IBM Cloud Docs
使用存取群組來指派資源的存取權

使用存取群組來指派資源的存取權

快速開始使用 IBM Cloud Identity and Access Management (IAM),方法為設定存取群組以進行快速存取指派、邀請使用者加入您的帳戶,以及管理其存取。

本指導教學適用於已啟用 IAM 的資源。 對於不支援建立 IAM 原則來管理存取權的標準基礎架構,您可以檢閱 標準基礎架構許可權 文件。

開始之前

如果您不熟悉 IAM,請查看以下文件以了解有關存取管理系統的功能、概念和元件的更多資訊:

建立存取群組

若要簡化為帳戶中的使用者指派存取權限的過程,您可以建立存取群組。 存取群組是一種組織使用者和服務 ID 的方法,以便您可以透過為整個群組新增一個或多個策略來輕鬆指派存取權限。 然後,您可以視需要新增或移除使用者及服務 ID,而不是將個別存取權指派給每一位使用者。

需要唯一名稱才能區分帳戶中的存取群組。

設定您的群組

若要建立存取群組,請完成下列步驟:

  1. 在IBM Cloud控制台中,按一下管理>存取權限 (IAM),然後選擇存取群組
  2. 按一下建立
  3. 輸入唯一名稱以識別您的存取群組及選用說明。
  4. 按一下建立

接下來,藉由新增使用者或服務 ID 繼續設定群組:

  1. 選擇您要更新的群組的名稱。
  2. 按一下新增使用者
  3. 從清單選取您要新增的使用者,然後按一下新增至群組
  4. 若要新增服務 ID 至群組,請按一下服務 ID
  5. 從清單選取您要新增的 ID,然後按一下新增至群組

為群組指派存取權

建立存取群組之後,您可以使用一個以上原則,將存取權指派給群組的所有成員。 透過將具有單一原則之資源群組的存取權指派給使用者群組,您可以減少需要管理的整體原則數目。

  1. 存取標籤中,按一下指派存取權限

  2. 選取單一服務或服務群組。 然後按下一步

  3. 根據屬性來設定所有資源或特定資源的存取權範圍。 然後按下一步

  4. 選取您要指派的存取層次。

    如果您要指派對已啟用 IAM 的服務的存取權,則部分服務支援使用進階操作員來授與對滿足特定命名慣例之資源的存取權。 如需相關資訊,請參閱 使用萬用字元原則來指派存取權

  5. 按一下 檢閱

  6. 按一下 新增,將原則配置新增至原則摘要。

  7. 按一下 指派,將所有新增的存取權指派給您的存取群組。

邀請使用者

您可以在單一邀請中邀請一位或多位使用者。 如果您在一個邀請中邀請多位使用者,則會將相同的存取權指派給每一位使用者。 不過,您可以在沒有存取權的情況下邀請使用者加入您的帳戶,稍後再將存取權指派給他們。

  1. 在 IBM Cloud 主控台中,移至 管理 > 存取權 (IAM),然後選取 使用者

  2. 按一下邀請使用者。 指定使用者的電子郵件位址。 如果您使用單一邀請來邀請多位使用者,則他們都會獲指派相同的存取權。

  3. 新增您管理的一個以上存取選項。 您必須至少指派一個存取選項。 對於您未新增及配置的任何存取選項,會指派預設值:不可存取。 取決於獲授權管理的選項,您可以指派下列類型的存取權:

    • 訪問群組:針對您希望使用者所屬的每個訪問群組按一下「新增」
    • 存取原則: 指派個別 IAM 存取原則或標準基礎架構許可權。

      • 選擇經典基礎架構,然後從三個權限集中進行選擇。

      • 選取一組服務,例如 所有已啟用身分及存取權的服務所有帳戶管理服務所有 IAM 存取管理服務,或選取特定服務。 接下來,您可以將存取範圍限定為整個帳戶或僅一個資源群組。 然後,選取所有套用的角色。 若要查看映射到每個角色的操作,請按一下每個角色旁邊列出的數字。

        部分服務支援使用進階操作員來授與對滿足特定命名慣例之資源的存取權。 如需相關資訊,請參閱 使用萬用字元原則來指派存取權

  4. 然後,選取所有套用的角色。

  5. 選取新增,將存取指派儲存至邀請。

  6. 在新增所有必要的存取指派之後,請按一下邀請

如需相關資訊,請參閱邀請使用者加入帳戶

管理現有使用者的存取權限

邀請使用者後,您可能需要指派更多存取權限或編輯現有存取權限,以確保帳戶的所有成員都具有正確的存取等級。

指派新的存取權

若要指派新的存取原則,請完成下列步驟:

  1. 在IBM Cloud控制台中,按一下管理>存取權限 (IAM),然後選擇使用者
  2. 在要指派存取權限的使用者所在的行中,按一下 「操作」圖示操作圖示>指派存取權限
  3. 選取服務或服務群組。 然後按下一步
  4. 根據選取的屬性來設定所有資源或特定資源的存取權範圍。 然後按下一步
  5. 選擇角色或權限的任意組合來定義存取範圍,然後按一下檢視。 如需相關資訊,請參閱 IAM 角色
  6. 按一下 新增,將原則配置新增至原則摘要。
  7. 按一下 指派,將所有新增的存取權指派給選取的使用者。

將查看者角色或更高角色指派給包含該資源的資源群組,以確保使用者可以從其資源清單存取該資源。

編輯現有存取權

您可以藉由編輯使用者的獲指派角色,來更新現有存取權。

  1. 在IBM Cloud控制台中,按一下管理>存取權限 (IAM),然後選擇使用者
  2. 選取您要編輯其存取權的使用者名稱。
  3. 按一下 存取
  4. 在您要編輯之原則的列上,按一下 動作 圖示 「動作」圖示 > 編輯
  5. 藉由更新獲指派的角色來編輯原則。
  6. 按一下儲存

下一步

透過建立基於上下文的限制(與傳統 IAM 策略配合使用)來繼續保護您的雲端資源,以提供另一層保護。 或者,透過查看 功能清單 來了解您也可以使用IBM Cloud IAM 做什麼。