IBM Cloud Docs
IBM Cloud IAM 的工作方式

IBM Cloud IAM 的工作方式

了解什么是 IBM Cloud Identity and Access Management (IAM)、IAM的工作原理、可用功能以及如何访问控制台、CLI和API,以便在您的账户中使用IAM。

通过 IAM,您可以在整个 IBM Cloud 上安全地对平台服务的用户进行认证并一致地控制对资源的访问权。 启用了一组 IBM Cloud 服务,以便使用 IBM Cloud IAM进行访问控制,这些服务被组织在您帐户中的 资源组中,以便您可以一次快速授予用户访问多个资源的权限。 其中每个服务在目录中都标注为“支持 IAM-enabled”。 您可以使用IAM访问策略来分配用户、服务ID和可信配置文件对您账户内资源的访问权限。 此外,您可以将用户,服务标识和可信概要文件分组到 访问组 中,以便为该组的所有成员提供相同级别的访问权。

您可以使用 可信概要文件 来自动对用户,服务和应用程序身份进行分组和授予访问权。 通过为其身份从外部身份提供者 (IdP) 联合的用户指定基于 SAML 属性的条件,可以授予用户对资源的访问权,而不必在满足这些条件时邀请用户加入帐户。 对于服务和应用程序身份,您可以为在计算资源中运行的所有应用程序定义细颗粒度授权,而无需创建服务标识或管理应用程序的 API 密钥生命周期。

账户中的 IAM 访问控制
账户中的 IAM 访问如何使用访问组。 服务 ID 并选择IBM Cloud也可以假设受信任的配置文件。

对于不支持使用 IBM Cloud IAM 策略来管理访问权的经典基础架构,您可以使用 经典基础架构许可权 文档。

提供了哪些功能?

IBM Cloud IAM 提供了各种功能来满足您的身份和访问权管理需要。

用户管理

通过统一用户管理,您可以在一个帐户中添加和删除平台和经典基础架构服务的用户。 您可以将一组用户组织到一个访问组中,以便快速轻松地同时为多个用户或服务ID分配访问权限。

细颗粒度访问控制

用户,服务标识,访问组和可信概要文件的访问权由策略定义。 在策略中,可以将访问权的作用域分配给资源组中的一组资源、分配给单个资源或分配给帐户管理服务。 目标设定后,您可以通过选择访问角色来定义策略主体允许的操作。 角色用于提供定制为策略主体授予的访问权级别的方法,以对策略目标执行操作,无论是帐户中的平台管理任务,还是访问服务的 UI 或执行 API 调用。

您还可以向策略添加基于时间的条件,该条件用于定义策略授予访问权的时间,是要授予对帐户中资源的临时访问权还是允许在重现时间范围内进行访问。 有关更多信息,请参阅 使用基于时间的条件限制访问权

用于简化访问管理的访问组

通过分配对访问组的访问权,然后根据需要添加或除去身份以授予或拒绝对帐户资源的访问权,快速轻松地为组中组织的一组用户,服务标识或可信概要文件分配访问权。 访问组使您能够管理帐户中最少数量的策略。 有关更多信息,请参阅设置访问组

用于消除管理凭证需求的可信概要文件

根据公司目录中的 SAML 属性,使用条件自动授予联合用户对您帐户的访问权。 可信配置文件还可用于为在计算资源中运行的应用程序设置精细授权。 这样,您就无需为计算资源创建服务标识或 API 密钥。 通过将概要文件添加到访问组或分配个别策略来分配对该概要文件的访问权,然后根据需要添加或除去条件以授予或拒绝对帐户资源的访问权。 通过使用可信概要文件,您可以集中管理多个 IBM Cloud 资产的访问生命周期。 有关更多信息,请参阅 创建可信概要文件

联合用户

您的用户可能已在公司目录中的 IBM Cloud 外部具有身份。 如果您的用户需要使用 IBM Cloud 资源或使用访问这些资源的应用程序,那么这些用户还需要 IBM Cloud 凭证。 您可以使用可信概要文件为其身份是从组织或外部 IdP联合的用户指定许可权。 通过使用IdP,您可以为公司用户提供使用单点登录(SSO)的方法。 要将联合用户与 IBM Cloud 资源连接,请参阅 将用户联合到 IBM Cloud

视频文字记录

我们很高兴介绍最新的最大身份类型: IBM Cloud 可信概要文件。 您期望最可靠和高效的方法来管理对帐户的访问权,让我们来了解如何使用可信概要文件。

以前,组织身份和分配访问权仅限于访问组,其中每个用户都会手动添加到帐户。

作为帐户所有者,您可以通过利用公司目录中已存在的属性来节省时间并自动授予联合用户对帐户的访问权。

只需根据 SAML 属性添加条件,即可定义哪些联合用户可以应用概要文件。 这样,目录中的更改会立即影响对资源的访问。

作为联合用户,您可以选择应用许多可信概要文件中的一个。 登录后,可以应用概要文件,或者继续到控制台。

设想一个场景,您希望完成与开发者相关的任务,例如使用应用程序组件中的服务实例。 您可以在登录时选择开发者概要文件,以确保您具有所需的访问权。

同样,如果要完成与管理员相关的任务,可以选择具有特权许可权的管理员概要文件。 这样,您就可以减少错误地执行特权操作的风险。

您还可以选择通过继续使用控制台来登录到帐户,而不应用概要文件。

要了解有关受信任配置文件如何工作的更多信息,请查看我们的IBM Cloud Identity and Access Management文档,其中包括教程和其他有用的入门资源!

计算资源

通过使用可信概要文件,您可以为在计算资源中运行的所有应用程序定义细颗粒度授权,而无需创建服务标识或管理应用程序的 API 密钥生命周期。 可信概要文件为授予对计算资源的访问权提供了更好的控制。

  • 应用程序开发者可以通过编程方式检索与他们正在运行的计算资源身份相关联的令牌。 该令牌用于获取可信概要文件身份令牌,该令牌用于访问 IBM Cloud上的服务和资源。
  • 在计算资源上运行的应用程序可以灵活但安全地从计算资源中访问其他 IBM Cloud 服务。 例如,不必存储 API 密钥更安全。
  • 共享特定条件 (例如,名称,名称空间,标记或位置) 的所有计算资源实例,其身份都映射到公共概要文件,并且可以共享对 IBM Cloud 资源的访问权。 这种公共身份使各种计算资源中的应用程序能够一次性访问外部资源,而不是逐个集群地访问。

企业管理的 IAM 模板,用于集中管理企业中的访问权

您的企业可以通过使用企业管理的 IAM 模板,轻松扩展访问管理,并确保整个组织中的帐户安全设置一致。 您可以为 IAM 资源创建模板,例如您在整个企业中分配的访问组,可信概要文件和帐户安全设置。 当您将 IAM 模板分配给子账户时,将在您选择的子账户中创建企业管理的 IAM 资源。

例如,每个子帐户中可能存在需要相同许可权的特定作业角色。 您可以使用必需的访问策略创建访问组模板,并将该模板分配给企业中的所有子帐户。 这样,您可以减少策略漂移,并且可以确保具有该作业角色的用户仅具有每个帐户中必需的访问权。

有关更多信息,请参阅 企业管理的 IAM 如何工作

用于用户认证的 API 密钥

您可以为用户创建多个 API 密钥以支持密钥轮换方案,并且同一密钥可用于访问多个服务。IBM Cloud API 密钥支持使用双因子认证或联合标识的用户从命令行自动向控制台进行认证。 用户还可以具有单个经典基础架构 API 密钥,可用于访问经典基础架构 API;但是,这不是必需的,因为您可以使用 IBM Cloud API 密钥来访问相同的 API。 有关更多信息,请参阅了解 API 密钥

服务标识

服务标识识别服务或应用程序的方式与用户标识识别用户的方式相似。 这些是应用程序可以用于向 IBM Cloud 服务进行认证的标识。 可以为每个服务标识分配策略,以控制使用服务标识的应用程序允许的访问级别,并且可以创建 API 密钥来启用认证。 有关更多信息,请参阅创建和使用服务标识

基础结构即服务 (IaaS) 不支持由服务标识执行的操作。 如果账户中包含IaaS和PaaS,如果操作依赖于对IaaS 的 API 调用,则由服务 ID 执行的管理功能可能无法按预期运行。 在包含 "IaaS,的账户中,确保账户管理员完成管理功能。 例如,功能标识可用于管理功能。 在某些情况下,IBM 支持可能能够帮助执行一些跨 IaaS 和 PaaS的管理功能。

多重验证

您可能需要对帐户中的每个用户或仅对具有非联合标识且不使用 SSO 的用户执行多因子认证 (MFA)。 所有使用 IBMid 的用户都使用基于时间的单次密码(TOTP)多重验证因子,而任何使用不同类型ID的用户都必须单独启用TOTP、安全问题或外部验证因子。 有关更多信息,请参阅多因子认证的类型

服务到服务授权

在需要为一个服务提供对另一个服务的访问权的场景中,您可以使用服务到服务授权来创建策略。 有关更多信息,请参阅使用授权来授予服务之间的访问权

如何使用 IBM Cloud IAM?

您可以通过“访问权 (IAM)”UI、CLI 或 API 来访问和使用 IBM Cloud IAM。