管理 IAM 访问权,API 密钥,可信概要文件,服务标识和访问组 (ibmcloud iam)
使用 IBM Cloud® 命令行界面中的以下命令来管理用户,服务,可信概要文件和访问组的 API 密钥,服务标识,访问组和授权策略。
ibmcloud iam service-ids
列出所有服务标识:
ibmcloud iam service-ids [--uuid]
命令选项
- --uuid
- 仅显示服务标识的 UUID。
示例
列出当前帐户下所有服务标识的 UUID:
ibmcloud iam service-ids --uuid
ibmcloud iam service-id
显示服务标识的详细信息:
ibmcloud iam service-id (NAME|UUID) [--uuid]
命令选项
- NAME(必需)
- 服务的名称,与 UUID 互斥。
- UUID(必填)
- 服务的 UUID,与 NAME 互斥。
- --uuid
- 显示服务标识的 UUID。
示例
显示服务标识 sample-test
的详细信息:
ibmcloud iam service-id sample-test
显示服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
的详细信息:
ibmcloud iam service-id ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam service-id-create
创建服务标识:
ibmcloud iam service-id-create NAME [-d, --description DESCRIPTION] [--lock]
命令选项
- NAME(必需)
- 服务的名称。
- -d, --description
- 服务标识的描述。
- --lock
- 在创建期间锁定服务标识。
示例
创建服务名称为 sample-test
且描述为 hello, world!
的服务标识:
ibmcloud iam service-id-create sample-test -d 'hello, world!'
创建服务名称为 sample-test
且描述为 hello, world!
的锁定服务标识:
ibmcloud iam service-id-create sample-test -d 'hello, world!' --lock
ibmcloud iam service-id-update
更新服务标识:
ibmcloud iam service-id-update (NAME|UUID) [-n, --name NEW_NAME] [-d, --description DESCRIPTION] [-f, --force]
命令选项
- NAME(必需)
- 服务的名称,与 UUID 互斥。
- UUID(必填)
- 服务的 UUID,与 NAME 互斥。
- -n, --name
- 服务的新名称。
- -d, --description
- 服务的新描述。
- -f, --force
- 更新而不确认。
示例
将服务标识 sample-test
重命名为 sample-test-2
而不确认:
ibmcloud iam service-id-update sample-test -n sample-test-2 -f
更新服务描述 sample-test
:
ibmcloud iam service-id-update sample-test -d 'hello, friend!'
使用新描述将服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
重命名为 sample-test-3
:
ibmcloud iam service-id-update ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 -n sample-test-3 -d 'hello, my friends!'
ibmcloud iam service-id-delete
删除服务标识:
ibmcloud iam service-id-delete (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 服务的名称,与 UUID 互斥。
- UUID(必填)
- 服务的 UUID,与 NAME 互斥。
- -f, --force
- 删除而不确认。
示例
删除服务标识 sample-teset
而不确认:
ibmcloud iam service-id-delete sample-teset -f
删除服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
:
ibmcloud iam service-id-delete ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam service-id-lock
锁定服务标识:
ibmcloud iam service-id-lock (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 服务的名称,与 UUID 互斥。
- UUID(必填)
- 服务的 UUID,与 NAME 互斥。
- -f, --force
- 锁定而不确认。
示例
锁定服务标识 sample-teset
而不确认:
ibmcloud iam service-id-lock sample-teset -f
锁定服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
:
ibmcloud iam service-id-lock ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam service-id-unlock
解锁服务标识:
ibmcloud iam service-id-unlock (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 服务的名称,与 UUID 互斥。
- UUID(必填)
- 服务的 UUID,与 NAME 互斥。
- -f, --force
- 解锁而不确认。
示例
解锁服务标识 sample-teset
而不确认:
ibmcloud iam service-id-unlock sample-teset -f
解锁服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
:
ibmcloud iam service-id-unlock ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam api-keys
列出所有 IBM Cloud 平台 API 密钥:
ibmcloud iam api-keys [--uuid]
命令选项
- --uuid
- 显示API密钥的UUID。
ibmcloud iam api-key-create
创建 IBM Cloud 平台 API 密钥:
ibmcloud iam api-key-create NAME [-d DESCRIPTION] [--file FILE] [--lock]
使用带有API密钥IBM Cloud 登录无法与 control.softlayer.com
选项中的旧版SL API密钥一起使用。 使用API密钥IBM Cloud 时,需要升级IBM Cloud,通过 cloud.ibm.com 管理基础设施。
命令选项
- NAME(必需)
- 要创建的 API 密钥的名称。
- - -d 描述(可选 )
- API 密钥的描述。
- --file文件 文件
- 将 API 密钥信息保存到指定的文件。
- --action-if-leaked value
- 密钥泄漏时要执行的操作可以是 "NONE","DISABLE" 或 "DELETE"。 缺省值为“禁用”。
- --lock
- 锁定创建的 API 密钥。
示例
创建一个API密钥并将其保存到文件中:
ibmcloud iam api-key-create MyKey -d "this is my API key" --file key_file
创建名称为“test-key”的锁定 API 密钥:
ibmcloud iam api-key-create test-key --lock
ibmcloud iam api-key-update
更新 IBM Cloud 平台 API 密钥:
ibmcloud iam api-key-update (NAME|UUID) [-n name] [-d description]
命令选项
- NAME(必需)
- API密钥的旧名称将被更新,仅使用UUID。
- UUID(必填)
- API密钥的唯一标识符(UUID)将仅通过名称进行更新。
- - -n 名字(可选 )
- API 密钥的新名称。
- - -d 描述(可选 )
- API 密钥的新描述。
- --action-if-leaked value
- 密钥泄漏时要执行的操作可以是 "NONE","DISABLE" 或 "DELETE"。 默认为“禁用”
示例
更新 API 密钥的描述:
ibmcloud iam api-key-update MyKey -d "the new description of my key"
使用 NAME 和 UUID 命令选项时,帐户需要 iam-identity.apikey.manage
特权。 有关更多信息,请参阅 管理用户 API 密钥 和 IAM Identity Service。
ibmcloud iam api-key-delete
删除 IBM Cloud 平台 API 密钥:
ibmcloud iam api-key-delete (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 要删除的API密钥名称,仅使用UUID。
- UUID(必填)
- 要删除的API密钥的UUID,仅与名称相关。
- -f, --force
- 强制删除而不确认。
ibmcloud iam api-key-lock
锁定平台 API 密钥:
ibmcloud iam api-key-lock (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 要锁定的API密钥的名称,仅使用UUID。
- UUID(必填)
- 要锁定的API密钥的UUID,仅与名称相关。
- -f, --force
- 强制锁定而不确认。
示例
锁定 API 密钥 test-api-key:
ibmcloud iam api-key-lock test-api-key
锁定给定 UUID 的 API 密钥而不确认:
ibmcloud iam api-key-lock ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force
ibmcloud iam api-key-unlock
解锁平台 API 密钥:
ibmcloud iam api-key-unlock (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 要解锁的API密钥名称,仅使用UUID。
- UUID(必填)
- 要解锁的API密钥的唯一标识符(UUID),仅与名称相关。
- -f, --force
- 解锁 API 密钥而不确认。
示例
解锁 API 密钥 test-api-key:
ibmcloud iam api-key-unlock test-api-key
解锁给定 UUID 的 API 密钥而不确认:
ibmcloud iam api-key-unlock ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force
ibmcloud iam api-key-disable
禁用平台API密钥:
ibmcloud iam api-key-disable (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 要禁用的API密钥名称,仅使用UUID。
- UUID(必填)
- 要停用的API密钥的唯一标识符(UUID),仅与名称相关。
- -f, --force
- 强制禁用而不确认。
示例
禁用 API 密钥 test-api-key:
ibmcloud iam api-key-disable test-api-key
禁用具有指定UUID的API密钥,无需确认:
ibmcloud iam api-key-disable ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force
ibmcloud iam api-key-enable
启用平台API密钥:
ibmcloud iam api-key-enable (NAME|UUID) [-f, --force]
命令选项
- NAME(必需)
- 要启用的API密钥名称,仅使用UUID。
- UUID(必填)
- 要启用的API密钥的唯一标识符(UUID),仅与名称相关。
- -f, --force
- 强制启用而不确认。
示例
启用 API 密钥 test-api-key:
ibmcloud iam api-key-enable test-api-key
启用带有指定UUID的API密钥,无需确认:
ibmcloud iam api-key-enable ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force
ibmcloud iam service-api-keys
列出服务的所有 API 密钥:
ibmcloud iam service-api-keys ([-a, --all], SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- -a, --all
- 显示与所有服务关联的所有 API 密钥。
- SERVICE_ID_NAME(必需)
- 服务ID的名称,与SERVICE_ID_UUID唯一对应。
- SERVICE_ID_UUID(必填)
- 服务ID的唯一标识符(UUID),与SERVICE_ID_NAME唯一对应。
- -f, --force
- 显示服务 API 密钥而不确认。
示例
列出服务 sample-service
的所有API密钥:
ibmcloud iam service-api-keys sample-service
ibmcloud iam service-api-key
列出服务 API 密钥的详细信息:
ibmcloud iam service-api-key (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [--uuid] [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API 密钥的名称,与 APIKEY_UUID 互斥。
- APIKEY_UUID(必填)
- API 密钥的 UUID,与 APIKEY_NAME 互斥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- --uuid
- 显示服务API密钥的UUID。
- -f, --force
- 显示服务 API 密钥而不确认。
示例
显示服务 sample-key
的服务 API 密钥 sample-service
的详细信息:
ibmcloud iam service-api-key sample-key sample-service
ibmcloud iam service-api-key-create
创建服务 API 密钥:
ibmcloud iam service-api-key-create NAME (SERVICE_ID_NAME|SERVICE_ID_UUID) [-d, --description DESCRIPTION] [--file FILE] [-f, --force] [--lock]
命令选项
- NAME(必需)
- 服务名称、服务ID或新创建的服务API密钥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- -d, --description
- API 密钥的描述。
- - --file
- 将 API 密钥信息保存到指定的文件。
- --action-if-leaked value
- 如果密钥泄漏,应采取的措施。 选项包括“无”、“禁用”或“删除”。 默认选项为“禁用”。
- -f, --force
- 强制创建而不确认。
示例
为服务 sample-key
创建服务 API 密钥 sample-service
而不确认:
ibmcloud iam service-api-key-create sample-key sample-service -f
ibmcloud iam service-api-key-update
更新服务 API 密钥:
ibmcloud iam service-api-key-update (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-n, --name NEW_NAME] [-d, --description DESCRIPTION] [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API 密钥的名称,与 APIKEY_UUID 互斥。
- APIKEY_UUID(必填)
- API 密钥的 UUID,与 APIKEY_NAME 互斥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- -n, --name
- 服务API密钥的新名称。
- -d, --description
- 服务API密钥的新描述。
- --action-if-leaked value
- 密钥泄漏时要执行的操作可以是 "NONE","DISABLE" 或 "DELETE"。 缺省值为“禁用”。
- -f, --force
- 更新而不确认。
示例
将服务API密钥 sample-key
重命名为 new-sample-key
:
ibmcloud iam service-api-key-update sample-key sample-service -n new-sample-key
ibmcloud iam service-api-key-delete
删除服务 API 密钥:
ibmcloud iam service-api-key-delete (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API 密钥的名称,与 APIKEY_UUID 互斥。
- APIKEY_UUID(必填)
- API 密钥的 UUID,与 APIKEY_NAME 互斥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- -f, --force
- 删除而不确认。
示例
删除服务标识 sample-key
的服务 API 密钥 sample-service
:
ibmcloud iam service-api-key-delete sample-key sample-service
ibmcloud iam service-api-key-lock
锁定服务 API 密钥:
ibmcloud iam service-api-key-lock (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API 密钥的名称,与 APIKEY_UUID 互斥。
- APIKEY_UUID(必填)
- API 密钥的 UUID,与 APIKEY_NAME 互斥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- -f, --force
- 锁定而不确认。
示例
锁定服务标识 sample-key
的服务 API 密钥 sample-service
:
ibmcloud iam service-api-key-lock sample-key sample-service
ibmcloud iam service-api-key-unlock
解锁服务 API 密钥:
ibmcloud iam service-api-key-unlock (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API 密钥的名称,与 APIKEY_UUID 互斥。
- APIKEY_UUID(必填)
- API 密钥的 UUID,与 APIKEY_NAME 互斥。
- SERVICE_ID_NAME(必需)
- 服务标识的名称,与 SERVICE_ID_UUID 互斥。
- SERVICE_ID_UUID(必填)
- 服务标识的 UUID,与 SERVICE_ID_NAME 互斥。
- -f, --force
- 解锁而不确认。
示例
解锁服务标识 sample-key
的服务 API 密钥 sample-service
:
ibmcloud iam service-api-key-unlock sample-key sample-service
ibmcloud iam service-api-key-禁用
禁用服务API密钥:
ibmcloud iam service-api-key-disable (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API密钥的名称,仅与APIKEY_UUID相关。
- APIKEY_UUID(必填)
- API密钥的唯一标识符(UUID),与APIKEY_NAME相关联。
- SERVICE_ID_NAME(必需)
- 服务ID的名称,与SERVICE_ID_UUID唯一对应。
- SERVICE_ID_UUID(必填)
- 服务ID的唯一标识符(UUID),与SERVICE_ID_NAME唯一对应。
- -f, --force
- 禁用而不确认。
示例
禁用服务API密钥 sample-key
,服务ID为 sample-service
:
ibmcloud iam service-api-key-disable sample-key sample-service
ibmcloud iam service-api-key-enable
启用服务API密钥:
ibmcloud iam service-api-key-enable (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]
命令选项
- APIKEY_NAME(必填)
- API密钥的名称,仅与APIKEY_UUID相关。
- APIKEY_UUID(必填)
- API密钥的唯一标识符(UUID),与APIKEY_NAME相关联。
- SERVICE_ID_NAME(必需)
- 服务ID的名称,与SERVICE_ID_UUID唯一对应。
- SERVICE_ID_UUID(必填)
- 服务ID的唯一标识符(UUID),与SERVICE_ID_NAME唯一对应。
- -f, --force
- 启用而不确认。
示例
启用服务API密钥 sample-key
,服务ID为 sample-service
:
ibmcloud iam service-api-key-enable sample-key sample-service
ibmcloud iam user-policies
列出指定用户的全部访问策略:
ibmcloud iam user-policies USER_NAME
命令选项
- USER_NAME(必需)
- 策略所属的用户名。
示例
列出用户 name@example.com
的策略:
ibmcloud iam user-policies name@example.com
ibmcloud iam user-policy
显示用户访问策略的详细信息:
ibmcloud iam user-policy USER_NAME POLICY_ID [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- USER_NAME(必需)
- 策略所属的用户名。
- POLICY_ID(必需)
- 策略的标识。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出用户 0bb730daa
的策略 name@example.com
:
ibmcloud iam user-policy name@example.com 0bb730daa
ibmcloud iam user-policy-create
为当前账户中的指定用户创建访问权限:
ibmcloud iam user-policy-create USER_NAME {--file JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- USER_NAME(必需)
- 保单所属的用户名。
- - --file 文件(可选 )
- 策略定义的 JSON 文件。 您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。 有关使用高级操作程序创建通配符策略的更多信息,请参阅 使用通配符策略分配访问权。
- --roles ROLE_NAME1,ROLE_NAME2... (可选)
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行
ibmcloud iam roles --service SERVICE_NAME
。 此选项与--file
选项搭配使用。 - - --service-name SERVICE_NAME(可选 )
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - --service-instance SERVICE_INSTANCE_GUID (可选)
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - - --region 地区(可选 )
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - - --resource-type RESOURCE_TYPE(可选 )
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - - --resource RESOURCE(可选 )
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - - --resource-group-name RESOURCE_GROUP_NAME(可选 )
- 资源组的名称。
*
表示所有资源组。 此选项与--file
、--resource
和--resource-group-id
选项不可同时使用。 - - --resource-group-id RESOURCE_GROUP_ID(可选 )
- 资源组的标识。
*
表示所有资源组。 此选项与--file
、--resource
和--resource-group-name
选项不可同时使用。 - --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以
name=value,name=value....
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
通过策略 JSON 文件 name@example.com
为用户 policy.json
创建用户策略:
ibmcloud iam user-policy-create name@example.com --file @policy.json
为 sample-service
服务的所有实例提供 name@example.com
Administrator
角色:
ibmcloud iam user-policy-create name@example.com --roles Administrator --service-name sample-service
为 sample-service
服务的所有实例提供 name@example.com
Editor
角色和定制角色 Responder
:
ibmcloud iam user-policy-create name@example.com --roles Editor,Responder --service-name sample-service
授予 name@example.com
对 Editor
区域中 GUID 为 key123
的样本服务实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9
的 us-south
角色:
ibmcloud iam user-policy-create name@example.com --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123
授予 name@example.com
对标识为 Operator
的资源组的 dda27e49d2a1efca58083a01dfde18f6
角色:
ibmcloud iam user-policy-create name@example.com --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6
请为资源组成员 sample-resource-group
分配角色 name@example.com
Viewer
:
ibmcloud iam user-policy-create name@example.com --roles Viewer --resource-group-name sample-resource-group
为资源组成员分配角色 name@example.com
Viewer
,ID为 dda27e49d2a1efca58083a01dfde18f6
:
ibmcloud iam user-policy-create name@example.com --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6
为属性 instanceId
等于 *
的服务 is
资源提供 name@example.com
Viewer
角色:
ibmcloud iam user-policy-create name@example.com --roles Viewer --service-name is --attributes "instanceId=*"
ibmcloud iam user-policy-update
更新当前账户中指定用户的访问权限:
ibmcloud iam user-policy-update USER_NAME POLICY_ID {--file JSON_FILE | [--roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- USER_NAME(必需)
- 保单所属的用户名。
- POLICY_ID(必需)
- 要更新的策略的标识。
- --file 文件(可选 )
- 策略定义的 JSON 文件。
- --roles ROLE_NAME1,ROLE_NAME2... (可选)
- 策略定义的角色名称。 如需了解特定服务的支持角色,请运行
ibmcloud iam roles --service SERVICE_NAME
选项。 此选项与--file
选项搭配使用。 - - --service-name SERVICE_NAME(可选 )
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - --service-instance SERVICE_INSTANCE_GUID (可选)
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - - --region 地区(可选 )
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - - --resource-type RESOURCE_TYPE(可选 )
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - - --resource RESOURCE(可选 )
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - - --resource-group-name RESOURCE_GROUP_NAME(可选 )
- 资源组的名称。
*
表示所有资源组。 此选项与--file
、--resource
和--resource-group-id
选项不可同时使用。 - - --resource-group-id RESOURCE_GROUP_ID(可选 )
- 资源组的标识。
*
表示所有资源组。 此选项与--file
、--resource
和--resource-group-name
选项不可同时使用。 - --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以“name=value,name=value....”格式设置资源属性
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
使用 JSON 文件中的用户策略来更新用户策略:
ibmcloud iam user-policy-update name@example.com 0bb730daa --file @policy.json
更新用户政策,赋予 name@example.com
Administrator
在 sample-service
服务中的所有实例中的角色:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Administrator --service-name sample-service
更新用户策略,为 sample-service
服务的所有实例提供 name@example.com
Editor
角色和定制角色 Responder
:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Editor,Responder --service-name sample-service
更新用户策略以授予 name@example.com
对 Editor
区域中 GUID 为 key123
的样本服务实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9
的 us-south
角色:
ibmcloud iam user-policy-update name@example.com --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123
更新用户策略以授予 name@example.com
对标识为 Operator
的资源组的 dda27e49d2a1efca58083a01dfde18f6
角色:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6
更新用户政策,赋予资源组成员 sample-resource-group
name@example.com
Viewer
角色:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --resource-group-name sample-resource-group
更新用户政策,赋予资源组成员 dda27e49d2a1efca58083a01dfde18f6
name@example.com
Viewer
角色:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6
更新用户策略,为属性 instance
等于 *
的服务 is
资源提供 name@example.com
Viewer
角色:
ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --service-name is --attributes "instanceId=*"
ibmcloud iam user-policy-delete
删除指定用户的访问权限:
ibmcloud iam user-policy-delete USER_ID POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- -f, --force
- 删除用户策略而不确认。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
删除用户 user-policy-id
的策略 name@example.com
:
ibmcloud iam user-policy-delete name@example.com user-policy-id
删除用户 user-policy-id
的策略 name@example.com
而不确认:
ibmcloud iam user-policy-delete name@example.com user-policy-id -f
ibmcloud iam service-policies
列出指定服务ID的所有访问策略:
ibmcloud iam service-policies SERVICE_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- SERVICE_ID(必需)
- 服务标识的名称或 UUID。
- -f, --force(可选)
- 显示服务策略而不确认。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出服务 test
的策略:
ibmcloud iam service-policies test
列出服务 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
的策略:
ibmcloud iam service-policies ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam service-policy
显示指定服务ID的访问策略详情:
ibmcloud iam service-policy SERVICE_ID POLICY_ID [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- SERVICE_ID(必需)
- 服务标识的名称或 UUID。
- POLICY_ID(必需)
- 服务策略的标识。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force(可选)
- 显示服务策略而不确认。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
显示服务 140798e2-8ea7db3
的策略 test
:
ibmcloud iam service-policies test 140798e2-8ea7db3
显示服务 140798e2-8ea7db3
的策略 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
:
ibmcloud iam service-policies ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 140798e2-8ea7db3
ibmcloud iam service-policy-create
创建访问策略并将其分配给服务ID:
ibmcloud iam service-policy-create SERVICE_ID {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]
命令选项
- SERVICE_ID(必需)
- 服务标识的名称或 UUID。
- --file
- 策略定义的 JSON 文件。 此选项仅适用于
-r, --roles
、--service-name
、--service-instance
、--region
、--resource-type
、--resource
、--resource-group-name
和--resource-group-id
选项。 您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。 有关使用高级操作程序创建通配符策略的更多信息,请参阅 使用通配符策略分配访问权。 - -r, --roles
- 策略定义的角色名称。 如需了解特定服务的支持角色,请运行
ibmcloud iam roles --service SERVICE_NAME
选项。 此选项与--file
选项搭配使用。 - --service-name
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - - --service-instance SERVICE_INSTANCE_GUID
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - -区域
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - --resource-type
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - --resource
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - --resource-group-name
- 资源组的名称。
*
表示所有资源组。 此选项与--file
和--resource-group-id
选项搭配使用。 - --resource-group-id
- 资源组的标识。
*
表示所有资源组。 此选项与--file
和--resource-group-name
选项搭配使用。 - --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以“name=value,name=value....”格式设置资源属性
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- -f, --force
- 创建服务政策,无需确认。
- --api-version
- 访问策略API的版本。
示例
通过 JSON 文件为服务 test
创建服务策略:
ibmcloud iam service-policy-create test --file @policy.json
通过 JSON 文件为服务 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
创建服务策略:
ibmcloud iam service-policy-create ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 --file @policy.json
为服务 test
授予所有帐户管理服务的 Administrator
角色:
ibmcloud iam service-policy-create test --roles Administrator --account-management
为服务 test
授予帐户中所有资源的 Viewer
角色:
ibmcloud iam service-policy-create test --roles Viewer
为账户中的所有 sample
服务实例授予服务 test
Viewer
角色和自定义角色 Responder
:
ibmcloud iam service-policy-create test --roles Viewer,Responder --service-name sample
为服务 test
提供属性 instanceId
等于 *
的服务 is
资源的 Viewer
角色:
ibmcloud iam service-policy-create sample-service --roles Viewer --service-name is --attributes "instanceId=*"
ibmcloud iam service-policy-update
更新服务ID的访问策略:
ibmcloud iam service-policy-update SERVICE_ID POLICY_ID {--file JSON_FILE | [-r, --roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]
命令选项
- SERVICE_ID(必需)
- 服务标识的名称或 UUID。
- POLICY_ID(必需)
- 服务策略的标识。
- --file
- 策略定义的 JSON 文件。 此选项仅适用于
-r, --roles
、--service-name
、--service-instance
、--region
、--resource-type
、--resource
、resource-group-name
和resource-group-id
选项。 - -r, --roles
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行
ibmcloud iam roles --service SERVICE_NAME
。 此选项仅适用于--file
。 - -service-名称
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - -服务实例 SERVICE_INSTANCE_GUID
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - -区域
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - -resource-type
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - -资源
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - --resource-group-name
- 资源组的名称。
*
表示所有资源组。 此选项与--file
和--resource-group-id
选项搭配使用。 - --resource-group-id
- 资源组的标识。
*
表示所有资源组。 此选项与--file
和--resource-group-name
选项搭配使用。 - --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以“name=value,name=value....”格式设置资源属性
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- -f, --force
- 更新服务策略而不确认。
- --api-version
- 访问策略API的版本。
示例
通过 JSON 文件更新服务 140798e2-8ea7db3
的服务策略 test
:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --file @policy.json
通过 JSON 文件更新服务 140798e2-8ea7db3
的服务策略 test
:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --file @policy.json
更新服务策略 140798e2-8ea7db3
,为服务 test
授予所有帐户管理服务的 Administrator
角色:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Administrator --account-management
更新服务策略 140798e2-8ea7db3
,为服务 test
授予帐户中所有资源的 Viewer
角色:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer
Update the service policy 140798e2-8ea7db3
to grant service test
the Viewer
role and a custom role Responder
for all sample
service instances in the account:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer,Responder --service-name sample
更新服务策略 140798e2-8ea7db3
,以将属性 instanceId
等于 *
的服务 is
资源的 Viewer
角色授予服务 test
:
ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer --service-name is --attributes "instanceId=*"
ibmcloud iam service-policy-delete
删除服务ID的访问策略:
ibmcloud iam service-policy-delete SERVICE_ID POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- SERVICE_ID(必需)
- 服务标识的名称或 UUID。
- POLICY_ID(必需)
- 服务策略的标识。
- -f, --force
- 删除而不确认。
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- --api-version
- 访问策略API的版本。
示例
删除服务 140798e2-8ea7db3
的策略 test
:
ibmcloud iam service-policy-delete test 140798e2-8ea7db3
删除服务 140798e2-8ea7db3
的策略 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
:
ibmcloud iam service-policy-delete ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 140798e2-8ea7db3
ibmcloud iam 登录
检索并显示最近的登录历史记录:
ibmcloud iam logins
ibmcloud iam oauth-tokens
检索并显示当前会话的 OAuth 令牌:
ibmcloud iam oauth-tokens
ibmcloud iam roles
列出平台,服务定义的角色和定制角色:
ibmcloud iam roles [--service SERVICE_NAME [--resource-type RESOURCE_TYPE] [--source-service SOURCE_SERVICE_NAME]] [--roles ROLE_NAME]
命令选项
- --resource-type
- 服务的资源类型。'--service' 必须与此选项一起设置。
- --roles ROLE_NAME1,ROLE_NAME2...
- 显示特定角色的详细信息
- --service SERVICE_NAME
- 服务的名称。 仅列出平台定义的角色 (如果未指定)。
- --source-service
- 服务的名称。 仅列出平台定义的角色 (如果未指定)。 此选项不支持私有端点。
示例
列出平台缺省访问角色和定制角色:
ibmcloud iam roles
列出平台缺省访问策略角色 Administrator
,Operator
的详细信息:
ibmcloud iam roles --roles Administrator,Operator
以 JSON 格式列出 cloud-object-storage
服务的访问策略角色 Writer
的详细信息:
ibmcloud iam roles --service cloud-object-storage --roles Writer --output JSON
以 JSON 格式列出所有帐户管理服务的访问策略角色:
ibmcloud iam roles --service allacctmgmtroles --output JSON
列出资源组访问策略角色 Administrator
的详细信息:
ibmcloud iam roles --service resource-controller --roles Administrator
列出服务 is
的资源类型 image
的访问策略角色的详细信息:
ibmcloud iam roles --service is --resource-type image
列出源服务 cloud-object-storage
和目标服务 kms
的授权角色:
ibmcloud iam roles --source-service cloud-object-storage --service kms
ibmcloud iam role-创建
创建角色:
ibmcloud iam role-create ROLE_NAME --display-name DISPLAY_NAME --service-name SERVICE_NAME [-a, --actions ROLE_ACTION1 [ROLE_ACTION2...]] [-d, --description DESCRIPTION] [--output FORMAT] [-q --quiet]
命令选项
-
--display-name : 控制台中显示的角色的显示名称。
-
--service-name : 服务的名称。
- -a, --actions ROLE_ACTION1,ROLE_ACTION2...
- 角色的操作。 有关更多信息,请参阅 IAM 角色和操作。
- -d, --description 描述
- 角色的描述。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
创建角色以执行任何 Cloudant 数据库操作:
ibmcloud iam role-create CloudDBAdmin --display-name "Cloudant DB Administrator" --service-name cloudantnosqldb --actions cloudantnosqldb.db.any
通过使用多个角色操作,创建用于对 Certificate Manager 进行只读访问的角色:
ibmcloud iam role-create ReadonlyCertManager --display-name "Readonly Certificate Manager" --service-name cloudcerts --actions cloudcerts.certificate-metadata.read,cloudcerts.notifications-channel.list
创建角色以查看工具链仪表板并以 JSON 格式返回角色:
ibmcloud iam role-create PreviewCDCI --display-name "Preview Toolchains" --service-name toolchain --actions toolchain.dashboard.view --output JSON
创建具有描述的角色:
ibmcloud iam role-create ServiceIDCreator --display-name "Service ID Creator" --service-name iam-identity --actions iam-identity.serviceid.create --description "Can only create service keys"
ibmcloud iam access-策略
列出当前账户下的所有访问策略:
ibmcloud iam access-policies [-t, --type user | service_id | access_group | trusted_profile] [--sort-by id | type | href | created_at | created_by_id | last_modified_at | last_modified_by_id | state ] [--output FORMAT] [-q, --quiet ] [--api-version v1 | v2]
命令选项
- -t, --type ACCESS_POLICY_TYPE
- 列出当前账户下按策略类型过滤的所有访问策略。 有效选项:
user
|service_id
|access_group
|trusted_profile
- --sort-by属性
- 根据属性对策略进行排序。 有效选项为:id | type | href | created_at | created_by_id | last_modified_at | last_modified_by_id | state。 为反向排序附加减号 (例如,
-id
或-type
)。 - --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出当前账户下的所有访问策略:
ibmcloud iam access-policies
列出当前账户下的所有用户访问权限:
ibmcloud iam access-policies --type user
列出当前帐户下的所有服务标识访问策略:
ibmcloud iam access-policies --type service_id
列出当前帐户下的所有访问组访问策略:
ibmcloud iam access-policies --type access_group
列出当前帐户下的所有可信概要文件访问策略:
ibmcloud iam access-policies --type trusted_profile
列出当前账户下按 created_at
升序排序的所有受信任配置文件访问策略:
ibmcloud iam access-policies --type trusted_profile --sort-by created_at
列出当前账户下按 last_modified_at
降序排序的所有受信任用户策略:
ibmcloud iam access-policies --type user --sort-by -last_modified_at
ibmcloud iam access-policy-template
显示当前账户下访问策略模板的详细信息:
ibmcloud iam access-policy-template (TEMPLATE_ID | TEMPLATE_NAME) [--output FORMAT] [-q, --quiet]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
显示访问策略模板 AccessPolicyUserTemplate
ibmcloud iam access-policy-template AccessPolicyUserTemplate
ibmcloud iam access-policy-templates
列出当前账户下的所有访问策略模板:
ibmcloud iam access-policy-templates [--output FORMAT] [-q, quiet]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
列出当前账户下的所有访问策略模板
ibmcloud iam access-policy-templates
ibmcloud iam access-policy-template-create
创建访问策略模板:
ibmcloud iam access-policy-template-create --file JSON_FILE
命令选项
- --file JSON_FILE
- 访问策略模板定义的 JSON 文件
- -q, --quiet
- 禁止详细输出。
示例
创建访问策略模板
imcloud iam access-policy-template-create --file /path/to/access_policy_template.json
ibmcloud iam access-policy-template-version
获取访问策略模板版本:
ibmcloud iam access-policy-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [--output JSON]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
显示访问策略模板 AccessPolicyUserTemplate
的版本 1
ibmcloud iam access-policy-template-version AccessPolicyUserTemplate 1
ibmcloud iam access-policy-template-version-create
创建访问策略模板的新版本:
ibmcloud iam access-policy-template-version-create (TEMPLATE_ID | TEMPLATE_NAME) [--file JSON_FILE] [-q, --quiet]
命令选项
- --file JSON_FILE
- 访问策略模板定义的 JSON 文件
- -q, --quiet
- 禁止详细输出。
示例
为访问策略模板 AccessPolicyUserTemplate
创建新版本
ibmcloud iam access-policy-template-version-create AccessPolicyUserTemplate --file /path/to/access_policy_template.json
ibmcloud iam access-policy-template-version-update
更新现有版本的访问策略模板:
ibmcloud iam access-policy-template-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-q, --quiet] [--output FORMAT]
命令选项
- --file JSON_FILE
- 访问策略模板定义的 JSON 文件
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
更新访问策略模板 AccessPolicyUserTemplate
的版本 1
ibmcloud iam access-policy-template-version-create AccessPolicyUserTemplate 1 --file /path/to/access_policy_template.json
ibmcloud iam access-policy-template-version-delete
删除访问策略模板的版本:
ibmcloud iam access-policy-template-version-delete (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [-f, --force]
命令选项
- -f, --force
- 强制删除而不确认。
- -q, --quiet
- 禁止详细输出。
示例
删除访问策略模板 AccessPolicyUserTemplate
的版本 2
ibmcloud iam access-policy-template-version-delete AccessPolicyUserTemplate 2
ibmcloud iam access-policy-template-version-commit
提交访问策略模板的版本:
ibmcloud iam access-policy-template-version-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
落实访问策略模板 AccessPolicyUserTemplate
的版本 1
ibmcloud iam access-policy-template-version-commit AccessPolicyUserTemplate 1
ibmcloud iam access-policy-assignment
显示访问策略分配的详细信息:
ibmcloud iam access-policy-assignment ASSIGNMENT_ID [-q, --quiet] [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
显示访问策略分配 AccessPolicyAssignment-adee40a7f8324d6fbcd4c4a67b326eb5
ibmcloud iam access-policy-assignment AccessPolicyAssignment-adee40a7f8324d6fbcd4c4a67b326eb5
ibmcloud iam access-policy-assignment
列出当前账户的所有访问策略分配:
ibmcloud iam access-policy-templates [--output FORMAT] [-q, --quiet]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
列出当前账户下的所有访问策略模板分配
ibmcloud iam access-policy-assignments
ibmcloud iam account-策略
列出当前账户下的所有账户政策:
ibmcloud iam account-policies [-t, --type access | auth] [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- -t, --type access | auth
- 列示按策略类型过滤的当前帐户下的所有策略。 有效选项:
access
|auth
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出当前账户下的所有账户政策:
ibmcloud iam account-policies
列出当前账户下的所有授权策略。 提供与 ibmcloud iam authorization-policies
相同的列表:
ibmcloud iam account-policies -t auth
列出当前账户下的所有访问策略。 提供与 ibmcloud iam access-policies
相同的列表:
ibmcloud iam account-policies -t access
ibmcloud iam access-groups
列出当前帐户下的访问组:
ibmcloud iam access-groups [-u USER_NAME | -s SERVICE_ID_NAME | -p (PROFILE_NAME | PROFILE_ID)] [--output FORMAT] [-q, --quiet]
命令选项
- -u
- 列出用户所属的访问组。 此选项仅适用于 '-s' 和 '-p'”。
- -s
- 列出服务标识所属的访问组。 此选项仅适用于 '-u' 和 '-p'”。
- -p
- 列出可信概要文件所属的访问组。 此选项仅适用于 '-s' 和 '-u'”。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
列出所有访问组:
ibmcloud iam access-groups
列出受信任的配置文件 test_profile
所属的所有访问组:
ibmcloud iam access-groups -p test_profile
ibmcloud iam access-group
显示访问组的详细信息:
ibmcloud iam access-group GROUP_NAME [--id]
命令选项
- -id
- 仅显示标识。
示例
显示访问组 example_group
的详细信息:
ibmcloud iam access-group example_group
ibmcloud iam access-group-create
创建访问组:
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
命令选项
- -d, --description
- 访问组的描述。
示例
创建访问组 example_group
:
ibmcloud iam access-group-create example_group -d "example access group"
ibmcloud iam access-group-update
更新访问组:
ibmcloud iam access-group-update GROUP_NAME [-n, --name NEW_NAME] [-d, --description NEW_DESCRIPTION] [-f, --force]
命令选项
- -n, --name
- 新访问组名称。
- -d, --description
- 新描述。
- -f, --force
- 强制更新而不进行确认。
示例
将访问组 example_group
重命名为 hello_world_group
:
ibmcloud iam access-group-update example_group --name "hello_world_group"
ibmcloud iam access-group-delete
删除访问组:
ibmcloud iam access-group-delete GROUP_NAME [-f, --force] [-r, --recursive] [-a, --all]
命令选项
- -f, --force
- 强制删除而不确认。
- -r, --recursive
- 删除访问组及其成员。
- -a, --all
- 强制删除同名访问组。
示例
删除访问组 example_group
:
ibmcloud iam access-group-delete example_group --force
ibmcloud iam access-group-users
列出访问组中的用户:
ibmcloud iam access-group-users GROUP_NAME
示例
列出访问组 example_group
中的所有用户:
ibmcloud iam access-group-users example_group
ibmcloud iam access-group-user-add
将用户添加到访问组:
ibmcloud iam access-group-user-add GROUP_NAME USER_NAME [USER_NAME2...]
示例
将用户 name@example.com
添加到访问组 example_group
:
ibmcloud iam access-group-user-add example_group name@example.com
ibmcloud iam access-group-user-remove
从访问组中除去用户:
ibmcloud iam access-group-user-remove GROUP_NAME USER_NAME
示例
从访问组 name@example.com
中除去用户 example_group
:
ibmcloud iam access-group-user-remove example_group name@example.com
ibmcloud iam access-group-user-purge
从所有访问组中除去用户:
ibmcloud iam access-group-user-purge USER_NAME [-f, --force]
命令选项
- -f, --force
- 删除而不确认。
示例
从所有访问组中除去用户 name@example.com
:
ibmcloud iam access-group-user-purge name@example.com -f
ibmcloud iam access-group-service-ids
列出访问组中的服务标识:
ibmcloud iam access-group-service-ids GROUP_NAME
示例
列出访问组 example_group
中的所有服务标识:
ibmcloud iam access-group-service-ids example_group
ibmcloud iam access-group-service-id-add
为访问组添加服务ID:
ibmcloud iam access-group-service-id-add GROUP_NAME SERVICE_ID_NAME [SERVICE_ID_NAME2...]
示例
将服务标识 example-service
添加到访问组 example_group
:
ibmcloud iam access-group-service-id-add example_group example-service
ibmcloud iam access-group-service-id-remove
从访问组中除去服务标识:
ibmcloud iam access-group-service-id-remove GROUP_NAME SERVICE_ID_NAME
示例
从访问组 example-service
中除去服务标识 example_group
:
ibmcloud iam access-group-service-id-remove example_group example-service
ibmcloud iam access-group-service-id-purge
从所有访问组中除去服务标识:
ibmcloud iam access-group-service-id-purge SERVICE_ID_NAME [-f, --force]
命令选项
- -f, --force
- 删除而不确认。
示例
从所有访问组中除去服务标识 example-service
:
ibmcloud iam access-group-service-id-purge example --force
ibmcloud iam access-group-trusted-profiles
列出访问组中可信的配置文件:
ibmcloud iam access-group-trusted-profiles GROUP_NAME [--output FORMAT] [-q, --quiet]
命令选项
- GROUP_NAME(必需)
- 访问组名称。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
列出访问组 example_group
中所有可信的个人资料:
ibmcloud iam access-group-trusted-profiles example_group
ibmcloud iam access-group-trusted-profile-add
将可信的个人资料添加到访问组:
ibmcloud iam access-group-trusted-profile-add GROUP_NAME (PROFILE_NAME | PROFILE_ID) [PROFILE_NAME2 | PROFILE_ID2...] [--output FORMAT] [-q, --quiet]
命令选项
- GROUP_NAME(必需)
- 访问组的名称。
- PROFILE_NAME | PROFILE_ID (必需)
- 要添加到访问组的受信任配置文件的名称或 ID。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
将受信任的配置文件 my-profile
添加到访问组 example_group
:
ibmcloud iam access-group-trusted-profile-add example_group my-profile
ibmcloud iam access-group-trusted-profile-remove
从访问组中移除可信配置文件:
ibmcloud iam access-group-trusted-profile-remove GROUP_NAME (PROFILE_NAME | PROFILE_ID) [-f, --force] [-q, --quiet]
命令选项
- GROUP_NAME(必需)
- 访问组名称。
- PROFILE_NAME | PROFILE_ID (必需)
- 要从访问组中除去的可信概要文件的名称或标识。
- -f, --force
- 除去而不确认。
- -q, --quiet
- 禁止详细输出。
示例
从访问组 example_group
中移除信任的配置文件 my-profile
:
ibmcloud iam access-group-trusted-profile-remove example_group my-profile
ibmcloud iam access-group-trusted-profile-purge
从所有访问组中移除受信任的配置文件:
ibmcloud iam access-group-trusted-profile-purge (PROFILE_NAME | PROFILE_ID) [-f, --force] [-q, --quiet]
命令选项
- PROFILE_NAME | PROFILE_ID (必需)
- 要从所有访问组中除去的可信概要文件的名称或标识。
- -f, --force
- 清除而不确认。
- -q, --quiet
- 禁止详细输出。
示例
从所有访问组中移除受信任的配置文件 my-profile
:
ibmcloud iam access-group-trusted-profile-purge my-profile
ibmcloud iam access-group-policies
列出访问组的策略:
ibmcloud iam access-group-policies GROUP_NAME [--output FORMAT] [-q, --quiet] [--api-version v1 |v2]
命令选项
- GROUP_NAME
- 访问组名称。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出访问组 example_group
中的所有策略:
ibmcloud iam access-group-policies example_group
ibmcloud iam access-group-policy
显示访问组策略的详细信息:
ibmcloud iam access-group-policy GROUP_NAME POLICY_ID [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- GROUP_NAME
- 访问组名称。
- POLICY_ID
- 要检索的保单编号。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
显示访问组 example_group
的 51b9717e-76b0-4f6a-bda7-b8132431f926
策略详情:
ibmcloud iam access-group-policy example_group 51b9717e-76b0-4f6a-bda7-b8132431f926
ibmcloud iam access-group-policy-create
创建访问组策略:
ibmcloud iam access-group-policy-create GROUP_NAME {--file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]}} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]
命令选项
- --file
- 策略定义的 JSON 文件。 您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。 有关使用高级操作程序创建通配符策略的更多信息,请参阅 使用通配符策略分配访问权。
- -roles
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行
ibmcloud iam roles --service SERVICE_NAME
。 此选项与--file
选项搭配使用。 - -service-名称
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - -服务实例 SERVICE_INSTANCE_GUID
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - -区域
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - -resource-type
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - -资源
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - -resource-group-name
- 资源组的名称。
*
表示所有资源组。 此选项与--file
和--resource-group-id
选项搭配使用。 - -resource-group-id
- 资源组的标识。
*
表示所有资源组。 此选项与--file
和--resource-group-name
选项搭配使用。 - -tags
- 该资源的访问标记。 使用标记来组织,跟踪使用成本或管理对资源的访问权。 有关标记的更多信息,请参阅使用标记。
- --account-management
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以“name=value,name=value....”格式设置资源属性
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
通过 JSON 文件创建访问组策略:
ibmcloud iam access-group-policy-create example_group -f @policy.json
授予 example_group
对所有 Administrator
资源的 sample-service
角色:
ibmcloud iam access-group-policy-create example_group --roles Administrator --service-name sample-service
为 us-south
区域中 sample-service
的所有实例提供 example_group
Editor
角色和定制角色 Responder
:
ibmcloud iam access-group-policy-create example_group --roles Editor,Responder --service-name sample-service --region us-south
授予 example_group
对 Editor
区域中 GUID 为 key123
的 sample-service
实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9
的 us-south
角色:
ibmcloud iam access-group-policy-create example_group --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123
授予 example_group
对标识为 Operator
的资源组的 dda27e49d2a1efca58083a01dfde18f6
角色:
ibmcloud iam access-group-policy-create example_group --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6
请为资源组成员 sample-resource-group
分配角色 example_group
Viewer
:
ibmcloud iam access-group-policy-create example_group --roles Viewer --resource-group-name sample-resource-group
为资源组成员分配角色 example_group
Viewer
,ID为 dda27e49d2a1efca58083a01dfde18f6
:
ibmcloud iam access-group-policy-create example_group --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6
为所有帐户管理服务授予 example_group
Administrator
角色:
ibmcloud iam access-group-policy-create example_group --roles Administrator --account-management
为帐户中的所有资源提供 example_group
Viewer
角色:
ibmcloud iam access-group-policy-create example_group --roles Viewer
为属性 instanceId
等于 *
的服务 is
资源提供 example_group
Viewer
角色:
ibmcloud iam access-group-policy-create example_group --roles Viewer --service-name is --attributes "instanceId=*"
创建资源的访问标记:
ibmcloud iam access-group-policy-create --tags env:dev,env:test
ibmcloud iam access-group-policy-update
更新访问组策略:
ibmcloud iam access-group-policy-update GROUP_NAME POLICY_ID {--file JSON_FILE | [--roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1| v2]
命令选项
- --file
- 策略定义的 JSON 文件。
- --roles
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行
ibmcloud iam roles --service SERVICE_NAME
。 此选项与--file
选项搭配使用。 - -service-名称
- 策略定义的服务名称。 此选项与
--file
选项搭配使用。 - -服务实例 SERVICE_INSTANCE_GUID
- 策略定义的服务实例的 GUID。 此选项与
--file
选项搭配使用。 - -区域
- 策略定义的区域。 此选项与
--file
选项搭配使用。 - -resource-type
- 策略定义的资源类型。 此选项与
--file
选项搭配使用。 - -资源
- 策略定义的资源。 此选项与
--file
选项搭配使用。 - -resource-group-name
- 资源组的名称。
*
表示所有资源组。 此选项与--file
和--resource-group-id
选项搭配使用。 - -resource-group-id
- 资源组的标识。
*
表示所有资源组。 此选项与--file
和--resource-group-name
选项搭配使用。 - --account-management(可选)
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name=value...
- 以“name=value,name=value....”格式设置资源属性
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
将访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
更新为JSON文件中的策略:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 -f @policy.json
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,赋予 example_group
Administrator
访问所有 sample-service
资源的权限:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Administrator --service-name sample-service
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,为 us-south
区域中 sample-service
的所有实例提供 example_group
Editor
角色和定制角色 Responder
:
ibmcloud iam access-group-policy-update example_group --roles Editor,Responder --service-name sample-service --region us-south
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,为 sample-service
实例的资源 key123
赋予 example_group
Editor
角色,GUID 为 d161aeea-fd02-40f8-a487-df1998bd69a9
,区域为 us-south
:
ibmcloud iam access-group-policy-update example_group --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,为资源组 example_group
Operator
赋予角色,资源组 ID 为 dda27e49d2a1efca58083a01dfde18f6
:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,为资源组 sample-resource-group
的成员赋予 example_group
Viewer
角色:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --resource-group-name sample-resource-group
```bash
{: codeblock}
Update access group policy `b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4` to give `example_group` `Viewer` role for members of resource group with ID `dda27e49d2a1efca58083a01dfde18f6`:
```bash {: codeblock}
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
以授予所有帐户管理服务的 example_group
Administrator
角色:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Administrator --account-management
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,为账户中的所有资源赋予 example_group
Viewer
角色:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer
更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4
,以针对属性 instanceId
等于 *
的服务 is
资源授予 example_group
Viewer
角色:
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --service-name is --attributes "instanceId=*"
ibmcloud iam access-group-policy-delete
删除访问组策略:
ibmcloud iam access-group-policy-delete GROUP_NAME POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 |v2]
命令选项
- --api-version
- 访问策略API的版本。
- -f, --force
- 强制删除而不确认。
- -q, --quiet
- 禁止详细输出。
示例
删除访问组 51b9717e-76b0-4f6a-bda7-b8132431f926
的策略 example_group
:
ibmcloud iam access-group-policy-delete example_group 51b9717e-76b0-4f6a-bda7-b8132431f926 -f
ibmcloud iam access-group-template-创建
创建访问组模板
ibmcloud iam access-group-template-create (TEMPLATE_NAME --access-group-name ACCESS_GROUP_NAME [-d, --description DESCRIPTION] | --file JSON_FILE) [--output FORMAT]
命令选项
- --access-group-name NAME
- 要为模板创建的访问组名
- -d, --description 描述
- 对模板的描述
- - --file
- 对模板的描述
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
创建具有指定名称和访问组名的访问组模板
ibmcloud iam access-group-template-create example-template-name --access-group-name example-access-group -d example-description
使用 JSON 文件创建访问组模板
ibmcloud iam access-group-template-create --file JSON_FILE
ibmcloud iam access-group-template
显示访问组模板的详细信息
ibmcloud iam access-group-template (TEMPLATE_ID | TEMPLATE_NAME) [--output FORMAT] [-q, --quiet]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式显示访问组模板的详细信息
ibmcloud iam access-group-template --output JSON
ibmcloud iam access-group-template-version
显示访问组模板的指定版本的详细信息
ibmcloud iam access-group-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式显示指定版本的访问组模板的详细信息
ibmcloud iam access-group-template-version example-template-name 1 --output JSON
ibmcloud iam access-group-template-version-commit
落实访问组模板版本
ibmcloud iam access-group-template-version-commit TEMPLATE_ID TEMPLATE_VERSION
命令选项
- -q, --quiet
- 禁止详细输出。
示例
指定访问组模板的版本
ibmcloud iam access-group-template-version-commit example-template-id 1
ibmcloud iam access-group-template-version-create
创建访问组模板版本
ibmcloud iam access-group-template-version-create TEMPLATE_ID --file JSON_FILE
命令选项
- --file : 对模板的描述
- -q, --quiet
- 禁止详细输出。
示例
创建访问组模板的新版本
ibmcloud iam access-group-template-version-create example-template-id --file JSON_FILE
ibmcloud iam access-group-template-version-delete
删除访问组模板版本
ibmcloud iam access-group-template-version-delete TEMPLATE_ID TEMPLATE_VERSION
命令选项
- -q, --quiet
- 禁止详细输出。
示例
删除访问组模板的指定版本
ibmcloud iam access-group-template-version-delete example-template-id 1
ibmcloud iam access-group-template-version-update
更新现有版本的访问组模板版本
ibmcloud iam access-group-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-q, --quiet]
命令选项
- --file : 对模板的描述
- -q, --quiet
- 禁止详细输出。
示例
使用 JSON 文件更新访问组模板的指定版本
ibmcloud iam access-group-template-version-update example-template-name 1 --file JSON_FILE
ibmcloud iam access-group-template-versions
列出访问组模板的版本
ibmcloud iam access-group-template-versions (TEMPLATE_ID | TEMPLATE_NAME) [-q, --quiet] [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
列出访问组模板的所有版本
ibmcloud iam access-group-template-versions example-template-name
ibmcloud iam access-group-templates
列出当前帐户下的所有访问组模板
ibmcloud iam access-group-templates [-q, --quiet] [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式列出当前帐户下的所有访问组模板
ibmcloud iam access-group-template-versions example-template-name --output JSON
ibmcloud iam access-group-assignment
显示访问组分配的详细信息
ibmcloud iam access-group-assignment [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式显示访问组分配的详细信息
ibmcloud iam access-group-assignments --output JSON
ibmcloud iam access-group-assignment-create
创建访问组分配
ibmcloud iam access-group-assignment-create TEMPLATE_ID TEMPLATE_VERSION --target-type TYPE --target TARGET
命令选项
- --target : 目标实体的标识 --target-type 值 : 目标实体的类型 -q, --quiet : 禁止详细输出
示例
以 JSON 格式显示访问组分配的详细信息
ibmcloud iam access-group-assignment-create example-template-id 1 --target-type Account --target example-account-id
ibmcloud iam access-group-assignment-delete
删除访问组分配
ibmcloud iam access-group-assignment-delete ASSIGNMENT_ID
命令选项
- -q, --quiet
- 禁止详细输出
示例
删除指定的访问组分配
ibmcloud iam access-group-assignment-delete example-assignment-id
ibmcloud iam access-group-assignment-update
更新访问组分配
ibmcloud iam access-group-assignment-update ASSIGNMENT_ID
命令选项
- -q, --quiet
- 禁止详细输出
示例
更新指定的访问组分配
ibmcloud iam access-group-assignment-update example-assignment-id
ibmcloud iam access-group-assignment
在您的当前账户中获取所有访问权限组分配
ibmcloud iam access-group-assignments [-q, --quiet] [--output FORMAT]
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式列出当前帐户下的所有访问组分配
ibmcloud iam access-group-assignments --output JSON
ibmcloud iam trusted-profile-create
创建可信概要文件:
ibmcloud iam trusted-profile-create NAME [-d, --description DESCRIPTION] [--output FORMAT] [-q, --quiet]
命令选项
- NAME(必需)
- 新个人资料的名称。
- -d, --description 描述
- 概要文件的描述。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
创建受信任的配置文件,名称为 sample-test
,描述为“受信任的配置文件示例”:
ibmcloud iam trusted-profile-create sample-test -d "sample trusted profile"
ibmcloud iam trusted-概要文件
按名称或标识获取可信概要文件:
ibmcloud iam trusted-profile NAME|ID [--id | --output FORMAT] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 概要文件的名称或标识。
- --id
- 只显示配置文件的 ID。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
检索名为 sample-test
的可信概要文件:
ibmcloud iam trusted-profile sample-test
检索概要文件标识为 Profile-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
的可信概要文件:
ibmcloud iam trusted-profile Profile-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976
ibmcloud iam trusted-profiles
在当前账户下列出可信资料
ibmcloud iam trusted-profiles [--can-assume] [--id | --output FORMAT] [-q, --quiet]
命令选项
- --can-assume
- 显示仅可使用往来账户进行假设的配置文件。
- --id
- 仅显示概要文件的标识。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
当前账户下所有可信资料的列表ID:
ibmcloud iam trusted-profiles --id
列出可与当前账户一起使用的受信任配置文件:
ibmcloud iam trusted-profiles --can-assume
ibmcloud iam trusted-profile-assume
假定配置文件受信任:
ibmcloud iam trusted-profile-assume [NAME|ID] [--output FORMAT] [-q, --quiet]
命令选项
- 姓名
- 要假定的配置文件的名称或 ID。 --output FORMAT
- 指定的输出格式。 仅支持“JSON”。 -q, --quiet
- 禁止详细输出。
示例
假设受信任配置文件的名称为 sample-test
:
ibmcloud iam trusted-profile-assume sample-test
查看当前假定的受信任配置文件:
ibmcloud iam trusted-profile-assume
ibmcloud iam trusted-profile-leave
留下可信的个人资料:
ibmcloud iam trusted-profile-leave [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
保留先前假定的受信任配置文件:
ibmcloud iam trusted-profile-leave
ibmcloud iam trusted-profile-update
更新可信概要文件
ibmcloud iam trusted-profile-update NAME|ID [-n, --name NEW_NAME] [-d, --description NEW_DESCRIPTION] [--output FORMAT] [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 要更新的个人资料名称或ID。
- -n, --name NEW_NAME
- 可信个人资料的新名称。
- -d, --description NEW_DESCRIPTION
- 概要文件的新描述。 提供空描述可清除个人资料描述。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
示例
将名为 sample-test
的可信概要文件更新为新名称 test
:
ibmcloud iam trusted-profile-update sample-test -n test
使用 testing trusted profile update
的新描述更新可信概要文件 sample-test
:
ibmcloud iam trusted-profile-update sample-test -d "testing trusted profile update"
ibmcloud iam trusted-profile-delete
删除可信概要文件
ibmcloud iam trusted-profile-delete NAME|ID [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 要删除的概要文件的名称或标识。
- -f, --force
- 无需确认即可删除受信任的个人资料。
- -q, --quiet
- 禁止详细输出。
示例
删除名称为 sample-test
的可信概要文件:
ibmcloud iam trusted-profile-delete sample-test
ibmcloud iam trusted-profile-policy-create
创建访问策略并将其分配给可信概要文件
ibmcloud iam trusted-profile-policy-create (NAME|ID) {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]
命令选项
- NAME | ID (必需)
- 用于分配新策略的配置文件的名称或ID
- --account-management
- 授予对所有帐户管理服务的访问权。
- --api-version
- 访问策略API的版本。
- --attributes name=value,name-value...
- 以“name=value,name=value....”格式设置资源属性
- --file JSON_FILE
- 策略定义的 JSON 文件。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- - --region
- 策略定义的区域。 此选项与“--file”互斥。 对于支持的区域,请运行“ibmcloud regions”。
- - --resource
- 策略定义的资源。 此选项与“--file”互斥。
- --resource-group-id RESOURCE_GROUP_ID
- 资源组的标识。"*" 表示所有资源组。 此选项与“--file”和“--resource-group-name”互斥。
- --resource-group-name RESOURCE_GROUP_NAME
- 资源组的名称。"*" 表示所有资源组。 此选项与“--file”和“--resource-group-id”互斥。
- --resource-type RESOURCE_TYPE
- 策略定义的资源类型。 此选项与“--file”互斥。
- --roles ROLE_NAME1,ROLE_NAME2...
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行“ibmcloud iam roles --service SERVICE_NAME”。 此选项与“--file”互斥。
- -q, --quiet
- 禁止详细输出。
- - --service-instance
- 策略定义的服务实例的 GUID。 此选项与“--file”互斥。
- - --service-name
- 策略定义的服务名称。 此选项与“--file”互斥。
- --tags name1:value1,name2:value2...
- 该资源的访问标记。
示例
从 JSON 文件为 my-profile
创建可信概要文件策略:
iam trusted-profile-policy-create my-profile --file policy.json
给 my-profile
资源组成员 sample-resource-group
的查看者角色:
iam trusted-profile-policy-create my-profile --roles Viewer --resource-group-id sample-resource-group
针对帐户中的所有资源授予 my-profile
查看者角色:
iam trusted-profile-policy-create my-profile --roles Viewer
ibmcloud iam trusted-profile-policy
显示指定可信概要文件的访问策略的详细信息
ibmcloud iam trusted-profile-policy (NAME|ID) POLICY_ID [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- NAME | ID (必需)
- 概要文件的名称或标识。
- POLICY_ID(必需)
- 要检索的保单编号。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
获取可信概要文件 my-profile
的策略 bdf62c30-35dd-4852-bcb8-2f0dd3929701
:
ibmcloud iam trusted-profile-policy my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701
ibmcloud iam trusted-profile-policies
列出指定可信概要文件的所有访问策略
ibmcloud iam trusted-profile-policies (NAME|ID) [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- NAME | ID (必需)
- 概要文件的名称或标识。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
列出可信概要文件标识 Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701
的所有策略:
ibmcloud iam trusted-profile-policies Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701
ibmcloud iam trusted-profile-policy-update
更新可信概要文件的访问策略
ibmcloud iam trusted-profile-policy-update (NAME|ID) POLICY_ID {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]
命令选项
- NAME | ID (必需)
- 分配更新新策略的配置文件名称或 ID。
- POLICY_ID(必需)
- 要更新的保单的ID。
- --account-management
- 授予对所有帐户管理服务的访问权。
- --attributes name=value,name-value...
- 以“name=value,name=value....”格式设置资源属性
- --file JSON_FILE
- 策略定义的 JSON 文件。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- - --region
- 策略定义的区域。 此选项与“--file”互斥。 对于支持的区域,请运行“ibmcloud regions”。
- - --resource
- 策略定义的资源。 此选项与“--file”互斥。
- --resource-group-id RESOURCE_GROUP_ID
- 资源组的标识。"*" 表示所有资源组。 此选项与“--file”和“--resource-group-name”互斥。
- --resource-group-name RESOURCE_GROUP_NAME
- 资源组的名称。"*" 表示所有资源组。 此选项与“--file”和“--resource-group-id”互斥。
- --resource-type RESOURCE_TYPE
- 策略定义的资源类型。 此选项与“--file”互斥。
- --roles ROLE_NAME1,ROLE_NAME2...
- 策略定义的角色名称。 要了解特定服务所支持的角色,请运行“ibmcloud iam roles --service SERVICE_NAME”。 此选项与“--file”互斥。
- - --service-instance
- 策略定义的服务实例的 GUID。 此选项与“--file”互斥。
- - --service-name
- 策略定义的服务名称。 此选项与“--file”互斥。
- --tags name1:value1,name2:value2...
- 该资源的访问标记。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
更新策略 85f3a4d6-c2e1-417e-b2d5-7199d610c160
以授予可信概要文件 my-profile
对所有帐户管理服务的管理员角色:
ibmcloud iam trusted-profile-policy-update my-profile 85f3a4d6-c2e1-417e-b2d5-7199d610c160 --roles Administrator --account-management
使用 JSON 文件中的内容从 my-profile
更新策略 bdf62c30-35dd-4852-bcb8-2f0dd3929701
:
ibmcloud iam trusted-profile-policy-update my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701 --file @policy.json
ibmcloud iam trusted-profile-policy-delete
删除可信概要文件的访问策略
ibmcloud iam trusted-profile-policy-delete (NAME|ID) POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]
命令选项
- NAME | ID (必需)
- 包含要删除策略的配置文件的名称或 ID。
- POLICY_ID(必需)
- 要删除的保单的ID。
- -f, --force
- 无需确认即可删除访问权限。
- -q, --quiet
- 禁止详细输出。
- --api-version
- 访问策略API的版本。
示例
从 my-profile
中删除策略标识 bdf62c30-35dd-4852-bcb8-2f0dd3929701
而不确认:
ibmcloud iam trusted-profile-policy-delete my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701 -f
ibmcloud iam trusted-profile-link-create
创建可信概要文件的计算资源的链接
ibmcloud iam trusted-profile-link-create (NAME|ID) --name LINK_NAME --cr-type CR_TYPE --link-crn CRN [--link-namespace NAMESPACE --link-name NAME] [--output FORMAT] [-q, --quiet] [-f, --force]
命令选项
- NAME | ID (必需)
- 用于将计算资源链接到的配置文件的名称或ID。
- --name
- 链接名称。
- --cr-type (必填)
- 计算资源类型。 VSI代表VPC上的虚拟服务实例,IKS_SA代表 Kubernetes 集群上的服务账户,ROKS_SA代表托管的 Red Hat OpenShift。
- --link-crn (必填)
- VSI实例/集群实例的CRN。
- --link-namespace
- IKS_SA或ROKS_SA服务账户的命名空间,如果IKS_SA或ROKS_SA,则必须填写。
- --link-name
- 如果使用IKS_SA或ROKS_SA,则需要填写IKS_SA或ROKS_SA的服务账户名称。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
示例
为具有服务帐户名 default
、default
命名空间和 my_compute_resource_crn
CRN 的 IKS_SA
计算资源的受信任配置文件 my-profile
创建名为 my_link
的链接:
ibmcloud iam trusted-profile-link-create my_profile --name my_link --cr-type IKS_SA --link-name default --link-namespace default --link-crn my_compute_resource_crn
为命名空间 my_namespace
中服务帐户名为 default
且 CRN 为 my_resource_crn
的 IKS_SA
计算资源的受信任配置文件 ID Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701
创建名为 my_link
的链接:
ibmcloud iam trusted-profile-link-create Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 --name my_link --cr-type IKS_SA --link-name default --link-namespace my_namespace --link-crn my_resource_crn
Create a link named my_link
for trusted profile ID Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701
for a VSI
compute resource with a CRN of my_resource_crn
:
ibmcloud iam trusted-profile-link-create Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 --name my_link --cr-type VSI --link-crn my_resource_crn
ibmcloud iam trusted-profile-links
列出指定可信概要文件的计算资源的所有链接
ibmcloud iam trusted-profile-links (NAME|ID) [--id | --output FORMAT] [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 要检索链接的受信任配置文件的名称或 ID。
- --id
- 仅显示链接的标识。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
示例
显示受信任配置文件 my-profile
中所有链接的 ID:
ibmcloud iam trusted-profile-links my-profile --id
以 JSON 格式显示可信概要文件 my-profile
中的所有链接:
ibmcloud iam trusted-profile-links my-profile --output JSON
ibmcloud iam trusted-profile-link-delete
删除可信配置文件的计算资源链接:
ibmcloud iam trusted-profile-link-delete (NAME|ID) (LINK_NAME|LINK_ID) [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 包含要删除链接的配置文件的名称或 ID。
- LINK_NAME | LINK_ID (必需)
- 要删除的链接的名称或标识。
- -f, --force
- 强制删除而不确认。
- -q, --quiet
- 禁止详细输出。
示例
从可信概要文件 my-profile
中删除链接 my_link
而不确认:
ibmcloud iam trusted-profile-link-delete my-profile my_link -f
ibmcloud iam trusted-profile-identity
检索并显示可信概要文件身份
ibmcloud iam trusted-profile-identity (NAME|ID) (IDENTITY_IDENTIFIER|IDENTITY_ID) --id-type IDENTIFIER_TYPE [--id | --output FORMAT] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 可信概要文件的名称或标识。
- IDENTITY_IDENTIFIER | IDENTITY_ID (必需)
- 要检索的身份的标识。
- --id-type(必填)
- 为可信配置文件检索的标识符类型。 USER 表示用户 IAM 标识,SERVICEID 表示服务标识,CRN 表示服务 CRN
- --id
- 仅显示身份识别码。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
ibmcloud iam trusted-profile-身份
检索并显示可信概要文件标识
ibmcloud iam trusted-profile-identities (NAME|ID) [--id-type IDENTIFIER_TYPE] [--id | --output FORMAT] [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 可信概要文件的名称或标识。
- --id-type
- 为可信配置文件检索的标识符类型。 USER 表示用户 IAM 标识,SERVICEID 表示服务标识,CRN 表示服务 CRN
- --id
- 只显示身份标识。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
ibmcloud iam trusted-profile-identity-create
将可信概要文件连接到身份
ibmcloud iam trusted-profile-identity-create (NAME|ID) --id IDENTIFIER_TO_CONNECT --id-type IDENTIFIER_TYPE [--description DESCRIPTION] [--output FORMAT] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 用于连接身份信息的个人资料名称或ID。
- - --id )
- 身份的标识。
- --id-type(必填)
- 用于连接到可信概要文件的标识的类型。 USER 表示用户 IAM 标识,SERVICEID 表示服务标识,CRN 表示服务 CRN
- --description DESCRIPTION
- 与可信概要文件的连接的可选描述
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
ibmcloud iam trusted-profile-identity-delete
断开可信概要文件与身份的连接
ibmcloud iam trusted-profile-identity-delete (NAME|ID) (IDENTITY_IDENTIFIER|IDENTITY_ID) --id-type IDENTIFIER_TYPE [--force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 要断开身份连接的配置文件的名称或 ID。
- IDENTITY_IDENTIFIER | IDENTITY_ID (必需)
- 要断开连接的身份的标识。
- --id-type(必填)
- 要与可信概要文件断开连接的标识的类型。 USER 表示用户 IAM 标识,SERVICEID 表示服务标识,CRN 表示服务 CRN
- -f, --force
- 强制删除而不确认。
- -q, --quiet
- 禁止详细输出。
ibmcloud iam trusted-profile-rule-create
为可信资料创建规则:
ibmcloud iam trusted-profile-rule-create (NAME|UUID) --name RULE_NAME --type RULE_TYPE [--realm-name REALM_NAME] --conditions <LIST_OF_CONDITIONS> [--expiration EXPIRATION_SEC] [--cr-type CR_TYPE] [--output FORMAT] [-q, --quiet] [-f, --force]
要查看 --conditions
的有效操作程序和声明属性选项的完整列表,请参阅 IAM 条件属性。
命令选项
- NAME | ID (必需)
- 要为其创建规则的概要文件的名称或标识。
- - --type )
- “Profile-SAML”(对于 SAML 规则)或“Profile-CR”(对于计算资源规则)
- --conditions(必填)
- 条件列表,以逗号分隔的三元组形式提供,格式为“claim:CLAIM,operator:OPERATOR,value:VALUE”。 要指定多个条件,请多次指定标志 --conditionsclaim:CLAIM1,operator:OPERATOR1,value:VALUE1”--conditionsclaim:CLAIM2,operator:OPERATOR2,value:VALUE2”。
- --expiration
- 指定 SAML 规则的到期时间(秒)。 不得为计算资源(类型=配置文件-CR)而设立的信托提供。
- --name
- 规则的名称。
- --cr-type
- 仅当类型指定为“Profile-CR”时,才需要规则所适用的计算资源类型。 VSI代表VPC上的虚拟服务实例,IKS_SA代表 Kubernetes 集群上的服务账户,ROKS_SA代表托管的 Red Hat OpenShift。
- --realm-name
- 通过 IBMid 与联邦建立的信托的发行人ID,或使用 App ID 联邦建立的信托的发行人ID为
appid://
。 不得为计算资源(类型=配置文件-CR)而设立的信托提供。 - --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
示例
针对具有以下规则条件的可信概要文件 my-profile
,创建具有规则名称 my-rule
,域名设置为 https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20
,到期时间设置为 1200
秒的 Profile-SAML
规则: cn EQUALS my_user
ibmcloud iam trusted-profile-rule-create my-profile --name my-rule --type Profile-SAML --conditions claim:cn,operator:EQUALS,value:my_user --realm-name https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20 --expiration 1200
使用以下规则条件为可信概要文件 my-profile
创建域名设置为 https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20
且到期时间设置为 1200
秒的 Profile-SAML
规则: cn EQUALS my_user
和 blueGroups NOT_EQUALS jaas_master
ibmcloud iam trusted-profile-rule-create my-profile --type Profile-SAML --conditions claim:cn,operator:EQUALS,value:my_user --conditions claim:blueGroups,operator:NOT_EQUALS,value:jaas_master --realm-name https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20 --expiration 1200
创建具有规则名称 my-rule
,计算资源类型 IKS_SA
以及规则条件 namespace EQUALS default
和 crn EQUALS crn:test:bluemix:public:containers-kubernetes:us-south:a/test::
的 Profile-CR
规则
ibmcloud iam trusted-profile-rule-create my-profile --name my-rule --type Profile-CR --conditions claim:namespace,operator:EQUALS,value:default --conditions claim:crn,operator:EQUALS,value:crn:test:bluemix:public:containers-kubernetes:us-south:a/test:: --cr-type IKS_SA
ibmcloud iam trusted-profile-rules
列出指定可信配置文件的所有规则:
ibmcloud iam trusted-profile-rules (NAME|ID) [--output FORMAT] [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 要检索其规则的可信概要文件的名称或标识。
- - --output。
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果找到多个配置文件,则强制失败。
- -q, --quiet
- 禁止详细输出。
示例
显示受信任配置文件 my-profile
中的所有规则:
ibmcloud iam trusted-profile-rules my-profile
ibmcloud iam trusted-profile-rule-update
更新可信个人资料的规则:
ibmcloud iam trusted-profile-rule-update (NAME|ID) (RULE_NAME|RULE_ID) --name RULE_NAME --type RULE_TYPE [--realm-name REALM_NAME] --conditions <LIST_OF_CONDITIONS> [--cr-type CR_TYPE] [--expiration EXPIRATION_SEC] [--output FORMAT] [-q, --quiet] [-f, --force]
要查看 --conditions
的有效操作程序和声明属性选项的完整列表,请参阅 IAM 条件属性。
命令选项
- NAME | ID (必需)
- 要更新规则的受信任配置文件的名称或 ID。
- RULE_NAME | RULE_ID (必需)
- 要更新的规则的名称或标识。
- --type
- SAML规则使用“Profile-SAML”,计算资源规则使用“Profile-CR”。
- --conditions
- 条件列表,以逗号分隔的三元组形式提供,格式为“claim:CLAIM,operator:OPERATOR,value:VALUE”。 要指定多个条件,请多次指定标志 --conditionsclaim:CLAIM1,operator:OPERATOR1,value:VALUE1”--conditionsclaim:CLAIM2,operator:OPERATOR2,value:VALUE2”。
- --cr-type
- 仅当类型指定为“Profile-CR”时,才需要规则所适用的计算资源类型。 VSI代表VPC上的虚拟服务实例,IKS_SA代表 Kubernetes 集群上的服务账户,ROKS_SA代表托管的 Red Hat OpenShift。
- --expiration
- 指定 SAML 规则的到期时间(秒)。 不得为计算资源(类型=配置文件-CR)而设立的信托提供。
- --name
- 规则的新名称。
- --realm-name
- 通过 IBMid 与联邦建立的信托的发行人ID,或通过 App ID 联邦建立的信托的发行人ID为
appid://
。 不得为计算资源(类型=配置文件-CR)而设立的信托提供。 - --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -f, --force
- 如果发现多个规则,则强制失效。
- -q, --quiet
- 禁止详细输出。
示例
使用新名称 test-rule
更新概要文件 my-profile
中的规则 ClaimRule-test-id
:
ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-test-id --name test-rule
使用新域名 https://www.example.org/my-nice-idp
更新概要文件 my-profile
中的 Profile-SAML
规则 my-rule
:
ibmcloud iam trusted-profile-rule-update my-profile my-rule --realm-name https://www.example.org/my-nice-idp
更新概要文件 my-profile
中 Profile-SAML
规则 ClaimRule-a448e998-311f-4e23-8af8-66b855c5da11
的规则条件和到期时间:
ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-a448e998-311f-4e23-8af8-66b855c5da11 --conditions claim:cn,operator:EQUALS,value:my_user --expiration 1200
在概要文件 my-profile
中更新 Profile-CR
规则 ClaimRule-cb8e3a2c-2d16-422b-b691-8791355b53bc
的规则条件和计算资源类型:
ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-cb8e3a2c-2d16-422b-b691-8791355b53bc --conditions claim:crn,operator:EQUALS,value:crn:v1:bluemix:public:containers-redhat:us-south:a/test:: --cr-type ROKS_SA
ibmcloud iam trusted-profile-rule-delete
删除可信配置文件的规则:
ibmcloud iam trusted-profile-rule-delete (NAME|ID) (RULE_NAME|RULE_ID) [-f, --force] [-q, --quiet]
命令选项
- NAME | ID (必需)
- 包含要删除规则的配置文件的名称或 ID。
- RULE_NAME | RULE_ID (必需)
- 要删除的规则的名称或标识。
- -f, --force
- 强制删除而不确认。
- -q, --quiet
- 禁止详细输出。
示例
从可信概要文件 my-profile
中删除规则 my-rule
而不确认:
ibmcloud iam trusted-profile-rule-delete my-profile my-rule -f
ibmcloud iam trusted-profile-templates
列出您当前账户中的所有个人资料模板
ibmcloud iam trusted-profile-templates [--output FORMAT] [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
以表格式列出可信概要文件模板
ibmcloud iam trusted-profile-templates
ibmcloud iam trusted-profile-template-create
创建可信概要文件模板
ibmcloud iam trusted-profile-template-create --file JSON_FILE
命令选项
- --file JSON_FILE
- 模板定义的 JSON 文件
ibmcloud iam trusted-profile-template-version
获取指定版本的可信配置文件模板
ibmcloud iam trusted-profile-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION
示例
列出可信配置文件模板指定版本的详细信息
ibmcloud iam trusted-profile-template-version example-template-name 1
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
ibmcloud iam trusted-profile-template-version-commit
落实可信概要文件模板的特定版本
ibmcloud iam trusted-profile-template-version-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION
命令选项
示例
落实可信概要文件模板的特定版本
ibmcloud iam trusted-profile-template-version-commit example-template-name 1
- -q, --quiet
- 禁止详细输出。
ibmcloud iam trusted-profile-template-version-create
创建可信概要文件模板的新版本
ibmcloud iam trusted-profile-template-version-create (TEMPLATE_ID | TEMPLATE_NAME) --file JSON_FILE
命令选项
- -q, --quiet
- 禁止详细输出。
- --file JSON_FILE
- 模板定义的JSON文件。
示例
根据 JSON 文件创建指定模板的新版本
ibmcloud iam trusted-profile-template-version-create example-template-name --file JSON_FILE
ibmcloud iam trusted-profile-template-version-delete
删除可信概要文件模板的指定版本
ibmcloud iam trusted-profile-template-version-delete TEMPLATE_ID TEMPLATE_VERSION
命令选项
- -q, --quiet
- 禁止详细输出。
示例
删除可信概要文件模板的指定版本
ibmcloud iam trusted-profile-template-version-delete example-template-name 1
ibmcloud iam trusted-profile-template-version-update
更新可信概要文件模板的指定版本
ibmcloud iam trusted-profile-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE
命令选项
- -q, --quiet
- 禁止详细输出。
- --file JSON_FILE
- 模板定义的JSON文件。
示例
使用 JSON 文件更新可信概要文件模板的指定版本
ibmcloud iam trusted-profile-template-version-update example-template-name 1 --file JSON_FILE
ibmcloud iam trusted-profile-template-versions
列出可信概要文件模板的所有版本
ibmcloud iam trusted-profile-template-versions TEMPLATE_ID | TEMPLATE_NAME
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
以 JSON 格式列出可信概要文件模板的所有版本
ibmcloud iam trusted-profile-template-versions --output JSON
ibmcloud iam trusted-profile-assignment
显示可信概要文件分配的详细信息
ibmcloud iam trusted-profile-assignment ASSIGNMENT_ID
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
以 JSON 格式显示可信概要文件分配的详细信息
ibmcloud iam trusted-profile-assignment example-assignment-id --output JSON
ibmcloud iam trusted-profile-assignment-create
创建可信概要文件分配
ibmcloud iam trusted-profile-assignment-create TEMPLATE_ID TEMPLATE_VERSION --target-type TYPE --target TARGET
命令选项
- -q, --quiet
- 禁止详细输出。
- - --target
- 目标实体的标识
- --target-type 类型
- 目标实体的类型
示例
在指定的目标帐户中创建可信概要文件分配
ibmcloud iam trusted-profile-assignment-create example-template-id 1 --target-type Account --target example-account-id
ibmcloud iam trusted-profile-assignment-delete
删除可信概要文件分配
ibmcloud iam trusted-profile-assignment-delete ASSIGNMENT_ID
命令选项
- -q, --quiet
- 禁止详细输出。
示例
在指定的目标帐户中创建可信概要文件分配
ibmcloud iam trusted-profile-assignment-create example-template-id 1 --target-type Account --target example-account-id
ibmcloud iam trusted-profile-assignment-update
更新可信概要文件分配
ibmcloud iam trusted-profile-assignment-update ASSIGNMENT_ID TEMPLATE_VERSION
命令选项
- -q, --quiet
- 禁止详细输出。
示例
更新可信概要文件分配
ibmcloud iam trusted-profile-assignment-update example-template-id 1
ibmcloud iam trusted-profile-assignment
在您的当前账户中获取所有可信的个人资料分配
ibmcloud iam trusted-profile-assignments
命令选项
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
以 JSON 格式列出当前帐户中的所有可信概要文件分配
ibmcloud iam trusted-profile-assignments --output JSON
ibmcloud iam account-settings
列出帐户设置值:
ibmcloud iam account-settings [--show-external-identity] [--output FORMAT] [-q, --quiet]
命令选项
- --show-external-identity
- 显示外部身份的设置
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
ibmcloud iam account-settings-update
更新当前账户下的设置:
ibmcloud iam account-settings-update [--restrict-create-service-id RESTRICTION_SETTING] [--restrict-create-platform-apikey RESTRICTION_SETTING] [--allowed-ip-addresses ADDRESS_LIST] [--unset-allowed-ip-addresses] [--mfa MFA] [--session-expiration-in-seconds SECONDS_EXP] [--session-invalidation-in-seconds SECONDS_INV] [--max-sessions-per-identity SESSIONS_MAX] [--output FORMAT] [-q, --quiet]
命令选项
- --restrict-create-service-id 限制_设置
- 服务ID创建的限制级别(
RESTRICTED
、NOT_RESTRICTED
或NOT_SET
之一)。 - --restrict-create-platform-apikey 限制设置
- API密钥创建的限制级别(
RESTRICTED
、NOT_RESTRICTED
或NOT_SET
之一)。 - --allowed-ip-addresses ADDRESS_LIST
- 可创建IAM令牌的IP地址和子网(默认为“”)。
- --unset-allowed-ip-addresses
- 清除所有 IP 地址限制
- --session-expiration-in-seconds SECONDS_EXP
- 会话到期的秒数 (也可以是
NOT_SET
,这会将该值重置为缺省值)。 - --session-invalidation-in-seconds SECONDS_INV
- 会话失效前闲置的秒数(也可以为“NOT_SET”,将值重置为默认值)。
- --max-sessions-per-identity SESSIONS_MAX
- 账户上每个身份的最大会话数(也可以是
NOT_SET
,它将值重置为默认值)。 - --mfa MFA
- 账户上的MFA类型(
NONE
、TOTP
、TOTP4ALL
、LEVEL1
、LEVEL2
或LEVEL3
之一)。 - --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
将帐户的多因子认证设置更新为 LEVEL3
:
ibmcloud iam account-settings-update --mfa LEVEL3
将会话到期的秒数更新为缺省值 (使用 NOT_SET
):
ibmcloud iam account-settings-update --session-expiration-in-seconds NOT_SET
ibmcloud iam account-settings-external-interaction-update
更新当前账户下的外部互动账户设置:
ibmcloud iam account-settings-external-interaction-update (service | service_id | user) [--state STATE] [--allowed-accounts ACCOUNT_1, ACCOUNT_2, ...] [--output FORMAT] [-q, --quiet]
命令选项
- --state : 设置状态。 选项包括:
limited
、enabled
或monitor
。
- --allowed-accounts ACCOUNT_1, ACCOUNT_2, ...
- 逗号分隔的账户ID列表允许在身份类型下访问。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
- -q, --quiet
- 禁止详细输出。
示例
将用户的外部交互设置更新为 monitor
:
ibmcloud iam account-settings-external-interaction-update user --state monitor
使用允许的账户 The-Account-ID
更新账户的服务外部交互设置:
ibmcloud iam account-settings-external-interaction-update service --allowed-accounts The-Account-ID
ibmcloud iam account-settings-template
显示账户设置模板的详细信息:
ibmcloud iam account-settings-template (TEMPLATE_ID | TEMPLATE_NAME) [-q,--quiet] [--output JSON]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
显示帐户设置模板 AccountSettingsEditorTemplate
的详细信息
ibmcloud iam account-settings-template AccountSettingsEditorTemplate
ibmcloud iam account-settings-templates
列出企业账户的账户设置模板:
ibmcloud iam account-settings-templates [-q,--quiet] [--output JSON]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
列出当前账户的账户设置模板
ibmcloud iam account-settings-templates
ibmcloud iam account-settings-template-create
为企业账户创建新的账户设置模板:
ibmcloud iam account-settings-template-create TEMPLATE_NAME [-d, --description DESCRIPTION] [--file JSON_FILE] [-q,--quiet]
命令选项
- -d, --description 描述
- 对模板的描述
- --file JSON_FILE
- 模板定义的 JSON 文件
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
在当前账户上创建账户设置模板
ibmcloud iam account-settings-template-create AccountSettingsEditorTemplate --fie /path/to/account_settings_template.json
ibmcloud iam account-settings-template-version
在企业管理账户中获取特定版本的账户设置模板:
ibmcloud iam account-settings-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet] [--output JSON]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
显示帐户设置模板 AccountSettingsEditorTemplate
的版本 1
ibmcloud iam account-settings-template-create AccountSettingsEditorTemplate 1
ibmcloud iam account-settings-template-versions
企业账户中的账户设置模板版本列表:
ibmcloud iam account-settings-template-versions (TEMPLATE_ID | TEMPLATE_NAME) [-q,--quiet] [--output JSON]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
列出帐户设置模板 AccountSettingsEditorTemplate
的版本
ibmcloud iam account-settings-template-versions AccountSettingsEditorTemplate
ibmcloud iam account-settings-template-version-create
在企业账户中创建一个新版本的账户设置模板:
ibmcloud iam account-settings-template-version-create {(TEMPLATE_ID |TEMPLATE_NAME) (--file JSON_FILE)} [-q,--quiet] [--output FORMAT]
命令选项
- --file JSON_FILE
- 帐户设置模板定义的 JSON 文件
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
创建新版本的账户设置模板 AccountSettingsEditorTemplate
ibmcloud iam account-settings-template-version-create AccountSettingsEditorTemplate --file /path/to/account_settings_template.json
ibmcloud iam account-settings-template-version-update
更新企业账户中特定版本的账户设置模板:
ibmcloud iam account-settings-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-d, --description DESCRIPTION] [-q,--quiet]
命令选项
- -d 值,--description 描述
- 对模板的描述
- --file JSON_FILE
- 模板定义的 JSON 文件
- -q, --quiet
- 禁止详细输出。
示例
更新帐户设置模板 AccountSettingsEditorTemplate
的版本 1
ibmcloud iam account-settings-template-version-update AccountSettingsEditorTemplate 1 --file /path/to/account_settings_template.json
ibmcloud iam account-settings-template-version-delete
删除企业账户的账户设置模板版本:
ibmcloud iam account-settings-template-version-delete (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
删除帐户设置模板 AccountSettingsEditorTemplate
的版本 2
ibmcloud iam account-settings-template-delete AccountSettingsEditorTemplate 2
ibmcloud iam account-settings-template-version-commit
在企业账户中提交特定版本的账户设置模板:
ibmcloud iam account-settings-template-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
落实帐户设置模板 AccountSettingsEditorTemplate
的版本 1
ibmcloud iam account-settings-template-version-commit AccountSettingsEditorTemplate 1
ibmcloud iam account-settings-assignment
列出企业账户的账户设置任务:
ibmcloud iam account-settings-assignments [--output FORMAT] [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
列出当前帐户中的分配
ibmcloud iam account-settings-assignments
ibmcloud iam account-settings-assignment
获取账户设置模板的任务:
ibmcloud iam account-settings-assignment ASSIGNMENT_ID [-q,--quiet] [--output FORMAT]
命令选项
- -q, --quiet
- 禁止详细输出。
- --output FORMAT
- 指定输出格式。 仅支持“JSON”。
示例
获取帐户设置分配 AccountSettingsAssignment-7c4345c7f2cb4c75a9f29b68fc1e1e88
ibmcloud iam account-settings-assignment AccountSettingsAssignment-7c4345c7f2cb4c75a9f29b68fc1e1e88
ibmcloud iam account-settings-assignment-create
为账户设置模板创建任务:
ibmcloud iam account-settings-assignment-create TEMPLATE_NAME TEMPLATE_VERSION TARGET_TYPE TARGET [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
为账户指定账户设置模板
ibmcloud iam account-settings-assignment-create TemplateTest 1 Account f7fc6938256e46e1a25ee09e14ca9c20
为账户组指定账户设置模板
ibmcloud iam account-settings-assignment-create TemplateTest 1 AccountGroup 955fc2274567474f8da802d5c376504b
ibmcloud iam account-settings-assignment-update
更新任务以重试失败的任务或将资源迁移到新版本:
ibmcloud iam account-settings-assigment-update ASSIGNMENT_ID TEMPLATE_VERSION [-q,--quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
将帐户设置分配 AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b
更新为模板版本 2
ibmcloud iam account-settings-assignment-update AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b 2
ibmcloud iam account-settings-assignment-delete
删除帐户设置分配。 此操作将删除此任务创建的所有资源:
ibmcloud iam account-settings-assigment-delete ASSIGNMENT_ID [-q, --quiet]
命令选项
- -q, --quiet
- 禁止详细输出。
示例
删除帐户设置分配 AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b
ibmcloud iam account-settings-assignment-delete AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b