IBM Cloud Docs
IAM常见问题解答

IAM常见问题解答

IBM Cloud Identity and Access Management (IAM) 的常见问题可能包括有关资源访问控制、资源组、账户管理、经典基础架构资源和访问组的问题。

要查看 IBM Cloud® 的所有常见问题,请访问我们的 常见问题库

什么是 IBM Cloud Identity and Access Management?

利用 Identity and Access Management (IAM),您可以在整个 IBM Cloud 平台上安全地对平台服务的用户进行认证并控制对资源的访问权。 启用了一组 IBM Cloud 服务以便使用 Cloud IAM 进行访问控制。 这些服务在您的帐户中组织成资源组,让用户能够快速、轻松地一次访问多个资源。 云 IAM 访问策略用于分配用户、服务 ID 和受信任配置文件对账户内资源的访问权限。 有关更多信息,请参阅 IBM Cloud Identity and Access Management

什么是支持 IAM 的服务?

支持 IAM 的服务必须位于资源组中,并且必须使用 IAM 访问策略为其授予对该服务的访问权。 从目录创建支持 IAM 的服务时,必须将其分配给某个资源组。 有关更多信息,请参阅 管理资源

IBM Cloud Kubernetes Service 是唯一的例外;它受 IAM 访问权限控制,但始终分配给默认资源组。 因此,在从目录创建服务时,没有选项让您进行选择。 而且也不能将其分配给其他任何资源组。

IAM 访问策略是什么?

IAM 访问策略是指如何授予账户中的用户、服务 ID、受信任配置文件和访问组使用特定 IAM 启用服务或资源实例、管理资源组或完成账户管理任务的权限。 每个 IAM 访问策略都由主体、目标和角色组成。 主体是指拥有访问权限的人。 目标是主体可以访问的对象。 角色(根据选定目标的上下文,无论角色是平台或是服务角色)定义主体在目标上的访问权级别。

主体是指用户、服务 ID、受信任配置文件或访问组。 目标可以是帐户中的服务、帐户中的资源组、特定资源实例或类型,或者帐户管理服务。 并且,提供的角色选项取决于您选定的目标。 有些服务已定义了特定于服务的角色,也有些仅使用平台角色。 要直观了解此概念,请查看下图中介绍的用于创建 IAM 策略的选项概要:

创建 IAM 策略
如何使用主题、目标和角色创建 IAM 访问策略
如何使用主题、目标和角色创建 IAM 访问策略

如何知道我有权访问哪些内容?

在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM),然后在“用户”页面上选择您的名称。 然后根据您查找的访问权,打开不同的选项卡:

  • 要通过分配给您的访问组确定您的访问权限,请选择“访问”并查看访问组表。
  • 要查看分配给您的 IAM 访问策略,请选择“访问”并查看访问策略表。

映射到每个 IAM 角色的操作有哪些?

邀请新用户或为用户分配 IAM 访问权时,可以查看与每个角色相关联的操作。 单击每个角色旁边列出的数字,以查看映射到特定角色的所有操作的列表。 通过查看操作到角色的映射,您可以自信地确定要分配哪些访问权。

如何请求对资源的访问权?

帐户所有者可以更新对帐户中任意资源的访问权,也可以与在服务或服务实例上被分配了管理员角色的任何用户联系。

如何找到用户或我自己的 IAM 标识?

在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM),然后选择 用户。 然后,从列表中选择您的名称或其他用户的名称。 您可以在“用户详细信息”页面上找到该用户的 IAM 标识及其电子邮件地址。

如何识别用户的平台管理角色和服务访问角色?

  1. 在 IBM Cloud® 控制台中,单击管理 > 访问 (IAM),然后选择用户
  2. 从列表中选择您的姓名或其他用户的姓名。
  3. 单击 访问权 以查看与用户关联的许可权。

将列出帐户所有者的 owner 标记。 此用户将被分配对服务或服务实例的管理员角色。

如何查找和管理用户或我自己的 API 密钥?

在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > API 密钥 以查看和管理您有权访问的 API 密钥。

在何处查找或添加服务凭证?

要查看服务的现有服务凭证或添加新凭证,请通过单击 导航菜单 图标 导航菜单图标 > 资源列表转至资源列表,然后选择服务的名称以打开其详细信息。 单击 服务凭证 以查看详细信息或选择 新建凭证

要保存服务凭证的副本,大多数服务都提供了下载选项或复制到剪贴板的选项。

为什么要使用资源组和访问组?

资源组是资源的逻辑容器。 创建资源时,会将其分配给资源组,并且无法移动该资源。

访问组用于将一组用户、服务 ID 和可信配置文件轻松组织成一个实体,以便轻松分配访问权限。 您可以将单个策略分配给一个访问组以授予所有成员这些权限。 如果有多个用户或服务 ID 需要相同的访问权限,请创建一个访问组,而不是为每个用户、服务 ID 或受信任配置文件多次分配相同的访问权限。

通过同时使用资源组和访问组,可以通过分配有限数量的策略来优化访问权分配策略。 您可以将特定用户组和服务 ID 需要访问的所有资源组织到一个资源组中,将所有用户或服务 ID 编入一个访问组,然后分配一个策略,授予对资源组中所有资源的访问权限。

有关更多信息,请参阅 组织资源和分配访问权的最佳实践

如何确保我的用户可以在资源组中创建资源?

要在资源组中创建资源,用户必须具有两个访问策略:一个分配给资源组本身,另一个分配给组中的资源。 对资源组本身的访问权只是对组织资源的容器的访问权,利用此类策略,用户可以查看、编辑或管理组访问权,但不能访问其中的资源。 通过访问资源组中的服务,用户可以使用服务实例,也就是说,用户可以创建服务实例。

所以,用户至少必须具有以下访问权:

  • 对资源组本身的查看者角色或更高角色
  • 对资源组中该服务或所有服务的编辑者角色或更高角色

如何分配对所有资源组的访问权?

要在所有资源组上为用户,服务标识或访问组分配策略,必须分配以下内容:

  • 所有已启用身份和访问权的服务 的策略,其中选择了 查看者 资源组访问角色。 但是,您还必须至少分配一个平台或服务角色以分配此类型的策略。
  • 具有 查看者 角色或更高角色的 所有帐户管理服务 策略提供了查看所有资源组的访问权。 但是,请注意,此类型的策略还会分配您为每个帐户管理服务选择的角色,因此它可以是一个功能强大的策略,使用户能够管理用户,帐户设置和计费信息等。
  • 具有 仅资源组 和已选择的特定资源组以及已分配的资源组访问角色的策略。 您可以根据需要对帐户中的每个可用资源组重复此类型的策略。

您还可以使用服务上的策略分配对各个资源组的访问权,只要您按名称选择目标资源组并分配资源组访问角色即可。

哪些访问权支持用户使用单个资源?

用户必须在特定资源上分配访问策略,并至少在包含资源的资源组上分配查看器角色。 要分配此类型的策略,请参阅分配对资源的访问权

我需要具有哪种访问权才能提供其他访问权?

对于支持 IAM 的服务,您必须具有对您要分配用户访问权的服务或资源的管理员角色。 如果要为账户中的所有服务或资源分配访问权限,则需要为管理员角色的所有身份和访问启用的服务制定策略。 此外,要为用户分配对帐户管理服务的访问权,您必须已分配有对特定服务或所有帐户管理服务的管理员角色。 为用户分配管理员角色将代表授予和撤销帐户的管理员访问权,包括能够撤销具有管理员角色的其他用户的访问权。

对于经典基础架构,您必须具有“管理用户”经典基础架构许可权以及对要授权用户访问的资源的服务和设备类别许可权。

用于管理资源组的访问权与资源组中资源的访问权有什么差别?

如果具有管理资源组的访问权,就可以查看、编辑名称,并根据分配的角色管理对资源组本身的访问权。 对资源组本身的访问权不会授予用户对组中资源的访问权。

如果具有对资源组中资源的访问权,就可以编辑、删除和创建实例,或者根据分配的角色具有资源组中指定服务的所有管理操作。

例如,帐户管理服务的平台管理角色和操作;请参阅平台角色表

谁可以除去用户?

帐户所有者可以从帐户中除去任何用户,并且任何具有以下访问权的用户都可以从帐户中除去用户:

  • 分配了管理员角色的用户管理帐户管理服务的 IAM 策略。
  • 如果账户中包含经典基础架构,则用户必须拥有分配了管理员角色的用户管理账户管理服务 IAM 策略,并且是经典基础架构用户层次结构中分配了管理用户经典基础架构权限的用户的祖先。

如何要求对我的账户进行多因素身份验证?

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM),然后选择 设置
  2. 在“身份验证”部分,单击“编辑”,为所有用户选择 MFA 或仅为非绑定用户选择 MFA。

有关更多信息,请参阅需要对您帐户中的用户进行 MFA

服务和平台角色有什么差别?

服务和平台角色是两种不同类型的角色:

  • 平台角色是您如何使用帐户中的服务,如创建实例、绑定实例、管理用户对服务的访问权。 例如,对于平台服务,这些角色支持用户创建资源组并管理服务标识。 平台角色包括:管理员、编辑者、操作员和查看者。

  • 服务角色定义能否对服务执行操作,并且是特定于每个服务的,如执行 API 调用或访问 UI。 服务角色包括:管理者、写入者和读取者。 有关如何应用这些角色的更多信息,请参阅特定服务的文档。

如何以帐户管理员的身份为用户分配完全访问权?

要为帐户中的用户分配完全管理员访问权,请转至控制台中的 管理> 访问权 (IAM),选择用户的名称,然后分配以下访问权:

  • IAM 策略在所有启用身份和访问的服务上具有管理员和管理器角色,使用户能够创建服务实例,并分配用户对账户中所有资源的访问权限。

  • 在所有账户管理服务上具有管理员角色的 IAM 策略,可让用户完成邀请和删除用户、管理访问组、管理服务 ID、管理私有目录产品以及跟踪计费和使用情况等任务。

  • 经典基础架构的超级用户许可权集,包括所有可用的经典基础架构许可权

  • 设置为备用帐户所有者的可信概要文件具有最高级别的经典基础架构许可权,并且具有授予完全访问权的两个 IAM 策略。 有关更多信息,请参阅 设置备用帐户所有者

我的帐户中的每个用户都可以看到其他所有用户吗?

帐户所有者可以查看帐户中的所有用户,并选择用户可以如何在“用户”页面上查看帐户中的其他用户。 帐户所有者可以通过选择以下其中一个选项来调整“设置”页面上的用户列表可视性设置

  • 不受限制的视图:帐户中的所有用户都可以查看帐户中的其他所有用户。
  • 限制查看:限制在“用户”页面上查看用户的权限,仅限那些已被授予明确访问权限的用户,以及那些通过经典基础架构用户层次关系对其他用户具有可见性的用户。

邀请用户加入帐户时,需要为其分配访问权吗?

编号 您可以邀请用户,然后再分配访问权限。

用户处于暂挂状态意味着什么?

作为 Pending 列出的用户是已受邀加入 IBM Cloud 但尚未接受其邀请的用户。在用户页面,对这些用户的管理操作包括重新发送邀请或者取消邀请。

在帐户中检查访问组成员资格或访问策略时,您可能会看到与作为邀请的一部分创建的暂挂用户相关的成员资格或策略。这些显示使用 IAM ID BSS-。 此 IAM 标识是成员资格和策略的占位符,直到用户接受邀请为止。 并且,由于用户未向 IBM Cloud注册,因此无法检索 IAM 访问令牌以利用分配的访问权。 当用户接受邀请并向 IBM Cloud注册时,这些成员资格和策略中的标识将替换为其分配的 IAM 标识。

如何将认证添加到 Web 和移动应用程序中?

IAM 用于管理对 IBM Cloud 服务和资源的访问权。 借助 IBM Cloud App ID,您可以通过向 Web 和移动应用程序中添加认证来使云安全性向前迈进一大步。 只需要少数代码行,您就可以轻松地保护在 IBM Cloud 上运行的云本机应用程序和服务。 准备好开始了吗? 查看文档

在哪里管理用户对基础架构的访问权?

经典基础架构的访问权从用户开始。 有关更多信息,请参阅管理经典基础架构访问权

如果需要分配对支持 IAM 的基础架构服务 (例如 IBM Cloud® Virtual Private Cloud) 的访问权,请通过完成以下步骤向用户分配访问权:

  1. 单击管理 > 访问 (IAM) > 用户
  2. 选择用户。
  3. 单击 访问

如何为先前在我的 SoftLayer 帐户中已为其分配计费和支持许可权的用户管理访问权?

先前在 SoftLayer 帐户中分配的所有许可权都可以在 IBM Cloud 控制台中进行管理。 现在,管理已迁移的 SoftLayer 帐户许可权 中提供了用于管理计费信息和支持案例的帐户许可权。 先前在 SoftLayer 帐户中为其分配了这些许可权的所有用户都已迁移到这些访问组,通过对访问组使用 IAM 策略,为其分配了相同的访问级别。

如何确定帐户中存在多少策略?

您可以使用 CLI 查看每个帐户的策略总数,以确保不会超过帐户的限制。

验证方法及其用途是什么?

验证方法用于证明您的身份并访问“验证方法和认证因子”页面。

在更新 MFA 设置后首次登录到您的帐户时,还需要使用两种不同的验证方法来验证您的身份。 验证方法包括电子邮件,文本或电话,您可以使用这些选项的任意组合来验证身份。 验证身份后,在“验证方法和认证因子”页面上设置并提供认证因子的详细信息。

什么是认证因子,它们用于什么?

这些因素可以是您拥有的因素,例如 U2F 安全密钥,也可以是您收到的因素,例如基于时间的一次性密码 (TOTP) 或 OTP。 如果管理员在您所属的至少一个帐户中启用 MFA,那么每次登录时必须提供两个或多个因素。 如果您是多个帐户中的成员,并且至少有一个帐户使用 MFA,那么每次登录时都需要 MFA。 无论您尝试访问的帐户如何,这都适用。 有关更多信息,请参阅 管理验证方法和 MFA 因子

如何重置验证方法?

如果与您的身份关联的电话号码或电子邮件地址发生更改,或者您无法再访问该电话号码或电子邮件地址,那么验证方法将变为不可访问。 要重置验证方法,请 打开支持案例 并添加可用于访问“验证方法和认证因子”页面的验证方法。

如何获取 MFA 设置的新 QR 代码?

要获取 MFA 设置的新 QR 代码,请转至 验证方法和认证因子 页面。 在“认证因子”部分中,单击 显示认证因子 > 添加。 接下来,选择类型并选择 TOTP。 然后,新的 QR 可用。 扫描 QR 代码后,输入认证程序应用程序生成的 TOTP 以确认您的选择。 现在,每次登录时都提供由您刚刚设置的认证程序应用程序生成的 TOTP。

如何更改用于 MFA 的电子邮件地址?

您可以在“验证方法和认证因子”页面上更新用于 MFA 的电子邮件地址。 在“认证因子”部分中,单击 显示认证因子 > 添加。 选择 基于电子邮件,然后输入要将 OTP 作为认证因子接收到的电子邮件地址。 然后,输入您收到的 OTP 以确认您的选择。 接下来,单击 完成。 添加新因子后,选择旧的电子邮件地址,然后单击 除去

可信概要文件能否创建用户 API 密钥?

如果使用可信概要文件,那么无法创建用户 API 密钥。 您仍可以创建和管理所有其他 API 密钥。 例如,服务标识 API 密钥。

要创建用户 API 密钥,IAM 标识和请求用户 API 密钥的用户的 IAM 标识必须相同。 应用可信概要文件时,将采用该概要文件的 IAM 标识。 要为你的身份创建用户 API 密钥,请使用账户切换器从受信任的配置文件切换到你的 IAM ID 是成员的账户。

如何检查用户是否可以应用可信概要文件?

要检查用户是否有资格使用 IBMid 身份提供者 (IdP) 来应用可信概要文件,用户和管理员必须完成特定步骤。

  1. 用户必须转至 IBM Cloud 用户声明
  2. 从此处,将显示声明。
  3. 用户必须向管理员提供声明。
  4. 作为管理员,将用户的声明与为可信概要文件设置的条件进行比较。 要查看可信概要文件的条件,请转至 IBM Cloud 控制台中的 管理 > 访问 (IAM) > 可信概要文件
  5. 单击概要文件并查看 条件 列。
  6. 如果用户的声明满足所有条件,那么用户可以应用概要文件。

如果使用的是不同的IdP,检查企业目录中的用户声明。 然后,将用户的声明与为可信概要文件设置的条件进行比较。 如果声明和规则匹配,那么用户可以应用概要文件。

如何在可信概要文件中与 Kubernetes 服务建立信任?

在 Kubernetes中,服务帐户为在 Pod 中运行的进程提供身份,而名称空间提供用于隔离单个集群中的资源组的机制。 所有 Kubernetes 集群都具有 default 名称空间,并且每个名称空间都具有 default 帐户。

在可信概要文件中与 Kubernetes 服务建立信任时,需要在 namespaceservice account 字段中输入信息。 您可以为这两者输入 default

有关更多信息,请参阅 在 Kubernetes 和 OpenShift 集群 以及 Kubernetes 名称空间中使用可信概要文件

如何查看访问组的动态成员?

要查看访问组中动态成员的列表,请转至 IBM Cloud 控制台中的 管理 > 访问 (IAM) > 访问组。 选择访问组,然后单击 用户。 动态添加的用户由类型 Dynamic 指示。 有关更多信息,请参阅 查看访问组的动态成员

如何在帐户中查找不活动用户,服务标识,可信概要文件和 API 密钥?

要查看帐户中不活动身份的列表,请转至 管理 > 访问权 (IAM) > 不活动身份。 如果不再需要不活动的身份,那么您可能希望将其除去。 有关更多信息,请参阅 识别不活动身份

如何在受信任的配置文件和账户之间切换?

您可以使用控制台菜单栏中的账户切换器在受信任配置文件和您是成员的账户之间进行切换。

帐户切换器的屏幕截图
如何在受信任的配置文件和账户之间切换

如果您不是任何账户的成员,您可能需要退出并重新登录,以选择不同的受信任配置文件。 为此,请完成以下步骤。

  1. 转到 Avatar 图标 Avatar 图标 > 退出
  2. 要确认,请单击注销
  3. 访问 https://cloud.ibm.com/login 重新登录。
  4. 输入您的凭据并点击继续
  5. 在受信任的配置文件登陆页面,选择一个受信任的配置文件。