管理服务访问权
App Configuration 使用 IBM Cloud® Identity and Access Management (IAM) 来执行授权和认证。
您账户中用户对App Configuration服务实例的访问由IBM Cloud® Identity and Access Management控制。(IAM)控制。 必须为帐户中需要访问 App Configuration的每个用户分配具有特定访问策略的 IAM 角色。 访问策略决定了用户可以在所选服务或实例的上下文中执行哪些操作。 允许的操作由 IBM Cloud 服务进行定制,并定义为允许在服务上执行的操作。 然后,这些操作将映射到 IAM 用户角色。
策略可帮助您在不同级别授予访问权。 其中一些选项是
角色和许可权
通过 IBM Cloud IAM,您可以管理和定义帐户中用户和资源的访问权。App Configuration 服务与 IBM Cloud IAM 角色保持一致,以便根据分配的角色,每个用户具有不同的服务视图。
角色定义了用户或服务 ID 可以执行的操作。 以下类型的角色位于 IBM Cloud中:
- 平台管理角色使用户能够在平台级别对服务资源执行任务,例如为服务分配用户访问权限、创建或删除服务 ID、创建实例、为其他用户分配服务策略或将实例绑定到应用程序。
- 服务访问角色支持为用户分配各种级别的许可权以调用服务的 API。
App Configuration同时使用平台和服务管理角色。 您可以在平台级别设置有关谁可以创建实例的策略,然后使用服务角色来管理与实例本身的交互。 作为实例的创建者,您无需设置任何 IAM 策略即可查看或使用App Configuration实体。
有关完整的 IAM 文档,请参阅 IBM Cloud中的 管理访问权。
查看可用的平台和服务角色以及映射到每个角色的操作,以帮助您分配访问权。 如果要使用 API 来分配访问权,请使用 apprapp 作为服务名称。
| 角色 | 描述 |
|---|---|
| 查看者 | 作为查看者,您可以查看服务实例,但是您无法修改它们。 |
| 管理员 | 作为管理员,您可以基于分配给此角色的资源,执行所有平台操作,包括向其他用户分配访问策略。 |
| 运算符 | 作为操作员,您可以执行配置和操作服务实例所需的平台操作,例如查看服务的仪表板。 |
| 编辑者 | 作为编辑者,您可以执行所有平台操作,但管理帐户和分配访问策略除外。 |
| 角色 | 描述 |
|---|---|
| 管理者 | 作为管理者,您的许可权超过写入者角色,可以完成服务所定义的特权操作。 此外,您还可以创建和编辑服务特定资源。 |
| 读者 | 作为读取者,您可以在服务中执行只读操作,如查看服务特定资源。 |
| 写入者 | 作为写入者,您的许可权超过读取者角色,包括创建和编辑服务特定资源。 |
| 配置运算符 | 作为配置操作程序,您可以切换功能状态。 |
| 客户端 SDK | 作为客户机 SDK 角色,您有权对与客户机 SDK 集成的应用程序中的功能部件标志和属性执行评估。 |
操作
下表详细描述了映射到服务访问角色的操作。 服务访问角色使用户能够访问App Configuration,并调用App ConfigurationAPI。
| 操作标识 | 角色 | 描述 |
|---|---|---|
apprapp.dashboard.view |
Manager,Writer,Config Operator 和 Reader | 查看 App Configuration 仪表板 |
apprapp.collections.list |
Manager,Writer,Config Operator,Reader 和 ClientSDK | 查看集合的能力。 |
apprapp.collections.create |
管理者 | 创建集合的能力。 |
apprapp.collections.update |
管理者 | 编辑或更新现有集合的能力。 |
apprapp.collections.delete |
管理者 | 删除现有集合的能力。 |
apprapp.environments.list |
Manager,Writer,Config Operator 和 Reader | 查看环境的能力。 |
apprapp.environments.create |
管理者 | 创建环境的能力。 |
apprapp.environments.update |
管理者 | 更新或编辑现有环境的能力。 |
apprapp.environments.delete |
管理者 | 删除现有环境的能力。 |
apprapp.features.list |
Manager,Writer,Config Operator 和 Reader | 查看功能标志的能力。 |
apprapp.features.create |
管理者 | 创建功能标志的能力。 |
apprapp.features.update |
管理者 | 更新或编辑现有功能部件标志的能力。 |
apprapp.features.delete |
管理者 | 删除现有功能标志的能力。 |
apprapp.features.patch |
写入者 | 部分更新或编辑现有功能标志的能力。 |
apprapp.features.toggle |
管理器,写程序,配置操作程序 | 启用或禁用现有功能标志的能力。 |
apprapp.properties.list |
Manager,Writer,Config Operator 和 Reader | 查看属性的能力。 |
apprapp.properties.create |
管理者 | 创建属性的能力。 |
apprapp.properties.update |
管理者 | 更新或编辑现有属性的能力。 |
apprapp.properties.delete |
管理者 | 删除现有属性的能力。 |
apprapp.properties.patch |
写入者 | 能够部分更新或编辑现有属性。 |
apprapp.segments.list |
Manager,Writer,Config Operator 和 Reader | 查看客户细分的能力。 |
apprapp.segments.create |
管理者和写入者 | 创建客户细分的能力。 |
apprapp.segments.update |
管理者和写入者 | 更新或编辑现有客户细分的能力。 |
apprapp.segments.delete |
管理者和写入者 | 删除现有客户细分的能力。 |
apprapp.gitconfigs.view |
Manager,Writer,Config Operator 和 Reader | 能够查看 Git 配置。 |
apprapp.gitconfigs.create |
管理者 | 能够创建 Git 配置。 |
apprapp.gitconfigs.update |
管理者 | 更新或编辑现有 Git 配置的能力。 |
apprapp.gitconfigs.delete |
管理者 | 能够删除现有 Git 配置。 |
apprapp.integrations.list |
Manager,Writer,Config Operator 和 Reader | 能够查看 App Configuration 服务与外部服务 (例如 Key Protect,HPCS 和 Event Notifications) 之间的现有集成。 |
apprapp.integrations.create |
管理者 | 能够在 App Configuration 服务与外部服务 (例如 Key Protect,HPCS 和 Event Notifications) 之间创建集成。 |
apprapp.integrations.delete |
管理者 | 能够删除 App Configuration 服务与外部服务 (例如 Key Protect,HPCS 和 Event Notifications) 之间的现有集成。 |
apprapp.originconfigs.list |
Manager,Writer,Config Operator 和 Reader | 能够查看列入允许列表的源 URL。 |
apprapp.originconfigs.update |
管理者 | 向允许列表添加或更新源 URL 的能力。 |
apprapp.workflowconfigs.list |
Manager,Writer,Config Operator 和 Reader | 能够查看工作流程配置。 |
apprapp.workflowconfigs.create |
管理者 | 创建工作流程配置的能力。 |
apprapp.workflowconfigs.update |
管理者 | 更新或编辑现有工作流程配置的能力。 |
apprapp.workflowconfigs.delete |
管理者 | 删除现有工作流程配置的能力。 |
apprapp.changerequest.create |
管理者 | 能够将 ServiceNow 变更请求事件发送到 App Configuration 实例。 |
apprapp.config.export |
Manager,Writer,Config Operator,Reader 和 ClientSDK | 能够获取整个 App Configuration 实例资源 (例如集合,环境,功能部件标志,属性和段) 的 JSON 导出。 |
apprapp.config.import |
管理者 | 能够将资源 (例如集合,环境,功能标志,属性和段) 导入到 App Configuration 实例中。 |
apprapp.config.action |
管理者 | 能够提升或复原现有 Git 配置。 |
apprapp.sse.view |
Manager,Writer,Config Operator,Reader 和 ClientSDK | EventSource 预订服务器发送的事件的能力。 此操作仅供 App Configuration 客户机 SDK 使用。 |
apprapp.usage.create |
Manager,Writer,Config Operator,Reader 和 ClientSDK | 将功能部件标志和属性评估指标重新提交到 App Configuration的能力。 |
apprapp.configaggregatorsettings.update |
管理者 | 启用配置聚合器的功能。 |
apprapp.configaggregatorsettings.list |
Manager,Writer,Config Operator 和 Reader | 验证配置聚合器是否启用的功能。 |
apprapp.configaggregatorstatus.list |
Manager,Writer,Config Operator 和 Reader | 能够查看上次配置收集操作的状态和时间。 |
apprapp.configaggregator.query |
配置聚合器读取器 | 能够列出 IBM 云资源及其配置。 |