帐户中有什么?
IBM Cloud® 帐户包含用于资源、用户和访问管理的许多交互组件和系统。 特定组件如何连接或者访问权的工作原理之类的概念将帮助您了解如何设置帐户。
下图包含账户层次结构中组件的两个重要概念。 实线和虚线的使用有助于说明某些组件包含在其他组件中,例如,用户被添加到访问组中。 但是,某些组件与其他组件进行交互的目的是为了提供访问权,而不是提供成员资格。 例如,授予了用户对资源组的访问权,但这些用户并不会像针对访问组那样,成为资源组的成员。
- 用户
- 可以邀请用户加入帐户并向其授予对帐户中资源的访问权。
- 服务标识
- 服务标识识别服务或应用程序的方式与用户标识识别用户的方式相似。 可以使用创建的服务标识来支持 IBM Cloud 外部的应用程序访问服务。 您可以向服务标识分配特定访问策略,以限制使用特定服务的许可权,甚至可以将访问不同服务的许可权组合在一起。 由于服务标识并不与特定用户绑定,因此即使用户离开组织并被从帐户中删除,该服务标识仍会保留,以确保您的应用程序或服务保持正常运行。 有关更多信息,请参阅创建和使用服务标识。
- 可信概要文件
- 受信任配置文件是联合用户、计算资源、IBM Cloud服务、服务 ID 或实体组合的分组,对这些实体的相同IBM Cloud身份和访问管理(IAM)访问权限可被授予。Identity and Access Management(IAM)访问权限。 应用可信概要文件时,将在会话期间提供临时安全凭证。 允许应用单个概要文件的所有身份将继承相同的访问权。 有关更多信息,请参阅 创建可信概要文件。
- 服务实例或资源
- 服务IBM Cloud是基于资源组的。 可添加到资源组并通过 IAM 进行管理的服务实例称为资源。 有关更多信息,请参阅 创建资源。
- API 密钥
- API 密钥是传入 API 的唯一代码,用于标识调用应用程序或用户。 您可以使用与用户身份关联的平台 API 密钥,也可以为服务标识创建其他 API 密钥。 有关更多信息,请参阅了解 API 密钥。
- 访问组
- 您可以创建一个访问组,将一组用户、服务 ID 和受信任配置文件组织成一个实体,并轻松分配权限。 您可以将单个策略分配给该组,而不用对每个用户或服务标识多次分配相同的访问权。 有关更多信息,请参阅设置访问组。
- 资源组
- 您可以使用资源组在可定制的分组中组织帐户资源,以便您可以一次性快速为用户分配对多个资源的访问权。 使用 IAM 访问控制来管理的任何帐户资源都属于帐户中的资源组。 用户不会添加到资源组,但会为用户提供对资源组内资源的访问权,或者用户可以管理资源组。 授予了资源组管理访问权的用户可以在该组内创建新实例,管理其他用户使用该组的访问权,或者根据分配的 IAM 角色编辑组名。 每个帐户最多可以有 1000 个资源组。 有关更多信息,请参阅 组织资源和分配访问权的最佳实践。
上图的另一个重要方面是描述了两种类型的访问管理系统,可用于为账户用户提供访问账户内资源的权限。