管理可信资料

随时更新权限或重新定义信任关系，管理可信的个人资料。您还可以删除受信任的配置文件，这样计算资源和联合用户就会与该配置文件断开关联，不再应用受信任的配置文件身份。

当您删除受信任的配置文件时，所有活动会话都会被撤销。用户立即被注销，被删除的个人资料将无法再用于连接目标账户。使用访问令牌的API调用在访问令牌过期前可能成功。

您可以使用 Activity Tracker 来监控哪些联合用户和计算资源应用了可信配置文件。更多信息，请参阅监控可信配置文件的登录会话。

准备工作

您必须在帐户中或通过 IAM Identity Service 指定管理员、操作员或编辑角色，以管理受信任的个人资料。

使用控制台更新可信资料

要更新可信配置文件，请在 IBM Cloud 控制台中依次选择 “管理”> “访问（IAM）”>“可信配置文件”。然后，选择您要更新的可信配置文件的名称。

更新您的个人资料描述

点击您想要更新的可信配置文件的名称，然后选择 “操作” > “编辑”。输入新的名称和描述，然后点击 “应用”。

重新定义信任关系

创建可信配置文件后，您可以在同一可信配置文件中与联合用户和计算资源建立信任。

点击您想要更新的可信配置文件的名称。
点击 “添加” 为现有信任关系添加条件。要编辑现有条件，请点击您要更新的信任关系旁边的行为图标 > 编辑。
- 点击 “添加条件”，根据需要重复添加更多条件。
- 要删除条件，请点击 “删除” 图标现有条件旁边的项。
点击 “保存” 将所有添加或删除的条件应用到您的可信资料中。

分配访问权

您可以通过指定单独的访问策略，或将可信配置文件添加到现有访问组中，来指定对可信配置文件的访问权限。

分配访问权限

点击您想要更新的可信配置文件的名称。
点击访问。
要编辑现有访问策略，请点击您要更新的访问策略旁边的行为图标 > 编辑。
要分配新的访问权限，请点击分配。

您可以根据资源属性选择资源，并分配任意角色组合。

分配访问权限组

点击您想要更新的可信配置文件的名称。
点击访问
要编辑现有访问组成员，请点击您要更新的访问组旁边的行为图标 > 编辑。
要将可信的个人资料添加到新的访问组，请点击 “分配组”。
选择要添加可信配置文件的访问组，然后点击添加。您只能将用户分配到您有权限管理的访问组中。
单击分配。

更新会话持续时间

点击您想要更新的可信配置文件的名称。
在联邦用户部分，点击行为图标，选择您要更新的身份提供商（ IdP ）。
选择编辑
在小时数中，输入联合用户可以使用此配置文件的时间，直到会话过期。
单击保存。

使用CLI更新可信配置文件

您可以使用CLI从您的帐户更新可信资料。更多信息，请参阅 IBM Cloud CLI。

登录并选择帐户。
```
ibmcloud login
```
查看当前账户的可信资料列表，选择您要更新的资料。以下命令显示您 IBM Cloud 账户的可信配置文件列表：
```
ibmcloud iam trusted-profiles
```
如果您想查看可信资料的详细信息，请使用 ibmcloud iam trusted-profile 命令。请指定您要查看的可信配置文件的ID或名称。
```
ibmcloud iam trusted-profile <IDorName>
```
运行以下命令，查看不同选项的概览。
```
ibmcloud iam trusted-profile-update
```
运行以下命令更新可信配置文件。请指定您要更新和重命名的可信配置文件的ID或名称。
```
ibmcloud iam trusted-profile-update <IDorName> -n <NewName> ...
```

例如，以下命令将名称 Test trusted profile 更新为 New test trusted profile。

ibmcloud iam trusted-profile-update <Test trusted profile> -n <New test trusted profile> ...

分配访问权限

您可以使用CLI为您的可信配置文件分配新的访问策略。

登录并选择帐户。
```
ibmcloud login
```
查看当前账户的可信资料列表，选择您要为其分配新访问权限的账户。以下命令显示您 IBM Cloud 账户的可信配置文件列表：
```
ibmcloud iam trusted-profiles
```
通过运行以下命令来指定新的访问策略：
```
ibmcloud iam trusted-profile-policy-create
```

要查看可信配置文件的访问策略详情，请运行以下命令：

ibmcloud iam trusted-profile-policy

要查看可信配置文件的访问策略列表，可以使用 ibmcloud iam trusted-profile-policies 命令：

ibmcloud iam trusted-profile-policies

您可以通过运行 ibmcloud iam trusted-profile-policy-update 命令轻松更新现有的访问策略：

ibmcloud iam trusted-profile-policy-update

如果您想删除某个可信配置文件的访问策略，可以使用 ibmcloud iam trusted-profile-policy-delete 命令：

ibmcloud iam trusted-profile-policy-delete

使用API更新可信资料

更多信息，请参阅 IAM身份服务API。

更新名称或描述

如需更新现有可信配置文件的名称或描述，请拨打以下电话。请输入您更新的 name 和 description 属性。

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID' -H 'Authorization: Bearer TOKEN' -H 'If-Match: <value of etag header from GET request>' -H 'Content-Type: application/json' -H 'Accept: application/json' -d '{
  "name": "My Profile updated",
  "description": "My updated desc"
}'

更新信任关系条件

创建可信配置文件后，您可以在同一可信配置文件中与联合用户和计算资源建立信任。

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID/rules/CLAIM_RULE_ID'
-H 'Authorization: Bearer TOKEN'
-H 'If-Match: <value of etag header from GET request>'
-H 'Content-Type: application/json'
-H 'Accept: application/json'
-d '{
   "type": "Profile-SAML",
   "realm_name": "https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20",
   "expiration": 10000,
   "conditions": [
  {
"claim": "groups",
"operator": "CONTAINS",
"value": "\"cloud-docs-ops\""
  }
  ]
}'

分配访问权限

要设置新的访问权限，请拨打以下电话：

curl -X PUT 'https://iam.cloud.ibm.com/v1/policies'
-H 'Authorization: Bearer $TOKEN'
-H 'Content-Type: application/json'
-H 'If-Match: $ETAG'
-d '{
"type": "access",
"description": "Viewer role for for all instances of SERVICE_NAME in the account.",
"subjects": [
   {
      "attributes": [
      {
         "name": "iam_id",
         "value": "IBMid-123453user"
      }
      ]
   }'
],
"roles":[
   {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
   }
],
"resources":[
   {
      "attributes": [
      {
         "name": "accountId",
         "value": "$ACCOUNT_ID"
      },
      {
         "name": "serviceName",
         "value": "$SERVICE_NAME"
      }
      ]
   }
]
}'

更多信息，请参阅 IAM策略管理API。

更新会话持续时间

要更新联合用户的会话持续时间，请拨打以下电话：

curl -X PUT 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID/rules/CLAIM_RULE_ID'
-H 'Authorization: Bearer TOKEN'
-H 'If-Match: <value of etag header from GET request>'
-H 'Content-Type: application/json'
-H 'Accept: application/json'
-d '{
   "type": "Profile-SAML",
   "realm_name": "https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20",
   "expiration": 10000,
   "conditions": [
  {
"claim": "groups",
"operator": "CONTAINS",
"value": "\"cloud-docs-ops\""
  }
  ]
}'

使用控制台删除信任的配置文件

当您删除受信任的配置文件时，计算资源和联合用户将从该配置文件中取消关联，并且不能再应用受信任的配置文件身份。要删除受信任的个人资料，请完成以下步骤：

要查看帐户中受信任的配置文件的完整列表，请转到 IBM Cloud 控制台中的管理 > 访问 (IAM)，然后选择受信任的配置文件。
单击要删除的受信任配置文件旁边的操作图标，然后选择删除。

使用CLI删除信任的配置文件

您可以使用CLI从您的帐户中删除一个可信的配置文件。更多信息，请参阅 IBM Cloud CLI。

登录并选择帐户。
```
ibmcloud login
```
查看当前账户的可信资料列表，然后选择您要删除的资料。以下命令显示您 IBM Cloud 账户的可信配置文件列表：
```
ibmcloud iam trusted-profiles
```
通过运行以下命令，从您的帐户中删除受信任的配置文件。请指定您要删除的可信配置文件的ID或名称。
```
ibmcloud iam trusted-profile-delete <IDorName>
```

例如，以下命令将删除名为 Test trusted profile 的可信配置文件。

ibmcloud iam trusted-profile-delete <Test trusted profile>

使用API删除可信配置文件

如需从您的账户中删除可信资料，请致电：

curl -X DELETE 'https://iam.cloud.ibm.com/v1/profiles/PROFILE_ID' -H 'Authorization: Bearer TOKEN'

更多信息，请参阅 IAM身份服务API。