分配对帐户管理服务的访问权
作为帐户所有者或帐户管理服务的管理员,您可以授予用户访问权限,邀请用户加入帐户,跟踪账单和使用情况,以及处理支持案例。 具有帐户管理访问策略的用户还可以管理 Security and Compliance Center 服务的服务标识,访问策略,商品,访问组和资源,以及使用基于上下文的限制。
在控制台中分配访问权
要分配对单个或所有帐户管理服务的访问权,请完成以下步骤:
- 在 IBM Cloud® 控制台中,点击管理 > 访问(IAM ),然后选择用户。
- 单击要分配访问权的用户,然后转至 访问权 > 分配访问权。
- 如需服务,请选择 “所有账户管理服务” 或选择特定的账户管理服务。 然后,单击下一步。
- 限定对 所有资源 或 特定资源的访问范围。 然后,单击下一步。
- 选择角色或许可权的任意组合,然后单击 复审。
- 单击 添加 以将策略配置添加到策略摘要。
- 单击分配。
为了授予其他用户完全访问权限,以便管理用户访问权限和所有启用IAM的账户资源,您必须分配两个策略。 要创建第一个策略,请选择具有管理员平台角色和管理员服务角色的 所有启用身份和访问权的服务。 要创建第二个策略,请选择 所有帐户管理服务,并分配有管理员角色。
具有帐户管理服务管理员角色的用户可以更改其他用户的访问权,并从帐户中除去用户,包括具有管理员角色的其他用户。
帐户管理服务的操作和角色
下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。
所有帐户管理服务
为了快速为用户提供各种账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。
授予用户对 所有帐户管理服务 组的访问权,以便他们可以使用以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
- 计费
- 目录管理
- 基于上下文的限制
- 企业
- 全局目录
- IBM Cloud Shell 设置
- 许可证和权利
- 合作伙伴中心
- 合作伙伴中心-销售
- 项目
- Security and Compliance Center
- 软件实例
- 支持中心
| 角色 | 操作 |
|---|---|
| 查看者 | 帐户管理服务的所有查看者角色操作 |
| 运算符 | 帐户管理服务的所有操作员角色操作 |
| 编辑者 | 帐户管理服务的所有编辑者角色操作以及创建资源组的能力 |
| 管理员 | 帐户管理服务的所有管理员角色操作以及创建资源组的能力 |
所有 IAM 帐户管理服务
Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对 所有 IAM 帐户管理服务 组的访问权,以便他们可以使用以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
| 角色 | 操作 |
|---|---|
| 查看者 | IAM 服务的所有查看者角色操作 |
| 运算符 | IAM 服务的所有操作员角色操作 |
| 编辑者 | IAM服务的所有编辑角色操作以及创建资源组的功能 |
| 管理员 | IAM服务所有管理员角色操作以及创建资源组的能力 |
| 用户 API 密钥创建者 | 启用限制API密钥创建的账户设置时,创建API密钥 |
| 服务标识创建者 | 启用限制服务ID创建的账户设置时,创建服务ID |
| 模板管理员 | 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。 |
| 模板分配管理员 | 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。 |
您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。
计费
您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户功能设置
查看帐户中的预订 查看帐户名称 查看预订余额和跟踪使用情况 |
| 运算符 | 查看帐户功能设置
查看帐户中的预订 查看和更改帐户名称 |
| 编辑者 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新开支限制 设置开支通知 查看预订余额和跟踪使用情况 |
| 管理员 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新支出限制 设置支出通知 查看预订余额和跟踪使用情况 创建企业 |
可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。
目录管理
您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看为 IBM Cloud 目录
查看专用目录设置的帐户级别过滤器 |
| 运算符 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 编辑者 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 管理员 | 为 IBM Cloud 目录
创建,更新和删除专用目录 发布 IBM核准的产品 分配访问策略 |
| 发布程序 | 从专用目录发布由 IBM 核准的产品 |
基于上下文的限制
您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。
“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看网络区域 |
| 编辑者 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
| 管理员 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
企业
可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看企业、帐户组和帐户 |
| 运算符 | 不适用 |
| 编辑者 | 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。 |
| 管理员 | 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告 |
| 使用情况报告查看者 | 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。 |
全局目录
您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看私有服务 |
| 运算符 | 查看私有服务 |
| 编辑者 | 更改对象元数据,但不能更改私有服务的可视性 |
| 管理员 | 更改对象元数据或私有服务的可视性,并限制公共服务的可视性 |
IAM 访问组
您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问组和成员 |
| 运算符 | 不适用 |
| 编辑者 | 查看,创建,编辑和删除组
添加或除去组中的用户 |
| 管理员 | 查看,创建,编辑和删除组
添加或除去用户 (包括其他管理员) 分配对组的访问权 管理对使用访问组的访问权 在帐户级别启用或禁用对资源的公共访问权 |
IAM 访问管理服务
您可以授予用户管理访问策略和定制角色的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问策略和定制角色 |
| 运算符 | 查看访问策略和定制角色 |
| 编辑者 | 查看和编辑定制角色
查看 IAM 洞察,策略和设置 |
| 管理员 | 查看,创建,编辑和删除定制角色
查看和更新 IAM 设置 分配对组的访问权 查看,创建,编辑和删除访问策略 |
角色管理
您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。 IAM 访问权管理服务的子服务。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看定制角色 |
| 运算符 | 不适用 |
| 编辑者 | 编辑和更新帐户中的定制角色 |
| 管理员 | 在帐户中创建,编辑,更新和删除定制角色 |
IAM 身份服务
您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看标识 |
| 运算符 | 创建和删除标识和 API 密钥
查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 删除可信概要文件 |
| 编辑者 | 创建和更新标识和 API 密钥
查看和更新 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 更新可信概要文件 |
| 管理员 | 创建,更新和删除标识和 API 密钥
将访问策略分配给标识 查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 创建可信概要文件 |
| 用户 API 密钥创建者 | 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。 |
| 服务标识创建者 | 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。 |
IBM Cloud Shell 设置
您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 不适用 |
| 管理员 | 查看和更新 IBM Cloud Shell 设置 |
| 云操作员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源。 |
| 云开发人员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。 |
| File Manager | 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。 |
许可证和权利
您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。 |
| 管理员 | 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。 |
Platform Analytics
您可以授予用户查看、创建和共享数据图表的权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看、搜索、创建、更新和共享数据和图表 |
| 管理员 | 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。 |
合作伙伴中心
您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。 |
| 编辑者 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
| 运算符 | |
| 管理员 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
合作伙伴中心-销售
您可以授予用户对板载,验证和发布产品的访问权。
| 角色 | 操作 |
|---|---|
| 管理员 | 创建,编辑,验证和发布产品 |
| 编辑者 | 验证和编辑产品 |
| 核准人 | 核准或拒绝工作流程实例的任务 |
项目
您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看有关项目,配置和部署的详细信息。 |
| 运算符 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 |
| 编辑者 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源 |
| 管理员 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源。 强制核准验证失败的更改 |
Security and Compliance Center
您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看可用概要文件和附件
查看已创建的资源,例如作用域,凭证或规则 查看服务的全局设置 |
| 运算符 | 访问 Security and Compliance Center 仪表板以查看当前状态和结果
创建审计日志以监视合规性活动 |
| 编辑者 | 创建,更新或删除对象 (例如作用域,凭证和收集器)
更新目标的参数设置 创建,更新或删除规则和模板 编辑服务的全局管理设置 |
| 管理员 | 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。 |
| 管理者 | 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 |
| 读者 | 在服务中执行只读操作,例如查看服务特定的资源。 |
| 写入者 | 超出读者角色的权限,包括创建和编辑特定于服务的资源。 |
软件实例
您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看软件实例详细信息页面 |
| 运算符 | 更新软件实例
查看软件实例的详细信息页面 |
| 编辑者 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 |
| 管理员 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 查看软件实例的日志 分配 IAM 许可权 |
支持中心
您可以授予用户管理支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看案例
搜索案例 |
| 运算符 | 不适用 |
| 编辑者 | 查看案例
搜索案例 更新案例 创建案例 |
| 管理员 | 查看案例
搜索案例 更新案例 创建案例 |
为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。
用户管理
您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户中的用户
查看用户概要文件设置 |
| 运算符 | 查看帐户中的用户
查看用户概要文件设置 |
| 编辑者 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
| 管理员 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。
Activity Tracker Event Routing
您可以授予用户运行平台操作的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 运算符 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 编辑者 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。 |
| 管理员 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。 |
帐户管理服务名称
如果要使用 CLI 或 API 分配访问权,那么帐户管理服务将使用以下属性和值:
| 帐户管理服务 | 属性和值 |
|---|---|
| 所有帐户管理服务 | serviceType=platform_service |
| 所有 IAM 帐户管理服务 | service_group_id=IAM |
| 计费 | serviceName=billing |
| 目录管理 | serviceName=globalcatalog-collection |
| 基于上下文的限制 | serviceName=context-based-restrictions |
| 企业 | serviceName=enterprise |
| 全局目录 | serviceName=globalcatalog |
| IAM 访问组服务 | serviceName=iam-groups |
| IAM 身份服务 | serviceName=iam-identity |
| IBM Cloud Shell | serviceName=cloudshell |
| 许可证和权利 | serviceName=entitlement |
| 项目 | serviceName=project |
| 角色管理 | serviceName=iam-access-management |
| Security and Compliance Center | serviceName=security-compliance |
| 支持中心 | serviceName=support |
| 用户管理 | serviceName=user-management |
使用 API 分配访问权
以下示例分配对 IAM 访问组帐户管理服务具有管理员角色的策略。
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceName",
"value": "iam-groups"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
.name("serviceName")
.value("iam-groups")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceNameResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
name: 'serviceName',
value: 'iam-groups',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_name_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceName"),
Value: core.StringPtr("iam-groups"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceNameResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
以下示例在 所有帐户管理服务上分配具有管理员角色的策略。
curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
"type": "access",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceType",
"value": "platform-service"
}
]
}
]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
.name("iam_id")
.value("EXAMPLE_USER_ID")
.build();
PolicySubject policySubjects = new PolicySubject.Builder()
.addAttributes(subjectAttribute)
.build();
PolicyRole policyRoles = new PolicyRole.Builder()
.roleId("crn:v1:bluemix:public:iam::::role:Administrator")
.build();
ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
.name("accountId")
.value("exampleAccountId")
.operator("stringEquals")
.build();
ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
.name("serviceType")
.value("platform-service")
.operator("stringEquals")
.build();
PolicyResource policyResources = new PolicyResource.Builder()
.addAttributes(accountIdResourceAttribute)
.addAttributes(serviceTypeResourceAttribute)
.build();
CreatePolicyOptions options = new CreatePolicyOptions.Builder()
.type("access")
.subjects(Arrays.asList(policySubjects))
.roles(Arrays.asList(policyRoles))
.resources(Arrays.asList(policyResources))
.build();
Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();
System.out.println(policy);
const policySubjects = [
{
attributes: [
{
name: 'iam_id',
value: "exampleUserId",
},
],
},
];
const policyRoles = [
{
role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
},
];
const accountIdResourceAttribute = {
name: 'accountId',
value: 'exampleAccountId',
operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
name: 'serviceType',
value: 'platform-service',
operator: 'stringEquals',
};
const policyResources = [
{
attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
},
];
const params = {
type: 'access',
subjects: policySubjects,
roles: policyRoles,
resources: policyResources,
};
iamPolicyManagementService.createPolicy(params)
.then(res => {
examplePolicyId = res.result.id;
console.log(JSON.stringify(res.result, null, 2));
})
.catch(err => {
console.warn(err)
});
policy_subjects = PolicySubject(
attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
name='serviceType', value='platform-service')
policy_resources = PolicyResource(
attributes=[account_id_resource_attribute,
service_type_resource_attribute])
policy = iam_policy_management_service.create_policy(
type='access',
subjects=[policy_subjects],
roles=[policy_roles],
resources=[policy_resources]
).get_result()
print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
Name: core.StringPtr("iam_id"),
Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("accountId"),
Value: core.StringPtr("ACCOUNT_ID"),
Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
Name: core.StringPtr("serviceType"),
Value: core.StringPtr("platform-service"),
Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
Attributes: []iampolicymanagementv1.ResourceAttribute{
*accountIDResourceAttribute, *serviceTypeResourceAttribute},
}
options := iamPolicyManagementService.NewCreatePolicyOptions(
"access",
[]iampolicymanagementv1.PolicySubject{*policySubjects},
[]iampolicymanagementv1.PolicyRole{*policyRoles},
[]iampolicymanagementv1.PolicyResource{*policyResources},
)
policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
panic(err)
}
b, _ := json.MarshalIndent(policy, "", " ")
fmt.Println(string(b))
帐户管理服务的操作和角色
下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。
所有帐户管理服务
为了快速为用户提供各种账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。
所有帐户管理服务 组包含以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
- 计费
- 目录管理
- 基于上下文的限制
- 企业
- 全局目录
- IBM Cloud Shell 设置
- 许可证和权利
- 合作伙伴中心
- 合作伙伴中心-销售
- 项目
- Security and Compliance Center
- 软件实例
- 支持中心
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 帐户管理服务的所有查看者角色操作 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 帐户管理服务的所有操作员角色操作 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 帐户管理服务的所有编辑者角色操作以及创建资源组的能力 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 帐户管理服务的所有管理员角色操作以及创建资源组的能力 | crn:v1:bluemix:public:iam::::role:Administrator |
所有 IAM 帐户管理服务
Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | IAM 服务的所有查看者角色操作 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | IAM 服务的所有操作员角色操作 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | IAM服务的所有编辑角色操作以及创建资源组的功能 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | IAM服务所有管理员角色操作以及创建资源组的能力 | crn:v1:bluemix:public:iam::::role:Administrator |
| 用户 API 密钥创建者 | 启用限制API密钥创建的账户设置时,创建API密钥 | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
| 服务标识创建者 | 启用限制服务ID创建的账户设置时,创建服务ID | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
| 模板管理员 | 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。 | crn:v1:bluemix:public:iam::::role:TemplateAdministrator |
| 模板分配管理员 | 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。 | crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator |
您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。
计费
您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看帐户功能设置
查看帐户中的预订 查看帐户名称 查看预订余额和跟踪使用情况 |
crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看帐户功能设置
查看帐户中的预订 查看和更改帐户名称 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新开支限制 设置开支通知 查看预订余额和跟踪使用情况 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新支出限制 设置支出通知 查看预订余额和跟踪使用情况 创建企业 |
crn:v1:bluemix:public:iam::::role:Administrator |
可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。
目录管理
您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看为 IBM Cloud 目录
查看专用目录设置的帐户级别过滤器 |
crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 为 IBM Cloud 目录
创建,更新和删除专用目录 发布 IBM核准的产品 分配访问策略 |
crn:v1:bluemix:public:iam::::role:Administrator |
| 发布程序 | 从专用目录发布由 IBM 核准的产品 | crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter |
基于上下文的限制
您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。
“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看网络区域 | crn:v1:bluemix:public:iam::::role:Viewer |
| 编辑者 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
crn:v1:bluemix:public:iam::::role:Administrator |
您可以授予用户查看,创建,更新和除去基于上下文的限制和网络区域的访问权。
企业
可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看企业、帐户组和帐户 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 不适用 | |
| 编辑者 | 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告 | crn:v1:bluemix:public:iam::::role:Administrator |
| 使用情况报告查看者 | 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。 | crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer |
全局目录
您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看私有服务 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 不适用 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 更改对象元数据,但不能更改私有服务的可视性 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 更改对象元数据或私有服务的可视性,并限制公共服务的可视性 | crn:v1:bluemix:public:iam::::role:Administrator |
IAM 访问组
您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看访问组和成员 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 不适用 | |
| 编辑者 | 查看,创建,编辑和删除组
添加或除去组中的用户 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看,创建,编辑和删除组
添加或除去用户 分配对组的访问权 管理对使用访问组的访问权 在帐户级别启用或禁用对资源的公共访问权 |
crn:v1:bluemix:public:iam::::role:Administrator |
IAM 访问管理服务
您可以授予用户管理访问策略和定制角色的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看访问策略和定制角色 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看访问策略和定制角色 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看和编辑定制角色
查看 IAM 洞察,策略和设置 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看,创建,编辑和删除定制角色
查看和更新 IAM 设置 分配对组的访问权 查看,创建,编辑和删除访问策略 |
crn:v1:bluemix:public:iam::::role:Administrator |
角色管理
您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看定制角色 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 不适用 | |
| 编辑者 | 编辑和更新帐户中的定制角色 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 在帐户中创建,编辑,更新和删除定制角色 | crn:v1:bluemix:public:iam::::role:Administrator |
IAM 身份服务
您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看标识 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 创建和删除标识和 API 密钥
查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 删除可信概要文件 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 创建和更新标识和 API 密钥
查看和更新 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 更新可信概要文件 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 创建,更新和删除标识和 API 密钥
将访问策略分配给标识 查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 创建可信概要文件 |
crn:v1:bluemix:public:iam::::role:Administrator |
| 用户 API 密钥创建者 | 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。 | crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator |
| 服务标识创建者 | 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。 | crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator |
IBM Cloud Shell 设置
您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 不适用 | |
| 运算符 | 不适用 | |
| 编辑者 | 不适用 | |
| 管理员 | 查看和更新 IBM Cloud Shell 设置 | crn:v1:bluemix:public:iam::::role:Administrator |
| 云操作员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源。 | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator |
| 云开发人员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。 | crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper |
| File Manager | 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。 | crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager |
许可证和权利
您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 不适用 | |
| 运算符 | 不适用 | |
| 编辑者 | 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。 | crn:v1:bluemix:public:iam::::role:Administrator |
Platform Analytics
您可以授予用户查看、创建和共享数据图表的权限。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看、搜索、创建、更新和共享数据和图表 | crn:v1:bluemix:public:iam::::role:Viewer |
| 管理员 | 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。 | crn:v1:bluemix:public:iam::::role:Administrator |
合作伙伴中心
您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。 | crn:v1:bluemix:public:iam::::role:Viewer |
| 编辑者 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 | crn:v1:bluemix:public:iam::::role:Editor |
| 运算符 | ||
| 管理员 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 | crn:v1:bluemix:public:iam::::role:Administrator |
合作伙伴中心-销售
您可以授予用户对板载,验证和发布产品的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 管理员 | 创建,编辑,验证和发布产品 | |
| 编辑者 | 验证和编辑产品 | crn:v1:bluemix:public:iam::::role:Editor |
| 核准人 | 核准或拒绝工作流程实例的任务 | crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover |
项目
您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看有关项目,配置和部署的详细信息。 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源。 强制核准验证失败的更改 |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看可用概要文件和附件
查看已创建的资源,例如作用域,凭证或规则 查看服务的全局设置 |
crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 访问 Security and Compliance Center 仪表板以查看当前状态和结果
创建审计日志以监视合规性活动 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 创建,更新或删除对象 (例如作用域,凭证和收集器)
更新目标的参数设置 创建,更新或删除规则和模板 编辑服务的全局管理设置 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。 | crn:v1:bluemix:public:iam::::role:Administrator |
| 管理者 | 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 | crn:v1:bluemix:public:iam::::serviceRole:Manager |
| 读者 | 在服务中执行只读操作,例如查看服务特定的资源。 | crn:v1:bluemix:public:iam::::serviceRole:Reader |
| 写入者 | 超出读者角色的权限,包括创建和编辑特定于服务的资源。 | crn:v1:bluemix:public:iam::::serviceRole:Writer |
软件实例
您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看软件实例详细信息页面 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 更新软件实例
查看软件实例的详细信息页面 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 查看软件实例的日志 分配 IAM 许可权 |
crn:v1:bluemix:public:iam::::role:Administrator |
支持中心
您可以授予用户管理支持案例的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看案例
搜索案例 |
crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 不适用 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看案例
搜索案例 更新案例 创建案例 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看案例
搜索案例 更新案例 创建案例 |
crn:v1:bluemix:public:iam::::role:Administrator |
为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么可以限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。
用户管理
您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看帐户中的用户
查看用户概要文件设置 |
crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看帐户中的用户
查看用户概要文件设置 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
crn:v1:bluemix:public:iam::::role:Administrator |
用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。
Activity Tracker Event Routing
您可以授予用户运行平台操作的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。 | crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。 |
crn:v1:bluemix:public:iam::::role:Administrator |
帐户管理服务名称
如果要使用 CLI 或 API 分配访问权,那么帐户管理服务将使用以下属性和值:
| 帐户管理服务 | 属性和值 |
|---|---|
| 所有帐户管理服务 | serviceType=platform_service |
| 所有 IAM 帐户管理服务 | service_group_id=IAM |
| 计费 | serviceName=billing |
| 目录管理 | serviceName=globalcatalog-collection |
| 基于上下文的限制 | serviceName=context-based-restrictions |
| 企业 | serviceName=enterprise |
| 全局目录 | serviceName=globalcatalog |
| IAM 访问组服务 | serviceName=iam-groups |
| IAM 身份服务 | serviceName=iam-identity |
| IBM Cloud Shell | serviceName=cloudshell |
| 许可证和权利 | serviceName=entitlement |
| 项目 | serviceName=project |
| 角色管理 | serviceName=iam-access-management |
| Security and Compliance Center | serviceName=security-compliance |
| 支持中心 | serviceName=support |
| 用户管理 | serviceName=user-management |
使用 CLI 分配访问权
要分配访问权,请运行 user-policy-create 命令。 有关更多信息,请参阅 ibmcloud iam user-policy-create。 以下示例命令为 IAM 身份帐户管理服务分配具有用户 API 密钥创建者角色的策略。
ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity
有关要在 CLI 命令中用于每个帐户管理服务的服务名称,请参阅表 1。 但是,对于 CLI 中所有帐户管理服务的策略,请使用 --account-management 而不是 --service-name SERVICE_NAME。 对于多个词的角色,请使用带引号的显示名称。
以下示例命令为所有帐户管理服务分配具有管理员角色的策略。
ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service
帐户管理服务的操作和角色
下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。
所有帐户管理服务
为了快速为用户提供一系列账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。
所有帐户管理服务 组包含以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
- 计费
- 目录管理
- 基于上下文的限制
- 企业
- 全局目录
- IBM Cloud Shell 设置
- 许可证和权利
- 合作伙伴中心
- 合作伙伴中心-销售
- 项目
- Security and Compliance Center
- 软件实例
- 支持中心
| 角色 | 操作 |
|---|---|
| 查看者 | 帐户管理服务的所有查看者角色操作 |
| 运算符 | 帐户管理服务的所有操作员角色操作 |
| 编辑者 | 帐户管理服务的所有编辑者角色操作以及创建资源组的能力 |
| 管理员 | 帐户管理服务的所有管理员角色操作以及创建资源组的能力 |
所有 IAM 帐户管理服务
Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
| 角色 | 操作 |
|---|---|
| 查看者 | IAM 服务的所有查看者角色操作 |
| 运算符 | IAM 服务的所有操作员角色操作 |
| 编辑者 | IAM服务的所有编辑角色操作以及创建资源组的功能 |
| 管理员 | IAM服务所有管理员角色操作以及创建资源组的能力 |
| 用户 API 密钥创建者 | 启用限制API密钥创建的账户设置时,创建API密钥 |
| 服务标识创建者 | 启用限制服务ID创建的账户设置时,创建服务ID |
| 模板管理员 | 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。 |
| 模板分配管理员 | 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。 |
您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。
计费
您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户功能设置
查看帐户中的预订 查看帐户名称 查看预订余额和跟踪使用情况 |
| 运算符 | 查看帐户功能设置
查看帐户中的预订 查看和更改帐户名称 |
| 编辑者 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新开支限制 设置开支通知 查看预订余额和跟踪使用情况 |
| 管理员 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新支出限制 设置支出通知 查看预订余额和跟踪使用情况 创建企业 |
可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。
目录管理
您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看为 IBM Cloud 目录
查看专用目录设置的帐户级别过滤器 |
| 运算符 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 编辑者 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 管理员 | 为 IBM Cloud 目录
创建,更新和删除专用目录 发布 IBM核准的产品 分配访问策略 |
| 发布程序 | 从专用目录发布由 IBM 核准的产品 |
基于上下文的限制
您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。
“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看网络区域 |
| 编辑者 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
| 管理员 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
企业
可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看企业、帐户组和帐户 |
| 运算符 | 不适用 |
| 编辑者 | 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。 |
| 管理员 | 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告 |
| 使用情况报告查看者 | 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。 |
全局目录
您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看私有服务 |
| 运算符 | 不适用 |
| 编辑者 | 更改对象元数据,但不能更改私有服务的可视性 |
| 管理员 | 更改对象元数据或私有服务的可视性,并限制公共服务的可视性 |
IAM 访问组
您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问组和成员 |
| 运算符 | 不适用 |
| 编辑者 | 查看,创建,编辑和删除组
添加或除去组中的用户 |
| 管理员 | 查看,创建,编辑和删除组
添加或除去用户 分配对组的访问权 管理对使用访问组的访问权 在帐户级别启用或禁用对资源的公共访问权 |
IAM 访问管理服务
您可以授予用户管理访问策略和定制角色的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问策略和定制角色 |
| 运算符 | 查看访问策略和定制角色 |
| 编辑者 | 查看和编辑定制角色
查看 IAM 洞察,策略和设置 |
| 管理员 | 查看,创建,编辑和删除定制角色
查看和更新 IAM 设置 分配对组的访问权 查看,创建,编辑和删除访问策略 |
角色管理
您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看定制角色 |
| 运算符 | 不适用 |
| 编辑者 | 编辑和更新帐户中的定制角色 |
| 管理员 | 在帐户中创建,编辑,更新和删除定制角色 |
IAM 身份服务
您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看标识 |
| 运算符 | 创建和删除标识和 API 密钥
查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 删除可信概要文件 |
| 编辑者 | 创建和更新标识和 API 密钥
查看和更新 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 更新可信概要文件 |
| 管理员 | 创建,更新和删除标识和 API 密钥
将访问策略分配给标识 查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 创建可信概要文件 |
| 用户 API 密钥创建者 | 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。 |
| 服务标识创建者 | 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。 |
IBM Cloud Shell 设置
您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 不适用 |
| 管理员 | 查看和更新 IBM Cloud Shell 设置 |
| 云操作员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源。 |
| 云开发人员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。 |
| File Manager | 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。 |
许可证和权利
您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。 |
| 管理员 | 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。 |
Platform Analytics
您可以授予用户查看、创建和共享数据图表的权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看、搜索、创建、更新和共享数据和图表 |
| 管理员 | 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。 |
合作伙伴中心
您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。 |
| 编辑者 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
| 运算符 | |
| 管理员 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
合作伙伴中心-销售
您可以授予用户对板载,验证和发布产品的访问权。
| 角色 | 操作 |
|---|---|
| 管理员 | 创建,编辑,验证和发布产品 |
| 编辑者 | 验证和编辑产品 |
| 核准人 | 核准或拒绝工作流程实例的任务 |
项目
您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。
| 角色 | 操作 | role_ID 值 |
|---|---|---|
| 查看者 | 查看有关项目,配置和部署的详细信息。 | crn:v1:bluemix:public:iam::::role:Viewer |
| 运算符 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 |
crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源 |
crn:v1:bluemix:public:iam::::role:Editor |
| 管理员 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源。 强制核准验证失败的更改 |
crn:v1:bluemix:public:iam::::role:Administrator |
Security and Compliance Center
您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看可用概要文件和附件
查看已创建的资源,例如作用域,凭证或规则 查看服务的全局设置 |
| 运算符 | 访问 Security and Compliance Center 仪表板以查看当前状态和结果
创建审计日志以监视合规性活动 |
| 编辑者 | 创建,更新或删除对象 (例如作用域,凭证和收集器)
更新目标的参数设置 创建,更新或删除规则和模板 编辑服务的全局管理设置 |
| 管理员 | 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。 |
| 管理者 | 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 |
| 读者 | 在服务中执行只读操作,例如查看服务特定的资源。 |
| 写入者 | 超出读者角色的权限,包括创建和编辑特定于服务的资源。 |
软件实例
您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看软件实例详细信息页面 |
| 运算符 | 更新软件实例
查看软件实例的详细信息页面 |
| 编辑者 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 |
| 管理员 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 查看软件实例的日志 分配 IAM 许可权 |
支持中心
您可以授予用户管理支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看案例
搜索案例 |
| 运算符 | 不适用 |
| 编辑者 | 查看案例
搜索案例 更新案例 创建案例 |
| 管理员 | 查看案例
搜索案例 更新案例 创建案例 |
为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。
用户管理
您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户中的用户
查看用户概要文件设置 |
| 运算符 | 查看帐户中的用户
查看用户概要文件设置 |
| 编辑者 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
| 管理员 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。
Activity Tracker Event Routing
您可以授予用户运行平台操作的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 运算符 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 编辑者 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。 |
| 管理员 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。 |
使用 Terraform 分配访问权
在使用 Terraform 分配访问权之前,请确保已完成以下操作:
- 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
- 创建一个名为
main.tf的Terraform配置文件。 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档。
使用以下步骤通过 Terraform 分配访问权:
-
在
main.tf文件中创建自变量。 以下示例在 IAM 访问组帐户管理服务上分配具有Viewer角色的策略。resource "ibm_iam_access_group" "accgrp" { name = "test" } resource "ibm_iam_access_group_policy" "policy" { access_group_id = ibm_iam_access_group.accgrp.id roles = ["Viewer"] }您可以在
access_group_id选项上指定访问组的标识。 有关更多信息,请参阅 Terraform Identity and Access Management(IAM) 页面上的参数参考详细信息。 -
完成构建配置文件后,初始化 Terraform CLI。 有关更多信息,请参阅 初始化工作目录。
terraform init -
从
main.tf文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构。-
运行
terraform plan以生成 Terraform 执行计划来预览建议的操作。terraform plan -
运行
terraform apply以创建计划中定义的资源。terraform apply
-
帐户管理服务的操作和角色
下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。
所有帐户管理服务
为了快速为用户提供一系列账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。
所有帐户管理服务 组包含以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
- 计费
- 目录管理
- 基于上下文的限制
- 企业
- 全局目录
- IBM Cloud Shell 设置
- 许可证和权利
- 合作伙伴中心
- 合作伙伴中心-销售
- 项目
- Security and Compliance Center
- 软件实例
- 支持中心
| 角色 | 操作 |
|---|---|
| 查看者 | 帐户管理服务的所有查看者角色操作 |
| 运算符 | 帐户管理服务的所有操作员角色操作 |
| 编辑者 | 帐户管理服务的所有编辑者角色操作以及创建资源组的能力 |
| 管理员 | 帐户管理服务的所有管理员角色操作以及创建资源组的能力 |
所有 IAM 帐户管理服务
Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:
- IAM 访问组
- IAM 身份服务
- IAM 访问权管理
- 角色管理
- 用户管理
| 角色 | 操作 |
|---|---|
| 查看者 | IAM 服务的所有查看者角色操作 |
| 运算符 | IAM 服务的所有操作员角色操作 |
| 编辑者 | IAM服务的所有编辑角色操作以及创建资源组的功能 |
| 管理员 | IAM服务所有管理员角色操作以及创建资源组的能力 |
| 用户 API 密钥创建者 | 启用限制API密钥创建的账户设置时,创建API密钥 |
| 服务标识创建者 | 启用限制服务ID创建的账户设置时,创建服务ID |
| 模板管理员 | 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。 |
| 模板分配管理员 | 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。 |
您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。
计费
您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户功能设置
查看帐户中的预订 查看帐户名称 查看预订余额和跟踪使用情况 |
| 运算符 | 查看帐户功能设置
查看帐户中的预订 查看和更改帐户名称 |
| 编辑者 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新开支限制 设置开支通知 查看预订余额和跟踪使用情况 |
| 管理员 | 查看和更新帐户功能部件设置
查看帐户中的预订 查看帐户中的商品 查看和应用预订和功能部件代码 查看和更改帐户名称 查看和更新支出限制 设置支出通知 查看预订余额和跟踪使用情况 创建企业 |
可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。
目录管理
您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看为 IBM Cloud 目录
查看专用目录设置的帐户级别过滤器 |
| 运算符 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 编辑者 | 创建专用目录
为专用目录设置过滤器 添加和更新软件 查看帐户级别的过滤器 |
| 管理员 | 为 IBM Cloud 目录
创建,更新和删除专用目录 发布 IBM核准的产品 分配访问策略 |
| 发布程序 | 从专用目录发布由 IBM 核准的产品 |
基于上下文的限制
您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。
“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看网络区域 |
| 编辑者 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
| 管理员 | 查看网络区域
创建网络区域 更新网络区域 除去网络区域 |
企业
可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看企业、帐户组和帐户 |
| 运算符 | 不适用 |
| 编辑者 | 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。 |
| 管理员 | 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告 |
| 使用情况报告查看者 | 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。 |
全局目录
您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看私有服务 |
| 运算符 | 不适用 |
| 编辑者 | 更改对象元数据,但不能更改私有服务的可视性 |
| 管理员 | 更改对象元数据或私有服务的可视性,并限制公共服务的可视性 |
IAM 访问组
您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问组和成员 |
| 运算符 | 不适用 |
| 编辑者 | 查看,创建,编辑和删除组
添加或除去组中的用户 |
| 管理员 | 查看,创建,编辑和删除组
添加或除去用户 分配对组的访问权 管理对使用访问组的访问权 在帐户级别启用或禁用对资源的公共访问权 |
IAM 访问管理服务
您可以授予用户管理访问策略和定制角色的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看访问策略和定制角色 |
| 运算符 | 查看访问策略和定制角色 |
| 编辑者 | 查看和编辑定制角色
查看 IAM 洞察,策略和设置 |
| 管理员 | 查看,创建,编辑和删除定制角色
查看和更新 IAM 设置 分配对组的访问权 查看,创建,编辑和删除访问策略 |
角色管理
您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看定制角色 |
| 运算符 | 不适用 |
| 编辑者 | 编辑和更新帐户中的定制角色 |
| 管理员 | 在帐户中创建,编辑,更新和删除定制角色 |
IAM 身份服务
您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看标识 |
| 运算符 | 创建和删除标识和 API 密钥
查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 删除可信概要文件 |
| 编辑者 | 创建和更新标识和 API 密钥
查看和更新 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 更新可信概要文件 |
| 管理员 | 创建,更新和删除标识和 API 密钥
将访问策略分配给标识 查看,创建,更新和删除 IdPs 更新服务标识和用户 API 密钥创建的 IAM 帐户设置 创建可信概要文件 |
| 用户 API 密钥创建者 | 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。 |
| 服务标识创建者 | 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。 |
IBM Cloud Shell 设置
您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 不适用 |
| 管理员 | 查看和更新 IBM Cloud Shell 设置 |
| 云操作员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源。 |
| 云开发人员 | 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。 |
| File Manager | 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。 |
许可证和权利
您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。
| 角色 | 操作 |
|---|---|
| 查看者 | 不适用 |
| 运算符 | 不适用 |
| 编辑者 | 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。 |
| 管理员 | 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。 |
Platform Analytics
您可以授予用户查看、创建和共享数据图表的权限。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看、搜索、创建、更新和共享数据和图表 |
| 管理员 | 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。 |
合作伙伴中心
您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。 |
| 编辑者 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
| 运算符 | |
| 管理员 | 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 |
合作伙伴中心-销售
您可以授予用户对板载,验证和发布产品的访问权。
| 角色 | 操作 |
|---|---|
| 管理员 | 创建,编辑,验证和发布产品 |
| 编辑者 | 验证和编辑产品 |
| 核准人 | 核准或拒绝工作流程实例的任务 |
项目
您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看有关项目,配置和部署的详细信息。 |
| 运算符 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 |
| 编辑者 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源 |
| 管理员 | 查看有关项目,配置和部署的详细信息
验证配置 编辑配置 创建项目 编辑项目 删除项目 创建配置 废弃草稿配置 部署配置更改 破坏资源。 强制核准验证失败的更改 |
Security and Compliance Center
您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看可用概要文件和附件
查看已创建的资源,例如作用域,凭证或规则 查看服务的全局设置 |
| 运算符 | 访问 Security and Compliance Center 仪表板以查看当前状态和结果
创建审计日志以监视合规性活动 |
| 编辑者 | 创建,更新或删除对象 (例如作用域,凭证和收集器)
更新目标的参数设置 创建,更新或删除规则和模板 编辑服务的全局管理设置 |
| 管理员 | 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。 |
| 管理者 | 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 |
| 读者 | 在服务中执行只读操作,例如查看服务特定的资源。 |
| 写入者 | 超出读者角色的权限,包括创建和编辑特定于服务的资源。 |
软件实例
您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看软件实例详细信息页面 |
| 运算符 | 更新软件实例
查看软件实例的详细信息页面 |
| 编辑者 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 |
| 管理员 | 创建,删除和更新软件实例
查看软件实例的详细信息页面 查看软件实例的日志 分配 IAM 许可权 |
支持中心
您可以授予用户管理支持案例的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看案例
搜索案例 |
| 运算符 | 不适用 |
| 编辑者 | 查看案例
搜索案例 更新案例 创建案例 |
| 管理员 | 查看案例
搜索案例 更新案例 创建案例 |
为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。
用户管理
您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看帐户中的用户
查看用户概要文件设置 |
| 运算符 | 查看帐户中的用户
查看用户概要文件设置 |
| 编辑者 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
| 管理员 | 查看,邀请,除去和更新帐户中的用户
查看和更新用户概要文件设置 |
用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。
Activity Tracker Event Routing
您可以授予用户运行平台操作的访问权。
| 角色 | 操作 |
|---|---|
| 查看者 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 运算符 | 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 |
| 编辑者 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。 |
| 管理员 | 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。 |