IBM Cloud Docs
分配对帐户管理服务的访问权

分配对帐户管理服务的访问权

作为帐户所有者或帐户管理服务的管理员,您可以授予用户访问权限,邀请用户加入帐户,跟踪账单和使用情况,以及处理支持案例。 具有帐户管理访问策略的用户还可以管理 Security and Compliance Center 服务的服务标识,访问策略,商品,访问组和资源,以及使用基于上下文的限制。

在控制台中分配访问权

要分配对单个或所有帐户管理服务的访问权,请完成以下步骤:

  1. 在 IBM Cloud® 控制台中,点击管理 > 访问(IAM ),然后选择用户
  2. 单击要分配访问权的用户,然后转至 访问权 > 分配访问权
  3. 如需服务,请选择 “所有账户管理服务” 或选择特定的账户管理服务。 然后,单击下一步
  4. 限定对 所有资源特定资源的访问范围。 然后,单击下一步
  5. 选择角色或许可权的任意组合,然后单击 复审
  6. 单击 添加 以将策略配置添加到策略摘要。
  7. 单击分配

为了授予其他用户完全访问权限,以便管理用户访问权限和所有启用IAM的账户资源,您必须分配两个策略。 要创建第一个策略,请选择具有管理员平台角色和管理员服务角色的 所有启用身份和访问权的服务。 要创建第二个策略,请选择 所有帐户管理服务,并分配有管理员角色。

具有帐户管理服务管理员角色的用户可以更改其他用户的访问权,并从帐户中除去用户,包括具有管理员角色的其他用户。

帐户管理服务的操作和角色

下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。

所有帐户管理服务

为了快速为用户提供各种账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。

授予用户对 所有帐户管理服务 组的访问权,以便他们可以使用以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
  • 计费
  • 目录管理
  • 基于上下文的限制
  • 企业
  • 全局目录
  • IBM Cloud Shell 设置
  • 许可证和权利
  • 合作伙伴中心
  • 合作伙伴中心-销售
  • 项目
  • Security and Compliance Center
  • 软件实例
  • 支持中心
所有账户管理服务政策的角色和示例操作
角色 操作
查看者 帐户管理服务的所有查看者角色操作
运算符 帐户管理服务的所有操作员角色操作
编辑者 帐户管理服务的所有编辑者角色操作以及创建资源组的能力
管理员 帐户管理服务的所有管理员角色操作以及创建资源组的能力

所有 IAM 帐户管理服务

Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对 所有 IAM 帐户管理服务 组的访问权,以便他们可以使用以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
所有 IAM 帐户管理服务策略的角色和示例操作
角色 操作
查看者 IAM 服务的所有查看者角色操作
运算符 IAM 服务的所有操作员角色操作
编辑者 IAM服务的所有编辑角色操作以及创建资源组的功能
管理员 IAM服务所有管理员角色操作以及创建资源组的能力
用户 API 密钥创建者 启用限制API密钥创建的账户设置时,创建API密钥
服务标识创建者 启用限制服务ID创建的账户设置时,创建服务ID
模板管理员 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。
模板分配管理员 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。

您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。

计费

您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。

计费服务的角色和示例操作
角色 操作
查看者 查看帐户功能设置

查看帐户中的预订

查看帐户名称

查看预订余额和跟踪使用情况

运算符 查看帐户功能设置

查看帐户中的预订

查看和更改帐户名称

编辑者 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新开支限制

设置开支通知

查看预订余额和跟踪使用情况

管理员 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新支出限制

设置支出通知

查看预订余额和跟踪使用情况

创建企业

可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。

目录管理

您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。

目录管理服务的角色和示例操作
角色 操作
查看者 查看为 IBM Cloud 目录

查看专用目录设置的帐户级别过滤器

运算符 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

编辑者 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

管理员 为 IBM Cloud 目录

创建,更新和删除专用目录

发布 IBM核准的产品

分配访问策略

发布程序 从专用目录发布由 IBM 核准的产品

基于上下文的限制

您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。

“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。

基于上下文的限制服务的角色和示例操作
角色 操作
查看者 查看网络区域
编辑者 查看网络区域

创建网络区域

更新网络区域

除去网络区域

管理员 查看网络区域

创建网络区域

更新网络区域

除去网络区域

企业

可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。

企业服务的角色和示例操作
角色 操作
查看者 查看企业、帐户组和帐户
运算符 不适用
编辑者 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。
管理员 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告
使用情况报告查看者 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。

全局目录

您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。

全球目录服务的角色和示例操作
角色 操作
查看者 查看私有服务
运算符 查看私有服务
编辑者 更改对象元数据,但不能更改私有服务的可视性
管理员 更改对象元数据或私有服务的可视性,并限制公共服务的可视性

IAM 访问组

您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。

IAM 访问组服务的角色和示例操作
角色 操作
查看者 查看访问组和成员
运算符 不适用
编辑者 查看,创建,编辑和删除组

添加或除去组中的用户

管理员 查看,创建,编辑和删除组

添加或除去用户 (包括其他管理员)

分配对组的访问权

管理对使用访问组的访问权

在帐户级别启用或禁用对资源的公共访问权

IAM 访问管理服务

您可以授予用户管理访问策略和定制角色的访问权。

IAM 访问管理服务的角色和示例操作
角色 操作
查看者 查看访问策略和定制角色
运算符 查看访问策略和定制角色
编辑者 查看和编辑定制角色

查看 IAM 洞察,策略和设置

管理员 查看,创建,编辑和删除定制角色

查看和更新 IAM 设置

分配对组的访问权

查看,创建,编辑和删除访问策略

角色管理

您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。 IAM 访问权管理服务的子服务。

角色管理服务的角色和示例操作
角色 操作
查看者 查看定制角色
运算符 不适用
编辑者 编辑和更新帐户中的定制角色
管理员 在帐户中创建,编辑,更新和删除定制角色

IAM 身份服务

您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。

IAM 身份管理服务的角色和示例操作
角色 操作
查看者 查看标识
运算符 创建和删除标识和 API 密钥

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

删除可信概要文件

编辑者 创建和更新标识和 API 密钥

查看和更新 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

更新可信概要文件

管理员 创建,更新和删除标识和 API 密钥

将访问策略分配给标识

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

创建可信概要文件

用户 API 密钥创建者 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。
服务标识创建者 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。

IBM Cloud Shell 设置

您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。

IBM Cloud Shell服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 不适用
管理员 查看和更新 IBM Cloud Shell 设置
云操作员 创建 Cloud Shell 环境以管理 IBM Cloud 资源。
云开发人员 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。
File Manager 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。

许可证和权利

您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。

许可证和权利服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。
管理员 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。

Platform Analytics

您可以授予用户查看、创建和共享数据图表的权限。

Platform Analytics服务的角色和示例操作
角色 操作
查看者 查看、搜索、创建、更新和共享数据和图表
管理员 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。

合作伙伴中心

您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。

合作伙伴中心服务的角色和示例操作
角色 操作
查看者 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。
编辑者 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。
运算符
管理员 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。

合作伙伴中心-销售

您可以授予用户对板载,验证和发布产品的访问权。

合作伙伴中心的角色和示例操作 - 销售服务
角色 操作
管理员 创建,编辑,验证和发布产品
编辑者 验证和编辑产品
核准人 核准或拒绝工作流程实例的任务

项目

您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。

IBM Cloud的角色和示例操作项目服务
角色 操作
查看者 查看有关项目,配置和部署的详细信息。
运算符 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

编辑者 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源

管理员 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源。

强制核准验证失败的更改

Security and Compliance Center

您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。

Security and Compliance Center服务的角色和示例操作
角色 操作
查看者 查看可用概要文件和附件

查看已创建的资源,例如作用域,凭证或规则

查看服务的全局设置

运算符 访问 Security and Compliance Center 仪表板以查看当前状态和结果

创建审计日志以监视合规性活动

编辑者 创建,更新或删除对象 (例如作用域,凭证和收集器)

更新目标的参数设置

创建,更新或删除规则和模板

编辑服务的全局管理设置

管理员 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。
管理者 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。
读者 在服务中执行只读操作,例如查看服务特定的资源。
写入者 超出读者角色的权限,包括创建和编辑特定于服务的资源。

软件实例

您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。

软件实例服务的角色和示例操作
角色 操作
查看者 查看软件实例详细信息页面
运算符 更新软件实例

查看软件实例的详细信息页面

编辑者 创建,删除和更新软件实例

查看软件实例的详细信息页面

管理员 创建,删除和更新软件实例

查看软件实例的详细信息页面

查看软件实例的日志

分配 IAM 许可权

支持中心

您可以授予用户管理支持案例的访问权。

支持中心服务的角色和示例操作
角色 操作
查看者 查看案例

搜索案例

运算符 不适用
编辑者 查看案例

搜索案例

更新案例

创建案例

管理员 查看案例

搜索案例

更新案例

创建案例

为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。

用户管理

您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。

用户管理服务的角色和示例操作
角色 操作
查看者 查看帐户中的用户

查看用户概要文件设置

运算符 查看帐户中的用户

查看用户概要文件设置

编辑者 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

管理员 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。

Activity Tracker Event Routing

您可以授予用户运行平台操作的访问权。

Activity Tracker Event Routing服务的角色和示例操作
角色 操作
查看者 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
运算符 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
编辑者 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
管理员 查看,创建,更新和删除 Activity Tracker Event Routing 资源。

将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。

帐户管理服务名称

如果要使用 CLI 或 API 分配访问权,那么帐户管理服务将使用以下属性和值:

账户管理服务名称
帐户管理服务 属性和值
所有帐户管理服务 serviceType=platform_service
所有 IAM 帐户管理服务 service_group_id=IAM
计费 serviceName=billing
目录管理 serviceName=globalcatalog-collection
基于上下文的限制 serviceName=context-based-restrictions
企业 serviceName=enterprise
全局目录 serviceName=globalcatalog
IAM 访问组服务 serviceName=iam-groups
IAM 身份服务 serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
许可证和权利 serviceName=entitlement
项目 serviceName=project
角色管理 serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
支持中心 serviceName=support
用户管理 serviceName=user-management

使用 API 分配访问权

以下示例分配对 IAM 访问组帐户管理服务具有管理员角色的策略。

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "iam-groups"
        }
      ]
    }
  ]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceNameResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceName")
        .value("iam-groups")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceNameResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);
const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceNameResourceAttribute = {
  name: 'serviceName',
  value: 'iam-groups',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceNameResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });
policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceName', value='iam-groups')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_name_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceNameResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceName"),
  Value:    core.StringPtr("iam-groups"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceNameResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

以下示例在 所有帐户管理服务上分配具有管理员角色的策略。

curl -X POST \
'https://iam.cloud.ibm.com/v1/policies' \
-H 'Authorization: $TOKEN'\
-H 'Content-Type: application/json'\
-d '{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceType",
          "value": "platform-service"
        }
      ]
    }
  ]
}'
SubjectAttribute subjectAttribute = new SubjectAttribute.Builder()
        .name("iam_id")
        .value("EXAMPLE_USER_ID")
        .build();

PolicySubject policySubjects = new PolicySubject.Builder()
        .addAttributes(subjectAttribute)
        .build();

PolicyRole policyRoles = new PolicyRole.Builder()
        .roleId("crn:v1:bluemix:public:iam::::role:Administrator")
        .build();

ResourceAttribute accountIdResourceAttribute = new ResourceAttribute.Builder()
        .name("accountId")
        .value("exampleAccountId")
        .operator("stringEquals")
        .build();

ResourceAttribute serviceTypeResourceAttribute = new ResourceAttribute.Builder()
        .name("serviceType")
        .value("platform-service")
        .operator("stringEquals")
        .build();

PolicyResource policyResources = new PolicyResource.Builder()
        .addAttributes(accountIdResourceAttribute)
        .addAttributes(serviceTypeResourceAttribute)
        .build();

CreatePolicyOptions options = new CreatePolicyOptions.Builder()
        .type("access")
        .subjects(Arrays.asList(policySubjects))
        .roles(Arrays.asList(policyRoles))
        .resources(Arrays.asList(policyResources))
        .build();

Response<Policy> response = service.createPolicy(options).execute();
Policy policy = response.getResult();

System.out.println(policy);
const policySubjects = [
  {
    attributes: [
      {
        name: 'iam_id',
        value: "exampleUserId",
      },
    ],
  },
];
const policyRoles = [
  {
    role_id: 'crn:v1:bluemix:public:iam::::role:Administrator',
  },
];
const accountIdResourceAttribute = {
  name: 'accountId',
  value: 'exampleAccountId',
  operator: 'stringEquals',
};
const serviceTypeResourceAttribute = {
  name: 'serviceType',
  value: 'platform-service',
  operator: 'stringEquals',
};
const policyResources = [
  {
    attributes: [accountIdResourceAttribute, serviceTypeResourceAttribute]
  },
];
const params = {
  type: 'access',
  subjects: policySubjects,
  roles: policyRoles,
  resources: policyResources,
};

iamPolicyManagementService.createPolicy(params)
  .then(res => {
    examplePolicyId = res.result.id;
    console.log(JSON.stringify(res.result, null, 2));
  })
  .catch(err => {
    console.warn(err)
  });
policy_subjects = PolicySubject(
  attributes=[SubjectAttribute(name='iam_id', value='example_user_id')])
policy_roles = PolicyRole(
  role_id='crn:v1:bluemix:public:iam::::role:Administrator')
account_id_resource_attribute = ResourceAttribute(
  name='accountId', value=example_account_id)
service_name_resource_attribute = ResourceAttribute(
  name='serviceType', value='platform-service')
policy_resources = PolicyResource(
  attributes=[account_id_resource_attribute,
        service_type_resource_attribute])

policy = iam_policy_management_service.create_policy(
  type='access',
  subjects=[policy_subjects],
  roles=[policy_roles],
  resources=[policy_resources]
).get_result()

print(json.dumps(policy, indent=2))
subjectAttribute := &iampolicymanagementv1.SubjectAttribute{
  Name:  core.StringPtr("iam_id"),
  Value: core.StringPtr("exampleUserID"),
}
policySubjects := &iampolicymanagementv1.PolicySubject{
  Attributes: []iampolicymanagementv1.SubjectAttribute{*subjectAttribute},
}
policyRoles := &iampolicymanagementv1.PolicyRole{
  RoleID: core.StringPtr("crn:v1:bluemix:public:iam::::role:Administrator"),
}
accountIDResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("accountId"),
  Value:    core.StringPtr("ACCOUNT_ID"),
  Operator: core.StringPtr("stringEquals"),
}
serviceTypeResourceAttribute := &iampolicymanagementv1.ResourceAttribute{
  Name:     core.StringPtr("serviceType"),
  Value:    core.StringPtr("platform-service"),
  Operator: core.StringPtr("stringEquals"),
}
policyResources := &iampolicymanagementv1.PolicyResource{
  Attributes: []iampolicymanagementv1.ResourceAttribute{
    *accountIDResourceAttribute, *serviceTypeResourceAttribute},
}

options := iamPolicyManagementService.NewCreatePolicyOptions(
  "access",
  []iampolicymanagementv1.PolicySubject{*policySubjects},
  []iampolicymanagementv1.PolicyRole{*policyRoles},
  []iampolicymanagementv1.PolicyResource{*policyResources},
)

policy, response, err := iamPolicyManagementService.CreatePolicy(options)
if err != nil {
  panic(err)
}
b, _ := json.MarshalIndent(policy, "", "  ")
fmt.Println(string(b))

帐户管理服务的操作和角色

下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。

所有帐户管理服务

为了快速为用户提供各种账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。

所有帐户管理服务 组包含以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
  • 计费
  • 目录管理
  • 基于上下文的限制
  • 企业
  • 全局目录
  • IBM Cloud Shell 设置
  • 许可证和权利
  • 合作伙伴中心
  • 合作伙伴中心-销售
  • 项目
  • Security and Compliance Center
  • 软件实例
  • 支持中心
所有账户管理服务政策的角色和示例操作
角色 操作 role_ID 值
查看者 帐户管理服务的所有查看者角色操作 crn:v1:bluemix:public:iam::::role:Viewer
运算符 帐户管理服务的所有操作员角色操作 crn:v1:bluemix:public:iam::::role:Operator
编辑者 帐户管理服务的所有编辑者角色操作以及创建资源组的能力 crn:v1:bluemix:public:iam::::role:Editor
管理员 帐户管理服务的所有管理员角色操作以及创建资源组的能力 crn:v1:bluemix:public:iam::::role:Administrator

所有 IAM 帐户管理服务

Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
所有 IAM 帐户管理服务策略的角色和示例操作
角色 操作 role_ID 值
查看者 IAM 服务的所有查看者角色操作 crn:v1:bluemix:public:iam::::role:Viewer
运算符 IAM 服务的所有操作员角色操作 crn:v1:bluemix:public:iam::::role:Operator
编辑者 IAM服务的所有编辑角色操作以及创建资源组的功能 crn:v1:bluemix:public:iam::::role:Editor
管理员 IAM服务所有管理员角色操作以及创建资源组的能力 crn:v1:bluemix:public:iam::::role:Administrator
用户 API 密钥创建者 启用限制API密钥创建的账户设置时,创建API密钥 crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
服务标识创建者 启用限制服务ID创建的账户设置时,创建服务ID crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator
模板管理员 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。 crn:v1:bluemix:public:iam::::role:TemplateAdministrator
模板分配管理员 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。 crn:v1:bluemix:public:iam::::role:TemplateAssignmentAdministrator

您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。

计费

您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。

计费服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看帐户功能设置

查看帐户中的预订

查看帐户名称

查看预订余额和跟踪使用情况

crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看帐户功能设置

查看帐户中的预订

查看和更改帐户名称

crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新开支限制

设置开支通知

查看预订余额和跟踪使用情况

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新支出限制

设置支出通知

查看预订余额和跟踪使用情况

创建企业

crn:v1:bluemix:public:iam::::role:Administrator

可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。

目录管理

您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。

目录管理服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看为 IBM Cloud 目录

查看专用目录设置的帐户级别过滤器

crn:v1:bluemix:public:iam::::role:Viewer
运算符 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

crn:v1:bluemix:public:iam::::role:Operator
编辑者 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

crn:v1:bluemix:public:iam::::role:Editor
管理员 为 IBM Cloud 目录

创建,更新和删除专用目录

发布 IBM核准的产品

分配访问策略

crn:v1:bluemix:public:iam::::role:Administrator
发布程序 从专用目录发布由 IBM 核准的产品 crn:v1:bluemix:public:globalcatalog-collection::::serviceRole:Promoter

基于上下文的限制

您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。

“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。

基于上下文的限制服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看网络区域 crn:v1:bluemix:public:iam::::role:Viewer
编辑者 查看网络区域

创建网络区域

更新网络区域

除去网络区域

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看网络区域

创建网络区域

更新网络区域

除去网络区域

crn:v1:bluemix:public:iam::::role:Administrator

您可以授予用户查看,创建,更新和除去基于上下文的限制和网络区域的访问权。

企业

可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。

企业服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看企业、帐户组和帐户 crn:v1:bluemix:public:iam::::role:Viewer
运算符 不适用
编辑者 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。 crn:v1:bluemix:public:iam::::role:Editor
管理员 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告 crn:v1:bluemix:public:iam::::role:Administrator
使用情况报告查看者 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。 crn:v1:bluemix:public:enterprise::::serviceRole:UsageReportsViewer

全局目录

您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。

全球目录服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看私有服务 crn:v1:bluemix:public:iam::::role:Viewer
运算符 不适用 crn:v1:bluemix:public:iam::::role:Operator
编辑者 更改对象元数据,但不能更改私有服务的可视性 crn:v1:bluemix:public:iam::::role:Editor
管理员 更改对象元数据或私有服务的可视性,并限制公共服务的可视性 crn:v1:bluemix:public:iam::::role:Administrator

IAM 访问组

您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。

IAM 访问组服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看访问组和成员 crn:v1:bluemix:public:iam::::role:Viewer
运算符 不适用
编辑者 查看,创建,编辑和删除组

添加或除去组中的用户

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看,创建,编辑和删除组

添加或除去用户

分配对组的访问权

管理对使用访问组的访问权

在帐户级别启用或禁用对资源的公共访问权

crn:v1:bluemix:public:iam::::role:Administrator

IAM 访问管理服务

您可以授予用户管理访问策略和定制角色的访问权。

IAM 访问管理服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看访问策略和定制角色 crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看访问策略和定制角色 crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看和编辑定制角色

查看 IAM 洞察,策略和设置

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看,创建,编辑和删除定制角色

查看和更新 IAM 设置

分配对组的访问权

查看,创建,编辑和删除访问策略

crn:v1:bluemix:public:iam::::role:Administrator

角色管理

您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。

访问管理服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看定制角色 crn:v1:bluemix:public:iam::::role:Viewer
运算符 不适用
编辑者 编辑和更新帐户中的定制角色 crn:v1:bluemix:public:iam::::role:Editor
管理员 在帐户中创建,编辑,更新和删除定制角色 crn:v1:bluemix:public:iam::::role:Administrator

IAM 身份服务

您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。

IAM 身份管理服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看标识 crn:v1:bluemix:public:iam::::role:Viewer
运算符 创建和删除标识和 API 密钥

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

删除可信概要文件

crn:v1:bluemix:public:iam::::role:Operator
编辑者 创建和更新标识和 API 密钥

查看和更新 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

更新可信概要文件

crn:v1:bluemix:public:iam::::role:Editor
管理员 创建,更新和删除标识和 API 密钥

将访问策略分配给标识

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

创建可信概要文件

crn:v1:bluemix:public:iam::::role:Administrator
用户 API 密钥创建者 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。 crn:v1:bluemix:public:iam-identity::::serviceRole:UserApiKeyCreator
服务标识创建者 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。 crn:v1:bluemix:public:iam-identity::::serviceRole:ServiceIdCreator

IBM Cloud Shell 设置

您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。

IBM Cloud Shell服务的角色和示例操作
角色 操作 role_ID 值
查看者 不适用
运算符 不适用
编辑者 不适用
管理员 查看和更新 IBM Cloud Shell 设置 crn:v1:bluemix:public:iam::::role:Administrator
云操作员 创建 Cloud Shell 环境以管理 IBM Cloud 资源。 crn:v1:bluemix:public:cloudshell::::serviceRole:CloudOperator
云开发人员 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。 crn:v1:bluemix:public:cloudshell::::serviceRole:CloudDeveloper
File Manager 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。 crn:v1:bluemix:public:cloudshell::::serviceRole:FileManager

许可证和权利

您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。

许可证和权利服务的角色和示例操作
角色 操作 role_ID 值
查看者 不适用
运算符 不适用
编辑者 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。 crn:v1:bluemix:public:iam::::role:Editor
管理员 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。 crn:v1:bluemix:public:iam::::role:Administrator

Platform Analytics

您可以授予用户查看、创建和共享数据图表的权限。

Platform Analytics服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看、搜索、创建、更新和共享数据和图表 crn:v1:bluemix:public:iam::::role:Viewer
管理员 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。 crn:v1:bluemix:public:iam::::role:Administrator

合作伙伴中心

您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。

合作伙伴中心服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。 crn:v1:bluemix:public:iam::::role:Viewer
编辑者 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 crn:v1:bluemix:public:iam::::role:Editor
运算符
管理员 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。 crn:v1:bluemix:public:iam::::role:Administrator

合作伙伴中心-销售

您可以授予用户对板载,验证和发布产品的访问权。

合作伙伴中心的角色和示例操作 - 销售服务
角色 操作 role_ID 值
管理员 创建,编辑,验证和发布产品
编辑者 验证和编辑产品 crn:v1:bluemix:public:iam::::role:Editor
核准人 核准或拒绝工作流程实例的任务 crn:v1:bluemix:public:product-lifecycle::::serviceRole:LifecycleApprover

项目

您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。

IBM Cloud的角色和示例操作项目服务
角色 操作 role_ID 值
查看者 查看有关项目,配置和部署的详细信息。 crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源。

强制核准验证失败的更改

crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。

Security and Compliance Center服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看可用概要文件和附件

查看已创建的资源,例如作用域,凭证或规则

查看服务的全局设置

crn:v1:bluemix:public:iam::::role:Viewer
运算符 访问 Security and Compliance Center 仪表板以查看当前状态和结果

创建审计日志以监视合规性活动

crn:v1:bluemix:public:iam::::role:Operator
编辑者 创建,更新或删除对象 (例如作用域,凭证和收集器)

更新目标的参数设置

创建,更新或删除规则和模板

编辑服务的全局管理设置

crn:v1:bluemix:public:iam::::role:Editor
管理员 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。 crn:v1:bluemix:public:iam::::role:Administrator
管理者 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 crn:v1:bluemix:public:iam::::serviceRole:Manager
读者 在服务中执行只读操作,例如查看服务特定的资源。 crn:v1:bluemix:public:iam::::serviceRole:Reader
写入者 超出读者角色的权限,包括创建和编辑特定于服务的资源。 crn:v1:bluemix:public:iam::::serviceRole:Writer

软件实例

您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。

软件实例服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看软件实例详细信息页面 crn:v1:bluemix:public:iam::::role:Viewer
运算符 更新软件实例

查看软件实例的详细信息页面

crn:v1:bluemix:public:iam::::role:Operator
编辑者 创建,删除和更新软件实例

查看软件实例的详细信息页面

crn:v1:bluemix:public:iam::::role:Editor
管理员 创建,删除和更新软件实例

查看软件实例的详细信息页面

查看软件实例的日志

分配 IAM 许可权

crn:v1:bluemix:public:iam::::role:Administrator

支持中心

您可以授予用户管理支持案例的访问权。

支持中心服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看案例

搜索案例

crn:v1:bluemix:public:iam::::role:Viewer
运算符 不适用 crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看案例

搜索案例

更新案例

创建案例

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看案例

搜索案例

更新案例

创建案例

crn:v1:bluemix:public:iam::::role:Administrator

为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么可以限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。

用户管理

您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。

用户管理服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看帐户中的用户

查看用户概要文件设置

crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看帐户中的用户

查看用户概要文件设置

crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

crn:v1:bluemix:public:iam::::role:Administrator

用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。

Activity Tracker Event Routing

您可以授予用户运行平台操作的访问权。

Activity Tracker Event Routing服务的角色和示例操作
角色 操作 role_ID 值
查看者 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。 crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看,创建,更新和删除 Activity Tracker Event Routing 资源。 crn:v1:bluemix:public:iam::::role:Editor
管理员 查看,创建,更新和删除 Activity Tracker Event Routing 资源。

将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。

crn:v1:bluemix:public:iam::::role:Administrator

帐户管理服务名称

如果要使用 CLI 或 API 分配访问权,那么帐户管理服务将使用以下属性和值:

账户管理服务名称
帐户管理服务 属性和值
所有帐户管理服务 serviceType=platform_service
所有 IAM 帐户管理服务 service_group_id=IAM
计费 serviceName=billing
目录管理 serviceName=globalcatalog-collection
基于上下文的限制 serviceName=context-based-restrictions
企业 serviceName=enterprise
全局目录 serviceName=globalcatalog
IAM 访问组服务 serviceName=iam-groups
IAM 身份服务 serviceName=iam-identity
IBM Cloud Shell serviceName=cloudshell
许可证和权利 serviceName=entitlement
项目 serviceName=project
角色管理 serviceName=iam-access-management
Security and Compliance Center serviceName=security-compliance
支持中心 serviceName=support
用户管理 serviceName=user-management

使用 CLI 分配访问权

要分配访问权,请运行 user-policy-create 命令。 有关更多信息,请参阅 ibmcloud iam user-policy-create。 以下示例命令为 IAM 身份帐户管理服务分配具有用户 API 密钥创建者角色的策略。

ibmcloud iam user-policy-create name@example.com --roles "User API key creator" --service-name iam-identity

有关要在 CLI 命令中用于每个帐户管理服务的服务名称,请参阅表 1。 但是,对于 CLI 中所有帐户管理服务的策略,请使用 --account-management 而不是 --service-name SERVICE_NAME。 对于多个词的角色,请使用带引号的显示名称。

以下示例命令为所有帐户管理服务分配具有管理员角色的策略。

ibmcloud iam user-policy-create name.example.com --roles Administrator --attributes serviceType=service

帐户管理服务的操作和角色

下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。

所有帐户管理服务

为了快速为用户提供一系列账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。

所有帐户管理服务 组包含以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
  • 计费
  • 目录管理
  • 基于上下文的限制
  • 企业
  • 全局目录
  • IBM Cloud Shell 设置
  • 许可证和权利
  • 合作伙伴中心
  • 合作伙伴中心-销售
  • 项目
  • Security and Compliance Center
  • 软件实例
  • 支持中心
所有账户管理服务政策的角色和示例操作
角色 操作
查看者 帐户管理服务的所有查看者角色操作
运算符 帐户管理服务的所有操作员角色操作
编辑者 帐户管理服务的所有编辑者角色操作以及创建资源组的能力
管理员 帐户管理服务的所有管理员角色操作以及创建资源组的能力

所有 IAM 帐户管理服务

Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
所有 IAM 帐户管理服务策略的角色和示例操作
角色 操作
查看者 IAM 服务的所有查看者角色操作
运算符 IAM 服务的所有操作员角色操作
编辑者 IAM服务的所有编辑角色操作以及创建资源组的功能
管理员 IAM服务所有管理员角色操作以及创建资源组的能力
用户 API 密钥创建者 启用限制API密钥创建的账户设置时,创建API密钥
服务标识创建者 启用限制服务ID创建的账户设置时,创建服务ID
模板管理员 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。
模板分配管理员 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。

您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。

计费

您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。

计费服务的角色和示例操作
角色 操作
查看者 查看帐户功能设置

查看帐户中的预订

查看帐户名称

查看预订余额和跟踪使用情况

运算符 查看帐户功能设置

查看帐户中的预订

查看和更改帐户名称

编辑者 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新开支限制

设置开支通知

查看预订余额和跟踪使用情况

管理员 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新支出限制

设置支出通知

查看预订余额和跟踪使用情况

创建企业

可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。

目录管理

您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。

目录管理服务的角色和示例操作
角色 操作
查看者 查看为 IBM Cloud 目录

查看专用目录设置的帐户级别过滤器

运算符 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

编辑者 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

管理员 为 IBM Cloud 目录

创建,更新和删除专用目录

发布 IBM核准的产品

分配访问策略

发布程序 从专用目录发布由 IBM 核准的产品

基于上下文的限制

您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。

“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。

基于上下文的限制服务的角色和示例操作
角色 操作
查看者 查看网络区域
编辑者 查看网络区域

创建网络区域

更新网络区域

除去网络区域

管理员 查看网络区域

创建网络区域

更新网络区域

除去网络区域

企业

可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。

企业服务的角色和示例操作
角色 操作
查看者 查看企业、帐户组和帐户
运算符 不适用
编辑者 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。
管理员 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告
使用情况报告查看者 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。

全局目录

您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。

全球目录服务的角色和示例操作
角色 操作
查看者 查看私有服务
运算符 不适用
编辑者 更改对象元数据,但不能更改私有服务的可视性
管理员 更改对象元数据或私有服务的可视性,并限制公共服务的可视性

IAM 访问组

您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。

IAM 访问组服务的角色和示例操作
角色 操作
查看者 查看访问组和成员
运算符 不适用
编辑者 查看,创建,编辑和删除组

添加或除去组中的用户

管理员 查看,创建,编辑和删除组

添加或除去用户

分配对组的访问权

管理对使用访问组的访问权

在帐户级别启用或禁用对资源的公共访问权

IAM 访问管理服务

您可以授予用户管理访问策略和定制角色的访问权。

IAM 访问管理服务的角色和示例操作
角色 操作
查看者 查看访问策略和定制角色
运算符 查看访问策略和定制角色
编辑者 查看和编辑定制角色

查看 IAM 洞察,策略和设置

管理员 查看,创建,编辑和删除定制角色

查看和更新 IAM 设置

分配对组的访问权

查看,创建,编辑和删除访问策略

角色管理

您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。

访问管理服务的角色和示例操作
角色 操作
查看者 查看定制角色
运算符 不适用
编辑者 编辑和更新帐户中的定制角色
管理员 在帐户中创建,编辑,更新和删除定制角色

IAM 身份服务

您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。

IAM 身份管理服务的角色和示例操作
角色 操作
查看者 查看标识
运算符 创建和删除标识和 API 密钥

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

删除可信概要文件

编辑者 创建和更新标识和 API 密钥

查看和更新 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

更新可信概要文件

管理员 创建,更新和删除标识和 API 密钥

将访问策略分配给标识

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

创建可信概要文件

用户 API 密钥创建者 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。
服务标识创建者 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。

IBM Cloud Shell 设置

您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。

IBM Cloud Shell服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 不适用
管理员 查看和更新 IBM Cloud Shell 设置
云操作员 创建 Cloud Shell 环境以管理 IBM Cloud 资源。
云开发人员 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。
File Manager 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。

许可证和权利

您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。

许可证和权利服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。
管理员 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。

Platform Analytics

您可以授予用户查看、创建和共享数据图表的权限。

Platform Analytics服务的角色和示例操作
角色 操作
查看者 查看、搜索、创建、更新和共享数据和图表
管理员 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。

合作伙伴中心

您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。

合作伙伴中心服务的角色和示例操作
角色 操作
查看者 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。
编辑者 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。
运算符
管理员 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。

合作伙伴中心-销售

您可以授予用户对板载,验证和发布产品的访问权。

合作伙伴中心的角色和示例操作 - 销售服务
角色 操作
管理员 创建,编辑,验证和发布产品
编辑者 验证和编辑产品
核准人 核准或拒绝工作流程实例的任务

项目

您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。

IBM Cloud的角色和示例操作项目服务
角色 操作 role_ID 值
查看者 查看有关项目,配置和部署的详细信息。 crn:v1:bluemix:public:iam::::role:Viewer
运算符 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

crn:v1:bluemix:public:iam::::role:Operator
编辑者 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源

crn:v1:bluemix:public:iam::::role:Editor
管理员 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源。

强制核准验证失败的更改

crn:v1:bluemix:public:iam::::role:Administrator

Security and Compliance Center

您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。

Security and Compliance Center服务的角色和示例操作
角色 操作
查看者 查看可用概要文件和附件

查看已创建的资源,例如作用域,凭证或规则

查看服务的全局设置

运算符 访问 Security and Compliance Center 仪表板以查看当前状态和结果

创建审计日志以监视合规性活动

编辑者 创建,更新或删除对象 (例如作用域,凭证和收集器)

更新目标的参数设置

创建,更新或删除规则和模板

编辑服务的全局管理设置

管理员 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。
管理者 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。
读者 在服务中执行只读操作,例如查看服务特定的资源。
写入者 超出读者角色的权限,包括创建和编辑特定于服务的资源。

软件实例

您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。

软件实例服务的角色和示例操作
角色 操作
查看者 查看软件实例详细信息页面
运算符 更新软件实例

查看软件实例的详细信息页面

编辑者 创建,删除和更新软件实例

查看软件实例的详细信息页面

管理员 创建,删除和更新软件实例

查看软件实例的详细信息页面

查看软件实例的日志

分配 IAM 许可权

支持中心

您可以授予用户管理支持案例的访问权。

支持中心服务的角色和示例操作
角色 操作
查看者 查看案例

搜索案例

运算符 不适用
编辑者 查看案例

搜索案例

更新案例

创建案例

管理员 查看案例

搜索案例

更新案例

创建案例

为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。

用户管理

您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。

用户管理服务的角色和示例操作
角色 操作
查看者 查看帐户中的用户

查看用户概要文件设置

运算符 查看帐户中的用户

查看用户概要文件设置

编辑者 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

管理员 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。

Activity Tracker Event Routing

您可以授予用户运行平台操作的访问权。

Activity Tracker Event Routing服务的角色和示例操作
角色 操作
查看者 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
运算符 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
编辑者 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
管理员 查看,创建,更新和删除 Activity Tracker Event Routing 资源。

将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。

使用 Terraform 分配访问权

在使用 Terraform 分配访问权之前,请确保已完成以下操作:

  • 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
  • 创建一个名为 main.tf 的Terraform配置文件。 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档

使用以下步骤通过 Terraform 分配访问权:

  1. main.tf 文件中创建自变量。 以下示例在 IAM 访问组帐户管理服务上分配具有 Viewer 角色的策略。

    resource "ibm_iam_access_group" "accgrp" {
     name = "test"
    }
    
    resource "ibm_iam_access_group_policy" "policy" {
     access_group_id = ibm_iam_access_group.accgrp.id
     roles           = ["Viewer"]
    }
    

    您可以在 access_group_id 选项上指定访问组的标识。 有关更多信息,请参阅 Terraform Identity and Access Management(IAM) 页面上的参数参考详细信息。

  2. 完成构建配置文件后,初始化 Terraform CLI。 有关更多信息,请参阅 初始化工作目录

    terraform init
    
  3. main.tf 文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构

    1. 运行 terraform plan 以生成 Terraform 执行计划来预览建议的操作。

      terraform plan
      
    2. 运行 terraform apply 以创建计划中定义的资源。

      terraform apply
      

帐户管理服务的操作和角色

下表概述了为用户分配每个帐户管理服务的特定角色后,用户可以执行的操作。 请查看相关信息以确保为用户分配的是正确访问级别。

所有帐户管理服务

为了快速为用户提供一系列账户管理权限,您可以对所有账户管理服务分配一个策略。 当为用户分配对 所有帐户管理服务的角色时,他们可以针对每个单独服务完成与该角色关联的所有操作。

所有帐户管理服务 组包含以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
  • 计费
  • 目录管理
  • 基于上下文的限制
  • 企业
  • 全局目录
  • IBM Cloud Shell 设置
  • 许可证和权利
  • 合作伙伴中心
  • 合作伙伴中心-销售
  • 项目
  • Security and Compliance Center
  • 软件实例
  • 支持中心
账户管理服务政策的角色和示例行动
角色 操作
查看者 帐户管理服务的所有查看者角色操作
运算符 帐户管理服务的所有操作员角色操作
编辑者 帐户管理服务的所有编辑者角色操作以及创建资源组的能力
管理员 帐户管理服务的所有管理员角色操作以及创建资源组的能力

所有 IAM 帐户管理服务

Identity and Access Management (IAM) 服务构成所有帐户管理服务的子集。 授予用户对所有 IAM 帐户管理服务的访问权,以便他们可以使用以下服务:

  • IAM 访问组
  • IAM 身份服务
  • IAM 访问权管理
    • 角色管理
  • 用户管理
所有 IAM 帐户管理服务策略的角色和示例操作
角色 操作
查看者 IAM 服务的所有查看者角色操作
运算符 IAM 服务的所有操作员角色操作
编辑者 IAM服务的所有编辑角色操作以及创建资源组的功能
管理员 IAM服务所有管理员角色操作以及创建资源组的能力
用户 API 密钥创建者 启用限制API密钥创建的账户设置时,创建API密钥
服务标识创建者 启用限制服务ID创建的账户设置时,创建服务ID
模板管理员 为访问组、受信任的配置文件、帐户设置和策略创建企业 IAM 模板。 此角色仅在根企业账户中可用。
模板分配管理员 将企业 IAM 模板分配给子账户。 此角色仅在根企业账户中可用。

您可能在 所有 IAM 帐户管理服务 的策略上分配的某些角色仅影响某些资源。 例如,“服务标识创建者”角色仅与 IAM 身份服务相关。

计费

您可以使用计费服务授予用户访问权以更新帐户设置、查看预订、查看报价、应用预订和特征代码、更新花费限制和跟踪使用情况。

计费服务的角色和示例操作
角色 操作
查看者 查看帐户功能设置

查看帐户中的预订

查看帐户名称

查看预订余额和跟踪使用情况

运算符 查看帐户功能设置

查看帐户中的预订

查看和更改帐户名称

编辑者 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新开支限制

设置开支通知

查看预订余额和跟踪使用情况

管理员 查看和更新帐户功能部件设置

查看帐户中的预订

查看帐户中的商品

查看和应用预订和功能部件代码

查看和更改帐户名称

查看和更新支出限制

设置支出通知

查看预订余额和跟踪使用情况

创建企业

可以从“帐户设置”页面查看预订余额和使用情况,但无法使用“查看者”或“操作员”角色查看“帐户设置”页面。 要从该页面访问“帐户设置”页面和预订信息,您需要“编辑者”角色或更高角色。

目录管理

您可以授予用户访问权以查看专用目录和商品目录过滤器,创建专用目录,向专用目录添加软件以及设置商品目录过滤器。

目录管理服务的角色和示例操作
角色 操作
查看者 查看为 IBM Cloud 目录

查看专用目录设置的帐户级别过滤器

运算符 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

编辑者 创建专用目录

为专用目录设置过滤器

添加和更新软件

查看帐户级别的过滤器

管理员 为 IBM Cloud 目录

创建,更新和删除专用目录

发布 IBM核准的产品

分配访问策略

发布程序 从专用目录发布由 IBM 核准的产品

基于上下文的限制

您可以授予用户查看,创建,更新和除去网络区域的访问权。 要为服务创建基于上下文的限制规则,必须为您分配具有管理员角色的 IAM 策略,针对该服务创建规则。 例如,如果要创建规则以保护 Key Protect 实例,那么必须为您分配对 Key Protect 服务的管理员角色以及对 基于上下文的限制 服务的查看者角色或更高角色。

“基于上下文的限制”服务上的“查看者”角色允许您向规则添加网络区域。

基于上下文的限制服务的角色和示例操作
角色 操作
查看者 查看网络区域
编辑者 查看网络区域

创建网络区域

更新网络区域

除去网络区域

管理员 查看网络区域

创建网络区域

更新网络区域

除去网络区域

企业

可以使用企业服务通过在企业中创建帐户,将帐户分配给帐户组,命名帐户组等操作,为用户分配管理企业的访问权。 此类型的策略仅当在企业帐户中进行分配时才有效。

企业服务的角色和示例操作
角色 操作
查看者 查看企业、帐户组和帐户
运算符 不适用
编辑者 查看并更新企业名称和域名,创建账户和账户组,查看使用报告,导入账户。
管理员 查看并更新企业名称和域名,创建账户和账户组,在账户组之间转移账户,导入现有账户,查看使用报告
使用情况报告查看者 查看企业、帐户和帐户组,以及查看企业中所有帐户的使用情况报告。

全局目录

您可以授予用户访问权以查看目录中的专用产品,或者更改帐户中其他用户的专用产品的可视性。

全球目录服务的角色和示例操作
角色 操作
查看者 查看私有服务
运算符 不适用
编辑者 更改对象元数据,但不能更改私有服务的可视性
管理员 更改对象元数据或私有服务的可视性,并限制公共服务的可视性

IAM 访问组

您可以使用IAM访问组服务,允许用户查看、创建、编辑和删除账户中的访问组。

IAM 访问组服务的角色和示例操作
角色 操作
查看者 查看访问组和成员
运算符 不适用
编辑者 查看,创建,编辑和删除组

添加或除去组中的用户

管理员 查看,创建,编辑和删除组

添加或除去用户

分配对组的访问权

管理对使用访问组的访问权

在帐户级别启用或禁用对资源的公共访问权

IAM 访问管理服务

您可以授予用户管理访问策略和定制角色的访问权。

IAM 访问管理服务的角色和示例操作
角色 操作
查看者 查看访问策略和定制角色
运算符 查看访问策略和定制角色
编辑者 查看和编辑定制角色

查看 IAM 洞察,策略和设置

管理员 查看,创建,编辑和删除定制角色

查看和更新 IAM 设置

分配对组的访问权

查看,创建,编辑和删除访问策略

角色管理

您可以授予用户创建,更新和删除帐户中服务的定制角色的访问权。

访问管理服务的角色和示例操作
角色 操作
查看者 查看定制角色
运算符 不适用
编辑者 编辑和更新帐户中的定制角色
管理员 在帐户中创建,编辑,更新和删除定制角色

IAM 身份服务

您可以使用IAM身份服务,让用户有权限管理服务ID和身份提供商( IdPs )。 这些操作适用于用户未创建的帐户中的服务标识和 IdPs。 所有用户都可以创建服务标识。 他们是这些标识的管理员,可以创建关联的 API 密钥和访问策略,但只有具有操作员和管理员角色的用户才能创建 IdPs。 此账户管理服务适用于查看、更新、删除和分配对其他用户创建的账户中的服务ID的访问权限。

IAM 身份管理服务的角色和示例操作
角色 操作
查看者 查看标识
运算符 创建和删除标识和 API 密钥

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

删除可信概要文件

编辑者 创建和更新标识和 API 密钥

查看和更新 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

更新可信概要文件

管理员 创建,更新和删除标识和 API 密钥

将访问策略分配给标识

查看,创建,更新和删除 IdPs

更新服务标识和用户 API 密钥创建的 IAM 帐户设置

创建可信概要文件

用户 API 密钥创建者 可以在启用了用于限制 API 密钥创建的帐户设置的情况下,创建 API 密钥。
服务标识创建者 可以在启用了用于限制服务标识创建的帐户设置的情况下,创建服务标识。

IBM Cloud Shell 设置

您可以为用户分配查看和更新帐户的 IBM Cloud Shell 设置的访问权。 只有帐户所有者或具有 IBM Cloud Shell 管理员角色的用户才能查看和更新设置。

IBM Cloud Shell服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 不适用
管理员 查看和更新 IBM Cloud Shell 设置
云操作员 创建 Cloud Shell 环境以管理 IBM Cloud 资源。
云开发人员 创建 Cloud Shell 环境以管理 IBM Cloud 资源并为 IBM Cloud 开发应用程序 (已启用 Web 预览)。
File Manager 创建 Cloud Shell 环境以管理 IBM Cloud资源并管理工作空间中的文件 (已启用文件上载和文件下载)。

许可证和权利

您可以为用户分配管理帐户中的许可证和权利的访问权。 帐户的任何成员都可以查看和使用帐户的权利。

许可证和权利服务的角色和示例操作
角色 操作
查看者 不适用
运算符 不适用
编辑者 编辑者可以创建权利,但只能查看、更新、绑定或删除其所获取的权利。
管理员 管理员可以创建权利,并可以查看、更新、绑定或删除帐户中的任何权利。

Platform Analytics

您可以授予用户查看、创建和共享数据图表的权限。

Platform Analytics服务的角色和示例操作
角色 操作
查看者 查看、搜索、创建、更新和共享数据和图表
管理员 查看、搜索、创建、更新和共享数据和图表。 分配访问权限Platform Analytics。

合作伙伴中心

您可以授予用户查看和编辑合作伙伴概要文件详细信息,商品,快速跟踪以及创建和查看支持案例的访问权。

合作伙伴中心服务的角色和示例操作
角色 操作
查看者 查看有关合作伙伴概要文件,商品,快速跟踪和支持案例的详细信息。
编辑者 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。
运算符
管理员 查看和编辑合作伙伴概要文件,商品和快速跟踪。 创建,编辑和查看支持案例。

合作伙伴中心-销售

您可以授予用户对板载,验证和发布产品的访问权。

合作伙伴中心的角色和示例操作 - 销售服务
角色 操作
管理员 创建,编辑,验证和发布产品
编辑者 验证和编辑产品
核准人 核准或拒绝工作流程实例的任务

项目

您可以授予用户配置,验证和监视基础结构即代码 (IaC) 部署的访问权。

IBM Cloud的角色和示例操作项目服务
角色 操作
查看者 查看有关项目,配置和部署的详细信息。
运算符 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

编辑者 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源

管理员 查看有关项目,配置和部署的详细信息

验证配置

编辑配置

创建项目

编辑项目

删除项目

创建配置

废弃草稿配置

部署配置更改

破坏资源。

强制核准验证失败的更改

Security and Compliance Center

您可以授予用户访问权,以在为您分配了访问权的帐户中创建,更新和删除 Security and Compliance Center 服务的资源。

Security and Compliance Center服务的角色和示例操作
角色 操作
查看者 查看可用概要文件和附件

查看已创建的资源,例如作用域,凭证或规则

查看服务的全局设置

运算符 访问 Security and Compliance Center 仪表板以查看当前状态和结果

创建审计日志以监视合规性活动

编辑者 创建,更新或删除对象 (例如作用域,凭证和收集器)

更新目标的参数设置

创建,更新或删除规则和模板

编辑服务的全局管理设置

管理员 根据分配给此角色的资源执行所有平台操作,包括为其他用户分配访问权限。
管理者 超越作者角色的权限,以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。
读者 在服务中执行只读操作,例如查看服务特定的资源。
写入者 超出读者角色的权限,包括创建和编辑特定于服务的资源。

软件实例

您可以授予用户创建,删除或更新软件实例的访问权。 并且,您可以授予用户查看软件实例的详细信息页面和日志的访问权。

软件实例服务的角色和示例操作
角色 操作
查看者 查看软件实例详细信息页面
运算符 更新软件实例

查看软件实例的详细信息页面

编辑者 创建,删除和更新软件实例

查看软件实例的详细信息页面

管理员 创建,删除和更新软件实例

查看软件实例的详细信息页面

查看软件实例的日志

分配 IAM 许可权

支持中心

您可以授予用户管理支持案例的访问权。

支持中心服务的角色和示例操作
角色 操作
查看者 查看案例

搜索案例

运算符 不适用
编辑者 查看案例

搜索案例

更新案例

创建案例

管理员 查看案例

搜索案例

更新案例

创建案例

为用户分配用户管理服务上的查看者角色以及支持中心访问策略,以便用户可以查看帐户中的所有案例,而不考虑用户列表可视性设置。 如果将用户列表可视性设置为受限,那么这会限制用户在自己未打开的帐户中查看,搜索和管理支持案例的能力。

用户管理

您可以允许用户查看账户中的其他用户,邀请和删除用户,以及查看和更新用户个人资料设置。

用户管理服务的角色和示例操作
角色 操作
查看者 查看帐户中的用户

查看用户概要文件设置

运算符 查看帐户中的用户

查看用户概要文件设置

编辑者 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

管理员 查看,邀请,除去和更新帐户中的用户

查看和更新用户概要文件设置

用户管理服务中的查看者角色通常分配给负责查看或管理支持案例的用户。 如果帐户所有者在 IAM 设置中限制用户列表的可视性,那么用户无法看到帐户中其他用户打开的支持案例。 但是,如果他们被分配了用户管理服务的查看者角色,则用户列表可见性设置不会影响查看账户中的案例。

Activity Tracker Event Routing

您可以授予用户运行平台操作的访问权。

Activity Tracker Event Routing服务的角色和示例操作
角色 操作
查看者 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
运算符 查看 Activity Tracker Event Routing 配置资源,例如路由和目标。
编辑者 查看,创建,更新和删除 Activity Tracker Event Routing 资源。
管理员 查看,创建,更新和删除 Activity Tracker Event Routing 资源。

将用于管理 Activity Tracker Event Routing 资源的访问策略分配给帐户中的其他用户。