限制用户创建服务标识
缺省情况下,帐户的所有成员都可以创建服务标识。 但是,可以限制访问权,以便只有具有正确访问权的成员才能使用服务标识创建设置来创建服务标识。 有关服务标识的更多信息,请参阅创建和使用服务标识。
如果服务 ID 创建由企业管理,则如果企业管理设置不那么严格或被删除,则账户级定义的设置适用。
启用限制以在控制台中创建服务标识
要启用此设置以限制用户创建服务标识,您必须具有以下已分配的访问权:
- 在 IAM Identity Service 上具有
Administrator,Operator或Editor角色的 IAM 策略。
如果启用“限制服务 ID 创建”设置,则账户中的用户(包括账户所有者)需要特定权限才能创建服务 ID。 要限制可以创建服务标识的人员,请使用以下步骤:
- 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM),然后选择 设置。
- 在“账户”部分,启用“限制服务 ID 创建”。
- 单击是以确认。
现在,已启用此设置以限制用户创建服务标识,您可以分配必需的访问权以使特定用户能够继续创建服务标识。 请记住,还需要为帐户所有者分配此显式访问权。
启用限制以使用 Terraform 创建服务标识
如果启用“限制服务 ID 创建”设置,则账户中的用户(包括账户所有者)需要特定权限才能创建服务 ID。
要启用此设置以限制用户创建服务标识,您必须具有以下已分配的访问权:
- 在 IAM Identity Service 上具有
Administrator,Operator或Editor角色的 IAM 策略。
在使用 Terraform 设置登录会话限制之前,请确保已完成以下操作:
- 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
- 创建名为
main.tf的 Terraform 配置文件。 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档。
要限制可以创建服务标识的人员,请使用以下步骤:
-
在
main.tf文件中创建自变量。 以下示例允许限制使用ibm_iam_account_settings和iam_account_settings_instance资源来创建服务标识。 -
定义是否限制创建服务标识。 受支持的有效值为
- RESTRICTED-应用访问控制
- NOT_RESTRICTED-除去访问控制
- NOT_SET-取消设置先前的集合值。
resource "ibm_iam_account_settings" "iam_account_settings_instance" { restrict_create_service_id = "RESTRICTED" } -
从
main.tf文件供应资源。 有关更多信息,请参阅 使用 Terraform 供应基础架构。-
运行
terraform plan以生成 Terraform 执行计划来预览建议的操作。terraform plan -
运行
terraform apply以创建计划中定义的资源。terraform apply
-
有关更多信息,请参阅 Terraform 文档。
分配访问权以创建在控制台中启用了限制的服务标识
如果启用了服务标识创建设置,那么只有在 IAM Identity Service 上分配了 Service ID creator 角色的用户 (包括帐户所有者) 才能创建服务标识。
向一组用户分配创建服务标识所需的访问权的最快方法是创建访问组并向该组分配所需的角色。 有关分配访问策略的更多信息,请参阅 设置访问组。