IBM Cloud IAM角色
在帐户中组织成资源组的所有服务均使用 IBM Cloud Identity and Access Management (IAM) 进行管理。 账户所有者自动被赋予账户管理员角色。 作为账户管理员,您可以为用户分配和管理访问权限、创建资源组、创建访问组、创建可信配置文件、查看账单明细和跟踪使用情况,以及创建服务实例。 您可以通过创建策略来为用户、服务ID、访问组和可信配置文件提供访问权限,这些策略为策略主体的访问目标以及定义允许访问类型的角色设置了目标。
IAM 角色 (IAM roles)
您可以根据帐户中用户和资源的特定角色来管理和定义访问权。
-
平台管理角色涵盖一系列操作,包括创建和删除实例、管理凭据以及管理访问权限。 平台角色有管理员、编辑者、操作员和查看者。 平台管理角色还适用于帐户管理服务,这些服务使得用户能够邀请用户,管理服务标识、访问策略和目录条目以及跟踪计费和使用情况,具体取决于他们在帐户管理服务上的分配角色。
-
服务访问角色定义用户或服务对服务实例执行操作的能力,例如访问控制台或执行 API 调用。 最常见的访问角色是经理、作者和读者。 每个服务都将用于处理服务的特定操作映射到其中每个角色。
在 UI 中分配策略时,您可能发现并非所有角色都在此处作为选项列出,这是因为只显示可用于所选服务的角色。 有关启用哪些角色以及每个访问角色允许对每个服务执行的操作的更多信息,请参阅该服务的相关文档。
-
帐户所有者或分配了角色管理服务的管理员角色的用户可以在“IAM 角色”页面上创建服务的定制角色。
您可以查看特定服务的可用角色和关联操作,方法是转至“角色”页面,然后选择要了解更多信息的服务。 这是可以在控制台中创建定制角色的同一页面。
平台管理角色
通过平台管理角色,可以为用户分配各种不同级别的许可权,以在帐户中和服务上执行平台操作。 例如,为目录资源分配的平台管理角色使用户能够完成诸如创建、删除、编辑和查看服务实例之类的操作。 此外,为帐户管理服务分配的平台管理角色使用户能够完成诸如邀请和除去用户、使用资源组以及查看计费信息之类的操作。 有关帐户管理服务的更多信息,请参阅分配对帐户管理服务的访问权。
在创建策略时,选择所有适用的角色。 每个角色允许完成不同的操作,并且不会继承较低角色的操作。
下表提供了用户可以在目录资源和资源组的上下文中执行的一些平台管理操作示例。 请参阅每个目录产品的文档,了解这些角色在用户使用的服务中如何应用。
| 平台管理角色 | 一个或所有启用了 IAM 的服务 | 资源组中所选的服务 | 资源组访问权 |
|---|---|---|---|
| 查看者角色 | 查看实例和凭证 | 仅查看资源组中指定的实例 | 查看资源组 |
| 操作员角色 | 查看实例并管理凭据 | 不适用 | 不适用 |
| 编辑者角色 | 创建、删除、编辑和查看实例。 管理凭证 | 仅对资源组中指定的实例执行创建、删除、编辑、暂挂、恢复、查看和绑定操作 | 查看和编辑资源组的名称 |
| 管理员角色 | 服务的所有管理操作 | 对资源组中指定实例的所有管理操作 | 查看、编辑和管理对资源组的访问权 |
有关用户基于其在帐户管理服务上所分配角色可以执行的特定操作的信息,请参阅分配对帐户管理服务的访问权。
一些服务可能将特定操作映射到与服务管理而非与服务访问相关的平台管理角色。 例如,请查看下表,其中详细说明了映射到这些角色的 Kubernetes Service 服务操作。
| 平台管理角色 | 操作 | Kubernetes Service 的操作示例 |
|---|---|---|
| 查看者 | 可以查看服务实例,但是不能修改它们 | -列出集群 -查看集群的详细信息 |
| 编辑者 | 执行除管理帐户和分配访问策略之外的所有其他平台操作 | -将服务绑定到集群 -创建 Webhook |
| 运算符 | 执行配置和操作服务实例所需的平台操作,如查看服务的仪表板 | -添加或除去工作程序节点 -重新启动或重新装入工作程序节点 -将服务绑定到集群 |
| 管理员 | 基于分配给此角色的资源执行所有平台操作,包括向其他用户分配访问策略 | -除去集群 -创建集群 -更新用户访问策略 -查看者,编辑者和操作员可以执行的所有操作 |
服务访问角色
服务访问角色可使用户分配有不同级别的许可权,以调用服务 API 和访问服务的 UI。 下表提供根据所分配的角色,可使用 Object Storage 服务执行的操作示例。
根据您为策略所选择的服务不同,每个已分配角色可采取的操作也有所不同。 不是所有服务都使用这些角色类型。 请参阅服务文档,以获取更多详细信息。
| 服务访问角色 | 操作 | Object Storage 服务的操作示例 |
|---|---|---|
| 读者 | 在服务内执行只读操作,如查看特定于服务的资源 | 列出和下载对象 |
| 写入者 | 高于读取者角色的许可权,包括创建和编辑特定于服务的资源 | 创建和销毁存储区和对象 |
| 管理者 | 高于写入者角色的许可权,可完成服务所定义的特权操作,还可以创建和编辑特定于服务的资源 | 管理数据存储的各个方面,创建、销毁存储桶和对象 |
定制访问角色
帐户所有者或对角色管理服务分配了管理员角色的用户可以在“IAM 角色”页面上为服务创建定制角色。 可以将可用于任何平台或服务角色的服务的任意数量的操作组合在一起,并将其添加到定制指定角色。
创建角色后,可以为该服务分配访问权的任何用户都会将新定制角色视为选项。 更多信息,请参阅 创建自定义角色。