IBM Cloud IAM 如何運作
瞭解什麼是 IBM Cloud Identity and Access Management (IAM)、IAM 如何運作、有哪些可用功能,以及如何存取主控台、CLI 和 API 以在您的帳戶中使用 IAM。
IAM 可讓您安全地鑑別平台服務的使用者,並跨 IBM Cloud 一致地控制資源的存取。 一套 IBM Cloud 服務已啟用,可使用 IBM Cloud IAM 進行存取控制,並在您的帳戶內組織為 資源群組,因此您可以讓使用者一次快速存取超過一個資源。 在型錄中,每一個服務都會標示為「已啟用 IAM」。 您可以使用 IAM 存取政策來指派使用者、服務 ID 和可信賴的設定檔存取帳戶內的資源。 而且,您可以將使用者、服務 ID 及授信設定檔分組到 存取群組 中,以輕鬆地為群組的所有成員提供相同層次的存取權。
您可以使用 授信設定檔 來自動分組及授與使用者、服務及應用程式身分的存取權。 透過針對從外部身分提供者 (IdP) 聯合身分的使用者指定基於 SAML 屬性的條件,可以授與使用者對資源的存取權,而不必在使用者符合那些條件時邀請他們加入帳戶。 對於服務及應用程式身分,您可以針對在運算資源中執行的所有應用程式定義細部授權,而無需建立服務 ID 或管理應用程式的 API 金鑰生命週期。
對於不支援使用 IBM Cloud IAM 原則來管理存取權的標準基礎架構,您可以使用 標準基礎架構許可權 文件。
提供哪些特性?
IBM Cloud IAM 針對身分及存取管理需求提供廣泛的特性。
使用者管理
使用統一使用者管理,您可以在平台及標準基礎架構服務的帳戶中新增及刪除使用者。 您可以在存取群組中組織一組使用者,讓一次為多個使用者或服務 ID 指定存取權限的工作變得簡單快速。
精細存取控制
使用者、服務 ID、存取群組及授信設定檔的存取權由原則定義。 在原則內,存取範圍可以指派給資源群組中的一組資源、單一資源或帳戶管理服務。 設定目標後,您可以透過選擇存取角色,定義政策的主題允許哪些動作。 角色可讓您修改針對原則主體所授與的存取層次,以在原則目標上執行動作,不論它是帳戶內的平台管理作業,還是存取服務的使用者介面或完成 API 呼叫。
您也可以將時間型條件新增至原則,以定義原則何時授與存取權,您是要授與帳戶中資源的暫時存取權,還是容許在循環時間範圍期間存取。 如需相關資訊,請參閱 使用時間型條件來限制存取權。
簡化存取管理的存取群組
快速且輕鬆地指派存取群組中組織的使用者群組、服務 ID 或授信設定檔的存取權,方法是指派存取群組的存取權,然後視需要新增或移除身分,以授與或拒絕存取帳戶資源。 存取群組可讓您管理帳戶中最少數量的原則。 如需相關資訊,請參閱設定存取群組。
用來免除認證管理需求的授信設定檔
使用基於公司目錄中 SAML 屬性的條件,自動授與聯合使用者對您帳戶的存取權。 可信賴的設定檔也可用於為在運算資源中執行的應用程式設定細粒度授權。 這樣,您就不需要為計算資源建立服務 ID 或 API 金鑰。 將設定檔新增至存取群組或指派個別原則,以指派對設定檔的存取權,然後視需要新增或移除條件,以授與或拒絕存取帳戶資源。 透過使用授信設定檔,您可以集中管理多個 IBM Cloud 資產的存取生命週期。 如需相關資訊,請參閱 建立授信設定檔。
聯合使用者
您的使用者可能已在公司目錄中具有 IBM Cloud 之外的身分。 如果您的使用者需要使用 IBM Cloud 資源或使用存取這些資源的應用程式,則這些使用者也需要 IBM Cloud 認證。 您可以使用授信設定檔,為從組織或外部 IdP聯合身分的使用者指定許可權。 透過使用IdP,您可以為公司中的使用者提供一種使用單一登入 (SSO) 的方式。 若要使用 IBM Cloud 資源來連接聯合使用者,請參閱 聯合使用者至 IBM Cloud。
視訊記錄
我們很高興介紹最新且最棒的身分類型: IBM Cloud 信任設定檔。 您預期使用最可靠且最有效率的方式來管理您帳戶的存取權,因此讓我們瞭解如何使用授信設定檔。
先前,組織身分及指派存取權限制為存取群組,其中會手動將每一個使用者新增至帳戶。
身為帳戶擁有者,您可以利用公司目錄中已存在的屬性,節省時間並自動授與聯合使用者對帳戶的存取權。
只要根據 SAML 屬性來新增條件,即可定義哪些聯合使用者可以套用設定檔。 這樣,目錄中的變更會立即影響對資源的存取權。
身為聯合使用者,您可以選擇套用其中一個授信設定檔。 登入之後,您可以套用設定檔,或繼續到主控台。
想像一下您想要完成開發人員相關作業的情境,例如使用應用程式元件中的服務實例。 您可以在登入時選取開發人員設定檔,以確保您具有所需的存取權。
同樣地,如果您想要完成管理者相關作業,則可以選取具有特許許可權的管理設定檔。 這樣,您就可以減少錯誤採取特許動作的風險。
您也可以選擇繼續使用主控台來登入帳戶,而不套用設定檔。
要了解有關可信任設定檔如何運作的更多信息,請查看我們的IBM Cloud Identity and Access Management文檔,其中包括教程和其他有用的入門資源!
運算資源
透過使用授信設定檔,您可以為計算資源中執行的所有應用程式定義精細授權,而無需建立服務 ID 或管理應用程式的 API 金鑰生命週期。 授信設定檔提供更好的控制,以授與對運算資源的存取權。
- 應用程式開發人員可以程式設計方式擷取與執行它們的計算資源身分相關聯的記號。 該記號用來取得授信設定檔身分記號,用來存取 IBM Cloud上的服務和資源。
- 在計算資源上執行的應用程式可以具有彈性但安全的方式,從計算資源內存取其他 IBM Cloud 服務。 例如,更安全的方式是不需要儲存 API 金鑰。
- 共用特定條件 (例如名稱、名稱空間、標籤或位置) 的所有計算資源實例,其身分都會對映至一般設定檔,並且可以共用 IBM Cloud 資源的存取權。 此一般身分可讓各種計算資源內的應用程式存取外部資源一次,而非依叢集來存取叢集。
企業管理的 IAM 範本,用於集中管理企業中的存取權
您的企業可以使用企業管理的 IAM 範本,輕鬆擴充存取管理,並確保整個組織的帳戶安全設定一致。 您可以建立 IAM 資源的範本,例如您在整個企業中指派的存取群組、授信設定檔及帳戶安全設定。 當您將 IAM 範本指派給子帳戶時,將會在您選擇的子帳戶中建立企業管理的 IAM 資源。
例如,每個子帳戶中可能有需要相同許可權的特定工作角色。 您可以建立具有必要存取原則的存取群組範本,並將範本指派給企業中的所有子帳戶。 這樣,您可以減少原則漂移,並且可以確定具有該工作角色的使用者僅具有每一個帳戶中所需的存取權。
如需相關資訊,請參閱 企業管理 IAM 如何運作。
用於使用者鑑別的 API 金鑰
您可以為使用者建立多個 API 金鑰,以支援金鑰替換實務範例,並且可以使用相同的金鑰來存取多個服務。IBM Cloud API 金鑰可讓使用雙因素鑑別或聯合 ID 的使用者從指令行自動鑑別至主控台。 使用者也可以有可用來存取標準基礎架構 API 的單一標準基礎架構 API 金鑰;不過,您可以使用 IBM Cloud API 金鑰來存取相同的 API 時,不需要這樣做。 如需相關資訊,請參閱瞭解 API 金鑰。
服務 ID
服務 ID 識別服務或應用程式的方式,與使用者 ID 識別使用者的方式類似。 這些是應用程式可以用於向 IBM Cloud 服務進行鑑別的 ID。 可以為每個服務 ID 指派原則,以控制使用服務 ID 的應用程式容許的存取層次,並且可以建立 API 金鑰來啟用鑑別。 如需相關資訊,請參閱建立及使用服務 ID。
基礎架構即服務 (IaaS) 不支援由服務 ID 所進行的作業。 如果帳戶包含IaaS和PaaS,且操作依賴對IaaS的 API 調用,則由服務 ID 執行的管理功能可能無法如預期運作。 在包含IaaS,請確保帳戶管理員完成管理功能。 例如,功能 ID 可以用於管理功能。 在某些情況下,IBM 支援中心可能能夠協助執行一些跨越 IaaS 和 PaaS的管理功能。
多因子鑑別
您可能需要帳戶中每位使用者的多因子鑑別 (MFA),或是只有不使用 SSO 的非聯合 ID 的使用者才需要。 所有使用 IBMid 的使用者都使用基於時間的一次性密碼 (TOTP) MFA 因素,任何使用不同類型 ID 的使用者都必須啟用,以便分別使用 TOTP、安全問題或外部驗證因素。 如需相關資訊,請參閱多因子鑑別的類型。
如何使用 IBM Cloud IAM?
您可以透過「存取權 (IAM)」使用者介面、CLI 或 API 來存取及使用 IBM Cloud IAM。
- 若要使用主控台存取 IBM Cloud IAM,請移至 Manage > Access (IAM)。
- 移至管理 IAM 存取權、API 金鑰、服務 ID 及存取群組,以檢閱可用的 CLI 指令。
- 移至下列 API 文件,以檢閱可用的 API: