IBM Cloud Docs
IBM Cloud 中的身份

IBM Cloud 中的身份

IBM Cloud® IAM的两个主要概念是身份和访问管理。 有关更多信息,请查看以下部分和 访问管理概念

身份概念由用户身份,服务和应用程序身份,用户和服务标识的 API 密钥,可信概要文件和资源身份组成。 用户由其 IBMid,SoftLayer 标识,App ID 用户标识或联合用户属性标识。

IBM Cloud IAM 通过使用策略授予对个人身份或一组身份的访问权。 这些策略允许用户授予访问权,同时通过利用角色和作用域限定的资源遵循最少特权原则。 缺省情况下,除帐户所有者外,用户身份没有任何访问权授予。 每个访问权授予都独立于其他访问权授予,具有许可权的用户可以使用控制台和 API 来访问资源。 允许的操作可以针对单个 API 或一组 API,具体取决于客户需求。 可以在高级别授予对一组资源的访问权,也可以根据客户需求将访问权限定为单个资源。

除去不活动身份的访问权可降低对 IBM Cloud 资源进行未经授权的访问的风险,并帮助您更高效地管理访问权。 有关更多信息,请参阅 识别不活动身份

用户

当个人需要帐户中的数字身份时,最好使用用户标识。 可以邀请用户加入帐户并向其授予对帐户中资源的访问权。 用户使用其 IBMid,SoftLayer 标识,App ID 用户标识或联合用户标识登录。 每个用户还由生成的标识 (称为 IAM 标识) 进行标识。

IAM 标识始终包含用于标识用户提供者的域,例如 IBMid 或外部身份提供者。 在 IAM 标识中,域后跟一系列作为唯一标识的数字。 例如,具有 IBMid 的用户的 IAM 标识将类似于 IBMid-20000AB1C

使用 API 向他人分配访问权时,最常用的是 IAM 标识。 它们用于标识用户,服务标识,可信概要文件或资源。 IAM 标识在控制台,CLI 或 API 中使用时包含在令牌中。 访问策略是使用 IAM 标识定义的,因为它是可以在 IAM 令牌中验证的身份。

要查找 IAM 标识,请转至 管理 > 访问权 (IAM)。 您可以在“我的用户详细信息”部分中查看 IAM 标识。 要查看其他用户的 IAM 标识,请转至 管理 > 访问权 (IAM) > 用户,然后从列表中选择用户名,然后单击 详细信息

用户 API 密钥

IBM Cloud API 密钥是与用户身份关联的凭证。 分配给用户的访问权可以来自该用户所属的多个帐户中的策略。 用户 API 密钥凭证可用于进行 API 和 CLI 调用。 用户 API 密钥可以直接使用,也可以用于生成令牌。

有关使用与用户身份关联的 API 密钥的更多信息,请参阅管理用户 API 密钥

将用户联合到 IBM Cloud

IBM Cloud 为您提供了两种方法来联合公司身份提供者 (IdP),这通过授予员工对 IBM Cloud 的访问权及其公司用户名和密码来简化登录。 您可以 使用 IBMid进行联合,也可以选择创建 IBM Cloud App ID 服务实例,并将其用作将用户联合到 IBM Cloud 帐户的方法。 有关更多信息,请参阅 从外部身份提供者启用认证

这两个联合选项都要求用户是帐户的成员,或者具有可信概要文件对帐户的访问权才能完成操作。 如果未配置可信概要文件,那么帐户所有者或管理员必须邀请个人 IBMid 加入 IBM Cloud 帐户。 仅当受邀的 IBMid 接受邀请时,用户才会将帐户添加为活动用户。 对于 App ID,用户将自动加载到 IBM Cloud,而无需邀请每个用户加入帐户。 在这两种类型的联合中,用户都是可以访问平台的活动 IBM Cloud 帐户用户,包括支持 IAM 的资源和经典基础架构,具体取决于其分配的访问权。

可信概要文件以不同方式处理联合用户。 如果客户联合其公司 IdP,那么不会将来自该 IdP 的用户作为典型用户添加到帐户。 而是在登录时对用户的基于 SAML 的 IdP 属性进行求值,如果这些属性满足可信概要文件的所有条件,那么系统会提示他们应用一个或多个可信概要文件。 可信概要文件授予用户在有限的时间段 (例如,1-4 小时) 内完成专门任务和特定任务所需的访问级别。 基于时间的访问允许频繁进行认证检查以降低安全风险。 这些通常是您希望避免在日常工作中无意中执行的关键任务。 用户无需加载到 IBM Cloud,而是通过信任关系自动添加用户。 如果用户离开公司,您可以在目录中删除该用户的公司身份,这将撤销对 IBM Cloud的访问权。

功能标识

当应用程序或服务需要数字身份以及对支持 IAM 的资源或经典基础架构资源的访问权时,最常使用功能标识。 某些服务在创建服务实例时需要功能标识,例如 Kubernetes Service。

功能标识是存在于身份提供者 (IdP) 用户目录中的一种用户标识类型,但它未与特定用户绑定。 要创建功能标识,必须在用户目录中创建新用户,并邀请他们加入 IBM Cloud 帐户。

功能标识用于创建服务实例,例如 Kubernetes Service 集群。 这样,实例不会链接到可能离开公司的特定人员,这将使实例没有所有者。 通常,与服务标识相比,功能标识在 IBM Cloud 中可以执行更多操作。 例如,可以通过访问策略授予功能标识 (如用户标识) 对服务和应用程序的访问权。

可以为用户创建 IBM Cloud API 密钥并使其与功能标识相关联。 如果服务需要用户 API 密钥以与其他服务或应用程序进行交互,请使用功能标识 API 密钥。 通过使用与功能标识关联的 API 密钥,您只能提供该服务所需的访问权。

如果使用功能标识作为帐户所有者,请改为考虑 设置备用帐户所有者。 这仅适用于经典基础架构帐户。

服务标识

服务ID是账户中的另一种身份标识。 服务标识用于为服务和应用程序提供单独身份。 当应用程序或服务需要数字身份并且仅需要访问启用 IAM 的资源时,最好使用服务标识。 您可以创建一个服务ID,供需要访问您的 IBM Cloud 服务的应用程序使用,这样就不需要使用单个用户的凭据。

服务标识 API 密钥

您还可以创建与服务标识关联的 API 密钥,以将应用程序作为特定服务标识进行认证。 通过这种方式,应用程序可以访问分配给该特定服务标识的资源。 服务标识 API 密钥凭证可用于进行 API 和 CLI 调用。 有关创建与服务标识关联的 API 密钥的更多信息,请参阅管理服务标识 API 密钥

可信概要文件

与 IAM 中的其他身份类似,可信概要文件被视为在 IAM 策略中被授予访问权的主体集。

通常,要让用户对帐户中的资源执行操作,必须将该身份显式添加到帐户中。 通过可信概要文件,用户可以在不被邀请到帐户的情况下完成操作。 相反,当他们在登录期间应用可信概要文件身份时,会自动授予他们对资源的访问权。 只有外部 IdP 联合的用户才能在登录期间通过评估基于 SAML 的属性来映射到可信概要文件,以确定其身份可以应用哪些概要文件。

同样,您可以创建 计算资源的可信概要文件,以定义在计算资源中运行的所有应用程序的细颗粒度授权,而不是创建服务标识,生成 API 密钥以及获取用于存储和验证该密钥的应用程序。 计算资源在用作可信概要文件的一部分时成为身份。 使用计算资源的信任是由基于资源属性的条件建立的,或者创建到特定资源的直接链接。

您还可以 与需要在帐户中运行操作的 IBM Cloud 服务建立信任。 或者,使用可信的利润来从您帐户中的另一个帐户访问权授予 服务标识

资源标识

IAM中身份概念的最后一部分是 IBM Cloud 资源,这些资源由其 云资源名称特定云资源的全局唯一标识。 该值按版本,实例,类型,位置和作用域分层分段,并以冒号分隔。 (CRN)标识。 从目录创建的所有资源都由其 CRN 标识。 这些 CRN 用于 IAM 中的服务到服务授权。 此外,在使用 API 时,可以使用 CRN 来分配对特定资源的访问权。 有关更多信息,请参阅 云资源名称使用授权在服务之间授予访问权

有关更多信息,请参阅 云资源名称使用授权在服务之间授予访问权