IBM Cloud Docs
IAM 存取概念

IAM 存取概念

存取管理的概念由幾個相互關聯的元件組成,包括使用者、服務 ID、存取群組、可信賴的設定檔、資源、政策、角色、動作,以及 IBM Cloud IAM 控制系統,它允許使用者對帳戶內的資源採取行動。

IBM Cloud IAM 遵循許多雲端原生服務所共有的 最終一致模式。 因此,IAM 會跨多個全球地區保持高可用性和效能。 對 IAM 存取政策、授權、服務 ID、API 金鑰、存取群組、可信賴的設定檔、資源群組、使用者或任何其他存取控制所做的變更,都會被記錄下來,並在全球所有 IAM 元件和啟用 IAM 的服務中傳播。 在傳播處理程序完成之前,存取變更可能不會生效。

存取群組

可以組織使用者和服務 ID 群組,以便透過使用一個或多個政策,將相同的存取權限指派給群組內的所有成員。 有了存取群組,您就可以簡化存取指派程序,從而管理更少的政策,減少帳戶中的政策數量,進而提高效能。 存取群組可讓您只要在存取群組中新增或移除使用者或服務 ID,即可授與及撤銷存取權。 在設定群組之後,您可以藉由選取存取群組作為原則的主體,來開始指派原則。 如需相關資訊,請參閱 簡化存取管理的存取群組

授信設定檔

使用授信設定檔,您可以在自己的公司目錄內管理使用者的身分。 而且,您可以集中管理聯合使用者的多個 IBM Cloud 帳戶及資產的存取生命週期,而不需要為每一個帳戶內的每一個實體配置存取原則。 您不需要邀請使用者加入您的帳戶,即可讓他們存取您的 IBM Cloud 資源。

您也可以為在計算資源中執行的所有應用程式定義精細授權,而無需建立服務 ID 或管理應用程式的 API 金鑰生命週期。 若要開始為您的組織建立授信設定檔,請參閱 授信設定檔,以免除管理認證的需要

資源

帳戶資源是從型錄中選取的服務實例,或服務實例內較細微的資源,例如 IBM Cloud® Object Storage 儲存區。 啟用 IAM 的資源會在從目錄建立時加入資源群組。

IAM 存取管理可實現細緻的存取,也就是說,政策的設定範圍可以很廣,例如涵蓋資源群組中的所有資源,或是帳號中的特定服務實體,甚至是特定實體中的資源類型 (例如 IBM Cloud Object Storage bucket)。

存取原則

存取原則是如何授與帳戶中使用者、服務 ID、存取群組及授信設定檔存取權,以及對帳戶資源採取動作的方式。 原則包括主體、目標及角色。 主體是您要提供存取權的使用者、服務 ID 或存取群組。 原則的目標是您要提供存取權的資源。 而 IAM 角色可定義原則目標上的存取層次或允許動作。

原則會指派一或多個角色給主體,這些角色定義存取層次,以及一或多個屬性,這些屬性定義原則容許存取的目標。 原則可讓您存取實例層次的單一服務、在資源群組中組織在一起的一組資源,或由一組屬性 (例如位置或資源類型) 所定義的任何一組資源。 原則也可以提供帳戶管理服務的存取權。 根據您指派的 IAM 角色,主體可擁有不同層級的存取權,以完成帳戶管理任務、處理服務實例,或使用主控台或完成 API 呼叫存取服務。

允許使用者和服務 ID 存取帳戶資源的政策有不同類型:資源群組政策、資源實例政策、存取所有 IAM 啟用服務或指定服務的所有實例的帳戶範圍政策,以及所有或一個帳戶管理服務的政策。 根據您的選擇,可能會提供自訂組態選項,例如定義對特定位置資源的存取,或定義對實體內特定服務資源的粒度層級的存取。

除了使用者及服務 ID 的存取原則之外,還有一個稱為授權的原則類型,容許特定服務或服務實例存取其他服務。 您可以在 使用授權來授與服務之間的存取權 文件中,進一步瞭解如何指派服務之間的存取權。

角色

IBM Cloud 存取角色是一組動作。 存取角色可讓使用者及服務 ID 在原則中所定義目標資源的環境定義內完成特定作業。 有兩種預先定義的存取角色:平台管理和服務存取。 第三種類型的存取角色是您可以為服務建立的自訂角色,以結合任何可用的動作集來符合您的組織需求。

平台管理角色定義允許的動作,例如指派使用者存取權限和建立服務實體,以便在平台層級管理資源。 平台角色也適用於可在帳戶管理服務範圍內進行的動作,例如邀請和移除使用者、管理存取群組、管理服務 ID 和私人目錄產品。

服務存取角色定義容許的動作,例如呼叫服務 API 或存取服務的儀表板。 這些角色是根據原則內所選取的服務進行自訂。

當您在主控台內指派存取權時,您可以在角色旁邊查看對映至每一個角色的動作數目,並往下探查至該清單,以確切查看每一個角色所容許的內容。

如需相關資訊,請參閱 IAM 角色

動作

動作會對應到 IBM Cloud IAM 角色,因此使用者被指派不同角色時,只能執行特定任務。 有時候,動作也被稱為權限或作業。 每個角色允許的動作會根據存取的服務而改變,因為每個服務都定義了該角色如何對應服務的使用。 如需相關資訊,請參閱 IAM 角色及動作

企業管理的 IAM 範本

企業管理 IAM 範本是一個有用的工具,可將 企業雲端環境中,進行集中化帳戶及計費管理的帳戶階層式結構。中的存取管理及帳戶安全設定標準化。 範本可讓您以一致的方式定義常用的存取群組、授信設定檔及安全設定,以確保在整個企業中統一套用安全原則。 這對於符合組織標準尤其重要,因為這可能需要在所有或部分帳戶之間一致地配置特定存取管理及安全設定。 透過使用 IAM 範本,您可以簡化安全原則的管理,減少配置錯誤或人為錯誤的風險,並改善整體安全狀態。 如需相關資訊,請參閱 企業管理 IAM 如何運作

子帳戶中的企業管理 IAM 資源具有標籤 enterprise-managed

動作控制項

動作控制項會施行您的喜好設定,子帳戶管理者可以對其帳戶中企業管理的 IAM 資源採取哪些作業。 您可能想要容許子帳戶管理者將成員新增至您在其帳戶中指派的企業管理存取群組。 在此情況下,您可以啟用動作控制項來新增成員。 或者,您可能想要禁止子帳戶管理者將新原則新增至授信設定檔。 依預設,動作控制項會限制子帳戶管理者對其帳戶中的企業管理 IAM 資源進行變更。

存取管理系統

IBM Cloud IAM 控制系統根據指派的存取原則,容許或拒絕使用者或服務 ID 在服務環境定義內的動作。 依預設,每個使用者和服務 ID 都沒有存取權。 每一個新增的存取原則可讓使用者或服務 ID 根據存取原則中選取的指定目標及角色,在帳戶內執行動作。 使用者嘗試完成特定動作時,控制系統會使用原則中所定義的屬性,來判定使用者是否有權執行該作業。 如需相關資訊,請參閱 IBM Cloud IAM 如何運作

何謂 ABAC 及 RBAC?

雲端提供者中有兩種常見的 IAM 系統類型,瞭解每一個模型可協助您進一步瞭解 IAM 在 IBM Cloud中的運作方式。

  • 屬性型存取控制 (ABAC) 使用來自身分的屬性,例如使用者和服務 ID、環境及資源。 存取決策引擎會使用這些屬性來判斷是否應允許或拒絕存取要求。 ABAC 提供比角色型存取控制系統更多的彈性、控制和功能。 ABAC 通常在需要精細存取控制時使用,或在需要使用相同決策引擎來解決各種存取控制使用案例時使用。 ABAC 透過提供精細的存取控制來協助減少安全風險,而且通常更複雜,尤其是在起始設定期間。

  • 角色型存取控制 (RBAC) 使用從身分 (例如使用者或服務 ID) 到角色的對映。 RBAC 角色定義具有 RBAC 角色的身分可以對資源採取的存取類型。 通常可以針對資源類型或資源分組授與存取權。 RBAC 角色通常是根據組織內的工作責任來定義。 RBAC 角色會授與身分執行其工作所需的存取權。 這是一個簡單的模型,因為 IAM 管理者管理 RBAC 角色至身分的對映。 RBAC 角色設定比 ABAC 起始設定更簡單。

IBM Cloud IAM 使用身分和資源屬性來使用 ABAC 模型。IBM Cloud IAM 使用存取原則來儲存 IAM 存取決策引擎所需的屬性資訊。 此外,存取原則會告知 IAM 決策引擎,原則作者需要哪些屬性才能授與資源存取權。

身分支援的屬性為 iam_id 及存取群組 ID。 資源支援的屬性屬於下列其中一個種類:

  • 定義在資源 CRN 中的欄位,例如服務名稱。
  • 全系統定義的資源屬性,例如資源群組。
  • 服務特定的資源屬性,例如名稱空間或儲存區。

每一個服務都會為它所管理的資源定義支援的屬性。 如需相關資訊,請參閱您正在使用之服務的說明文件。

IBM Cloud IAM 中的最佳作法是使用存取群組來管理身分的存取權。 在定義存取群組存取原則之後,授與及撤銷存取權只是在存取群組中新增及移除身分的問題。 使用者或服務 ID 可以屬於管理者想要的任意數目的存取群組,且群組成員會繼承指派給存取群組的所有存取權。 這種方法利用 RBAC 的簡易性,提供 ABAC 的精細存取好處。

熟悉 RBAC 的 IAM 管理者可能會使用存取群組來模擬 RBAC 模型。 在概念上,存取群組類似於 RBAC 角色。 如果您更熟悉使用傳統 RBAC 角色 (例如系統管理者、網路管理者或儲存體管理者),則可以在 IBM Cloud IAM 中定義這些角色,方法是使用具有指派給每一個角色的特定存取原則的存取群組。 如需使用存取群組及指派存取權的最佳作法的相關資訊,請參閱 組織資源及指派存取權的最佳作法

例如,您可以建立稱為 Storage Administrators 的存取群組。 第一次建立時,不會將任何存取權授與存取群組的任何成員。 然後可以將原則指派給存取群組,將「管理者」角色授與現行帳戶中所有儲存體資源,以及未來將建立的任何儲存體資源。 如果新使用者加入團隊,且其在組織中的工作是帳戶的儲存體管理者,則他們可以直接新增至存取群組,並具有執行其工作所需的所有存取權。

這是一個簡單的範例,但此方法可以套用至組織中的任何工作、角色或責任。 指派給存取群組的存取原則可以精細地容許使用案例,例如特定資源群組中所有儲存體的儲存體管理者,甚至僅適用於特定儲存體類型。

如需快速開始進行 IBM Cloud IAM 的相關資訊,方法是設定存取群組以進行快速存取指派、邀請使用者加入您的帳戶,以及管理其存取權,請參閱 指派對資源的存取權