有关更多信息,请参阅 IAM 角色和操作

企业管理的 IAM 模板

企业管理的 IAM 模板是一个有用的工具,用于在 企业在云环境中进行集中帐户和计费管理的帐户的分层结构。中标准化访问管理和帐户安全设置。 模板允许您以一致的方式定义常用访问组,可信概要文件和安全设置,确保在整个企业中统一应用安全策略。 这对于符合组织标准尤其重要,这可能要求在所有或某些帐户中一致地配置某些访问管理和安全设置。 通过使用 IAM 模板,您可以简化安全策略的管理,降低配置错误或人为错误的风险,并改善整体安全态势。 有关更多信息,请参阅 企业管理的 IAM 如何工作

子帐户中的企业管理的 IAM 资源具有标记 enterprise-managed

操作控件

操作控件强制实施您的首选项,子帐户管理员可以对其帐户中的企业管理的 IAM 资源执行这些操作。 您可能希望允许子帐户管理员将成员添加到您在其帐户中分配的企业管理的访问组。 在这种情况下,您可以启用用于添加成员的操作控件。 或者,您可能希望禁止子帐户管理员向可信概要文件添加新策略。 缺省情况下,操作控件会限制子帐户管理员对其帐户中的企业管理的 IAM 资源进行更改。

访问管理系统

IBM Cloud IAM 控制系统允许或拒绝用户或服务标识根据其分配的访问策略在服务上下文中执行操作。 缺省情况下,每个用户和服务标识都没有访问权。 添加的每个访问策略使用户或服务标识能够根据访问策略中选择的指定目标和角色在帐户中执行操作。 用户尝试完成特定操作时,控制系统会使用策略中定义的属性来确定用户是否有权执行该任务。 有关更多信息,请参阅 IBM Cloud IAM 工作方式

什么是 ABAC 和 RBAC?

云提供者中有两种常见类型的 IAM 系统,了解其中每种模型可帮助您更好地了解 IAM 在 IBM Cloud中的工作方式。

  • 基于属性的访问控制 (ABAC) 使用来自身份的属性,例如用户和服务标识,环境和资源。 这些属性由访问决策引擎用于确定是应该允许还是拒绝访问请求。 与基于角色的访问控制系统相比,ABAC 提供了更多的灵活性,控制和功能。 当需要细颗粒度访问控制时,或者如果需要由同一决策引擎解决各种各样的访问控制用例时,通常会使用 ABAC。 ABAC 通过提供细颗粒度的访问控制来帮助降低安全风险,并且通常更加复杂,尤其是在初始设置期间。

  • 基于角色的访问控制 (RBAC) 使用从身份 (例如用户或服务标识) 到角色的映射。 RBAC 角色定义具有 RBAC 角色的身份可以对资源进行的访问类型。 通常可以授予对资源类型或资源分组的访问权。 RBAC 角色通常是根据组织内的工作职责定义的。 RBAC 角色授予身份执行其作业所需的访问权。 这是一个简单的模型,因为 IAM 管理员管理 RBAC 角色到身份的映射。 RBAC 角色设置可以比 ABAC 初始设置更简单。

IBM Cloud IAM 通过使用身份和资源属性来使用 ABAC 模型。IBM Cloud IAM 使用访问策略来存储 IAM 访问决策引擎所需的属性信息。 此外,访问策略会告诉 IAM 决策引擎,该决策引擎是策略的作者授予对资源的访问权所需的属性。

身份的受支持属性为 iam_id 和访问组标识。 资源的受支持属性属于下列其中一个类别:

  • 资源 CRN 中定义的字段,例如服务名称。
  • 系统范围定义的资源属性,例如资源组。
  • 特定于服务的资源属性,例如名称空间或存储区。

每个服务定义其管理的资源的受支持属性。 有关更多信息,请参阅您正在使用的服务的文档。

IBM Cloud IAM 中的最佳实践是使用访问组来管理身份的访问权。 在定义访问组访问策略之后,授予和撤销访问权只是向访问组添加身份或从访问组中除去身份的问题。 用户或服务标识可以属于管理员想要的任意数量的访问组,并且该组的成员将继承分配给该访问组的所有访问权。 此方法通过 RBAC 的简单性提供 ABAC 的细颗粒度访问优势。

熟悉 RBAC 的 IAM 管理员可以使用访问组来模拟 RBAC 模型。 从概念上讲,访问组类似于 RBAC 角色。 如果您更熟悉使用传统 RBAC 角色 (例如,系统管理员,网络管理员或存储管理员),那么可以使用具有分配给每个角色的特定访问策略的访问组在 IBM Cloud IAM 中定义这些角色。 有关使用访问组和最佳实践来分配访问权的更多信息,请参阅 用于组织资源和分配访问权的最佳实践

例如,您可以创建名为 Storage Administrators 的访问组。 首次创建时,不会向访问组的任何成员授予任何访问权。 然后,可以向访问组分配策略,将管理员角色授予当前帐户中的所有存储资源以及将来将创建的任何存储资源。 如果新用户加入团队,并且他们在组织中的工作是帐户的存储管理员,那么可以简单地将他们添加到访问组并具有执行其工作所需的所有访问权。

这是一个简单的示例,但该方法可以应用于组织中的任何工作,角色或责任。 分配给访问组的访问策略可以是细颗粒度的,允许用例 (例如,特定资源组中所有存储器的存储器管理员),甚至仅适用于特定存储器类型。

有关快速启动和运行 IBM Cloud IAM 的更多信息,请通过设置访问组以进行快速访问分配,邀请用户加入您的帐户并管理其访问权,请参阅 分配对资源的访问权