公共访问策略类型

您可以通过指定以下类型的访问策略来为用户、服务标识或访问组提供细颗粒度访问权：

• 所有帐户管理服务
• 专门的账户管理服务
• 所有 IAM 帐户管理服务，这是帐户管理服务的子集，其中包括 IAM 身份，IAM 访问管理，IAM 用户管理和 IAM 组
• 特定 IAM 服务
• 帐户内的所有资源
• 属于单个资源组的所有服务内的所有资源，以及管理该资源组的能力
• 资源组中单个服务内的所有资源，以及管理该资源组的能力
• 整个帐户中单个服务内的所有资源，而不考虑将其分配到的资源组
• 单个实例中的资源
• 实例内的单个资源类型，例如 Object Storage 实例中的存储区

如果要启用用户完全管理员访问权以完成 帐户管理任务，例如邀请和除去用户，查看计费和使用情况，管理服务标识，管理访问组，管理用户访问权以及对所有帐户资源的访问权，那么必须为用户分配以下访问权:

• 帐户中已分配管理员和管理员角色的 所有启用身份和访问权的服务 的策略。
• 具有在 所有帐户管理服务上分配的管理员角色的策略。

分配 IBM Cloud 访问策略

要帮助您进一步了解如何通过使用 IBM Cloud 中与您可能熟悉的其他云提供者相关的访问策略来分配访问权，请查看以下详细信息和访问策略示例。

IBM Cloud IAM 策略由被授予访问权的身份 (主体) (例如用户或服务标识)，被授予访问权的特定资源或服务 (目标) 以及用于定义所选资源或服务的上下文中允许的操作的角色组成。

在 IBM Cloud中，缺省情况下，用户，服务标识或访问组的成员没有任何访问权。 当了解如何允许或拒绝您完成特定操作时，IBM Cloud 访问模型很简单。 直到管理员分配具有特定访问角色的访问策略后，才会授予访问权。 IAM 系统不必评估许可和拒绝策略以确定允许的操作，而系统只需评估您具有策略的资源以及分配的角色允许的访问权级别。

要减少帐户中的策略数并仅保留每个用户所需的最低访问权，您可以识别和除去不常使用的访问策略。 有关更多信息，请参阅 管理不活动策略。

由于 IBM Cloud 是 基于属性的，因此在策略中指定资源时，可以为用户指定要访问的广泛资源集，例如资源组中的所有资源。 或者，您可以缩小用户对单个服务的特定实例或甚至子资源类型 (例如 Object Storage 存储区) 的访问范围。IBM Cloud IAM 提供了高级别的灵活性和粒度，可帮助您仅分配所需的访问权类型。 以下是您可以使用访问策略中的属性分配的不同访问级别的一些示例:

• 所有帐户管理服务
• 专门的账户管理服务
• 帐户中的所有已启用身份和访问权的服务，其中包括使用 IAM 进行访问管理的所有目录服务
• 属于资源组的所有资源
• 整个帐户中单个服务的所有资源类型，而不考虑资源组分配
• 帐户中服务的特定实例
• 实例中的单个子资源类型，例如，Object Storage 实例中的存储桶

如果特定预定义平台或服务角色不适合您在分配访问级别时所查找的内容，那么可以为特定服务创建 定制角色，然后从可用操作中进行选择，以创建符合组织需求的角色。

{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-3IAMISBEST1"
        }
      ]
    }
  ],
  "roles": [
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
    }
  ],
  "resources": [
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "7e522a19eb77477e88e96a600c44fb22"
        },
        {
          "name": "resourceGroupId",
          "value": "abcd2e6fg1h74i44j5kl467m701n5289"
        }
      ]
    }
  ]
}