管理服务之间的访问授权
使用 IBM Cloud® Identity and Access Management (IAM)创建或删除授权,允许 IBM Cloud Activity Tracker Event Routing 访问其他服务。
授权
IAM的许多功能都集中在管理和执行用户和应用程序IBM Cloud 资源的访问上。 然而,您可能还会遇到其他情况,需要提供一种服务,以便访问其他服务中的用户资源。 此类型访问权称为授权。
在服务对服务 S2S 授权中:
- 源服务是指被授予访问目标服务权限的服务。
- 您所选择的角色决定了源服务的访问权限。
- 目标服务是指您根据分配的角色授权源服务访问的服务。
- 源服务可以位于创建授权的同一账户,也可以位于另一个账户。
- 目标服务始终在创建授权的账户内。
您IBM Cloud® 授权页面上 查看特定授权的源账户列,从而确定源服务是位于当前账户还是另一个账户。
有关更多信息,请参阅使用授权来授予服务之间的访问权。
服务到服务授权
下表列出了在使用 IBM Cloud Activity Tracker Event Routing时可以配置的不同 S2S 授权:
| S2S | 源服务 | 目标服务 |
|---|---|---|
| 授权将数据写入存储桶 | IBM Cloud Activity Tracker Event Routing | IBM Cloud Object Storage |
| 授权访问,将数据发送至 IBM® Event Streams for IBM Cloud® | IBM Cloud Activity Tracker Event Routing | IBM® Event Streams for IBM Cloud® |
| 授权访问,将数据发送至 IBM Cloud Logs | IBM Cloud Activity Tracker Event Routing | IBM Cloud Logs |
以下使用案例支持服务到服务的授权:
- IBM Cloud Activity Tracker Event Routing 和目标服务在同一账户下。
- IBM Cloud Activity Tracker Event Routing 和目标服务在不同的帐户中。
管理授权的权限
您必须有权访问目标服务,才能管理服务之间的授权。
如果您在另一个账户的服务和当前账户的目标服务之间创建授权,则您只需要访问目标资源。 对于源账户,您只需要账户ID。
您IBM Cloud Activity Tracker Event Routing定义的授权要求您用于创建 S2S的ID具有以下平台角色:
| 操作 | 管理员 | 运算符 | 编辑者 | 查看者 |
|---|---|---|---|---|
| 查看账户中配置的所有授权 |  |
|||
| 创建授权 | |
|||
| 删除授权 | |
用户只能看到他们在账户中配置的授权。
您IBM Cloud Activity Tracker Event Routing定义的授权要求您用于创建 S2S的ID具有以下服务角色,具体取决于授权类型:
| S2S | 服务 | 服务角色 |
|---|---|---|
| 授权将数据写入存储桶 | IBM Cloud Object Storage | 对象写程序 |
| 授权访问 IBM® Event Streams for IBM Cloud® | IBM® Event Streams for IBM Cloud® | 写入者 |
| 授权访问,将数据发送至 IBM Cloud Logs | IBM® Cloud Logs | 发件人 |
创建授权
请选择以下选项之一创建 S2S:
除去授权
请选择以下选项之一,取消 S2S:
如果从帐户中除去了源服务,那么该服务为其相依服务创建的任何策略都会被自动删除。 同样,如果从帐户中删除了相依服务,那么委派给该服务的所有访问策略也将被删除。