管理 IAM 访问权，API 密钥，可信概要文件，服务标识和访问组 (ibmcloud iam)

使用 IBM Cloud® 命令行界面中的以下命令来管理用户，服务，可信概要文件和访问组的 API 密钥，服务标识，访问组和授权策略。

ibmcloud iam service-ids

列出所有服务标识：

ibmcloud iam service-ids [--uuid]

命令选项

--uuid: 仅显示服务标识的 UUID。

示例

列出当前帐户下所有服务标识的 UUID：

ibmcloud iam service-ids --uuid

ibmcloud iam service-id

显示服务标识的详细信息：

ibmcloud iam service-id (NAME|UUID) [--uuid]

命令选项

NAME（必需）: 服务的名称，与 UUID 互斥。
UUID（必填）: 服务的 UUID，与 NAME 互斥。
--uuid: 显示服务标识的 UUID。

示例

显示服务标识 sample-test 的详细信息：

ibmcloud iam service-id sample-test

显示服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 的详细信息：

ibmcloud iam service-id ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam service-id-create

创建服务标识：

ibmcloud iam service-id-create NAME [-d, --description DESCRIPTION] [--lock]

命令选项

NAME（必需）: 服务的名称。
-d, --description: 服务标识的描述。
--lock: 在创建期间锁定服务标识。

示例

创建服务名称为 sample-test 且描述为 hello, world! 的服务标识：

ibmcloud iam service-id-create sample-test -d 'hello, world!'

创建服务名称为 sample-test 且描述为 hello, world! 的锁定服务标识：

ibmcloud iam service-id-create sample-test -d 'hello, world!' --lock

ibmcloud iam service-id-update

更新服务标识：

ibmcloud iam service-id-update (NAME|UUID) [-n, --name NEW_NAME] [-d, --description DESCRIPTION] [-f, --force]

命令选项

NAME（必需）: 服务的名称，与 UUID 互斥。
UUID（必填）: 服务的 UUID，与 NAME 互斥。
-n, --name: 服务的新名称。
-d, --description: 服务的新描述。
-f, --force: 更新而不确认。

示例

将服务标识 sample-test 重命名为 sample-test-2 而不确认：

ibmcloud iam service-id-update sample-test -n sample-test-2 -f

更新服务描述 sample-test :

ibmcloud iam service-id-update sample-test -d 'hello, friend!'

使用新描述将服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 重命名为 sample-test-3：

ibmcloud iam service-id-update ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 -n sample-test-3 -d 'hello, my friends!'

ibmcloud iam service-id-delete

删除服务标识：

ibmcloud iam service-id-delete (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 服务的名称，与 UUID 互斥。
UUID（必填）: 服务的 UUID，与 NAME 互斥。
-f, --force: 删除而不确认。

示例

删除服务标识 sample-teset 而不确认：

ibmcloud iam service-id-delete sample-teset -f

删除服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976：

ibmcloud iam service-id-delete ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam service-id-lock

锁定服务标识：

ibmcloud iam service-id-lock (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 服务的名称，与 UUID 互斥。
UUID（必填）: 服务的 UUID，与 NAME 互斥。
-f, --force: 锁定而不确认。

示例

锁定服务标识 sample-teset 而不确认：

ibmcloud iam service-id-lock sample-teset -f

锁定服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976：

ibmcloud iam service-id-lock ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam service-id-unlock

解锁服务标识：

ibmcloud iam service-id-unlock (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 服务的名称，与 UUID 互斥。
UUID（必填）: 服务的 UUID，与 NAME 互斥。
-f, --force: 解锁而不确认。

示例

解锁服务标识 sample-teset 而不确认：

ibmcloud iam service-id-unlock sample-teset -f

解锁服务标识 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976：

ibmcloud iam service-id-unlock ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam api-keys

列出所有 IBM Cloud 平台 API 密钥：

ibmcloud iam api-keys [--uuid]

命令选项

--uuid: 显示API密钥的UUID。

ibmcloud iam api-key-create

创建 IBM Cloud 平台 API 密钥：

ibmcloud iam api-key-create NAME [-d DESCRIPTION] [--file FILE] [--lock]

使用带有API密钥IBM Cloud 登录无法与 control.softlayer.com 选项中的旧版SL API密钥一起使用。使用API密钥IBM Cloud 时，需要升级IBM Cloud，通过 cloud.ibm.com 管理基础设施。

命令选项

NAME（必需）: 要创建的 API 密钥的名称。
- -d 描述（可选 ）: API 密钥的描述。
--file文件文件: 将 API 密钥信息保存到指定的文件。
--action-if-leaked value: 密钥泄漏时要执行的操作可以是 "NONE"，"DISABLE" 或 "DELETE"。缺省值为“禁用”。
--lock: 锁定创建的 API 密钥。

示例

创建一个API密钥并将其保存到文件中：

ibmcloud iam api-key-create MyKey -d "this is my API key" --file key_file

创建名称为“test-key”的锁定 API 密钥：

ibmcloud iam api-key-create test-key --lock

ibmcloud iam api-key-update

更新 IBM Cloud 平台 API 密钥：

ibmcloud iam api-key-update (NAME|UUID) [-n name] [-d description]

命令选项

NAME（必需）: API密钥的旧名称将被更新，仅使用UUID。
UUID（必填）: API密钥的唯一标识符（UUID）将仅通过名称进行更新。
- -n 名字（可选 ）: API 密钥的新名称。
- -d 描述（可选 ）: API 密钥的新描述。
--action-if-leaked value: 密钥泄漏时要执行的操作可以是 "NONE"，"DISABLE" 或 "DELETE"。默认为“禁用”

示例

更新 API 密钥的描述：

ibmcloud iam api-key-update MyKey -d "the new description of my key"

使用 NAME 和 UUID 命令选项时，帐户需要 iam-identity.apikey.manage 特权。有关更多信息，请参阅管理用户 API 密钥和 IAM Identity Service。

ibmcloud iam api-key-delete

删除 IBM Cloud 平台 API 密钥：

ibmcloud iam api-key-delete (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 要删除的API密钥名称，仅使用UUID。
UUID（必填）: 要删除的API密钥的UUID，仅与名称相关。
-f, --force: 强制删除而不确认。

ibmcloud iam api-key-lock

锁定平台 API 密钥：

ibmcloud iam api-key-lock (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 要锁定的API密钥的名称，仅使用UUID。
UUID（必填）: 要锁定的API密钥的UUID，仅与名称相关。
-f, --force: 强制锁定而不确认。

示例

锁定 API 密钥 test-api-key：

ibmcloud iam api-key-lock test-api-key

锁定给定 UUID 的 API 密钥而不确认：

ibmcloud iam api-key-lock ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force

ibmcloud iam api-key-unlock

解锁平台 API 密钥：

ibmcloud iam api-key-unlock (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 要解锁的API密钥名称，仅使用UUID。
UUID（必填）: 要解锁的API密钥的唯一标识符（UUID），仅与名称相关。
-f, --force: 解锁 API 密钥而不确认。

示例

解锁 API 密钥 test-api-key：

ibmcloud iam api-key-unlock test-api-key

解锁给定 UUID 的 API 密钥而不确认：

ibmcloud iam api-key-unlock ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force

ibmcloud iam api-key-disable

禁用平台API密钥：

ibmcloud iam api-key-disable (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 要禁用的API密钥名称，仅使用UUID。
UUID（必填）: 要停用的API密钥的唯一标识符（UUID），仅与名称相关。
-f, --force: 强制禁用而不确认。

示例

禁用 API 密钥 test-api-key:

ibmcloud iam api-key-disable test-api-key

禁用具有指定UUID的API密钥，无需确认：

ibmcloud iam api-key-disable ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force

ibmcloud iam api-key-enable

启用平台API密钥：

ibmcloud iam api-key-enable (NAME|UUID) [-f, --force]

命令选项

NAME（必需）: 要启用的API密钥名称，仅使用UUID。
UUID（必填）: 要启用的API密钥的唯一标识符（UUID），仅与名称相关。
-f, --force: 强制启用而不确认。

示例

启用 API 密钥 test-api-key:

ibmcloud iam api-key-enable test-api-key

启用带有指定UUID的API密钥，无需确认：

ibmcloud iam api-key-enable ApiKey-18f773b0-db53-43f1-ad68-92c667c218fe --force

ibmcloud iam service-api-keys

列出服务的所有 API 密钥：

ibmcloud iam service-api-keys ([-a, --all], SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

-a, --all: 显示与所有服务关联的所有 API 密钥。
SERVICE_ID_NAME（必需）: 服务ID的名称，与SERVICE_ID_UUID唯一对应。
SERVICE_ID_UUID（必填）: 服务ID的唯一标识符（UUID），与SERVICE_ID_NAME唯一对应。
-f, --force: 显示服务 API 密钥而不确认。

示例

列出服务 sample-service 的所有API密钥：

ibmcloud iam service-api-keys sample-service

ibmcloud iam service-api-key

列出服务 API 密钥的详细信息：

ibmcloud iam service-api-key (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [--uuid] [-f, --force]

命令选项

APIKEY_NAME（必填）: API 密钥的名称，与 APIKEY_UUID 互斥。
APIKEY_UUID（必填）: API 密钥的 UUID，与 APIKEY_NAME 互斥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
--uuid: 显示服务API密钥的UUID。
-f, --force: 显示服务 API 密钥而不确认。

示例

显示服务 sample-key 的服务 API 密钥 sample-service 的详细信息：

ibmcloud iam service-api-key sample-key sample-service

ibmcloud iam service-api-key-create

创建服务 API 密钥：

ibmcloud iam service-api-key-create NAME (SERVICE_ID_NAME|SERVICE_ID_UUID) [-d, --description DESCRIPTION] [--file FILE] [-f, --force] [--lock]

命令选项

NAME（必需）: 服务名称、服务ID或新创建的服务API密钥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
-d, --description: API 密钥的描述。
- --file: 将 API 密钥信息保存到指定的文件。
--action-if-leaked value: 如果密钥泄漏，应采取的措施。选项包括“无”、“禁用”或“删除”。默认选项为“禁用”。
-f, --force: 强制创建而不确认。

示例

为服务 sample-key 创建服务 API 密钥 sample-service 而不确认：

ibmcloud iam service-api-key-create sample-key sample-service -f

ibmcloud iam service-api-key-update

更新服务 API 密钥：

ibmcloud iam service-api-key-update (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID)  [-n, --name NEW_NAME] [-d, --description DESCRIPTION] [-f, --force]

命令选项

APIKEY_NAME（必填）: API 密钥的名称，与 APIKEY_UUID 互斥。
APIKEY_UUID（必填）: API 密钥的 UUID，与 APIKEY_NAME 互斥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
-n, --name: 服务API密钥的新名称。
-d, --description: 服务API密钥的新描述。
--action-if-leaked value: 密钥泄漏时要执行的操作可以是 "NONE"，"DISABLE" 或 "DELETE"。缺省值为“禁用”。
-f, --force: 更新而不确认。

示例

将服务API密钥 sample-key 重命名为 new-sample-key：

ibmcloud iam service-api-key-update sample-key sample-service -n new-sample-key

ibmcloud iam service-api-key-delete

删除服务 API 密钥：

ibmcloud iam service-api-key-delete (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

APIKEY_NAME（必填）: API 密钥的名称，与 APIKEY_UUID 互斥。
APIKEY_UUID（必填）: API 密钥的 UUID，与 APIKEY_NAME 互斥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
-f, --force: 删除而不确认。

示例

删除服务标识 sample-key 的服务 API 密钥 sample-service：

ibmcloud iam service-api-key-delete sample-key sample-service

ibmcloud iam service-api-key-lock

锁定服务 API 密钥：

ibmcloud iam service-api-key-lock (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

APIKEY_NAME（必填）: API 密钥的名称，与 APIKEY_UUID 互斥。
APIKEY_UUID（必填）: API 密钥的 UUID，与 APIKEY_NAME 互斥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
-f, --force: 锁定而不确认。

示例

锁定服务标识 sample-key 的服务 API 密钥 sample-service：

ibmcloud iam service-api-key-lock sample-key sample-service

ibmcloud iam service-api-key-unlock

解锁服务 API 密钥：

ibmcloud iam service-api-key-unlock (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

APIKEY_NAME（必填）: API 密钥的名称，与 APIKEY_UUID 互斥。
APIKEY_UUID（必填）: API 密钥的 UUID，与 APIKEY_NAME 互斥。
SERVICE_ID_NAME（必需）: 服务标识的名称，与 SERVICE_ID_UUID 互斥。
SERVICE_ID_UUID（必填）: 服务标识的 UUID，与 SERVICE_ID_NAME 互斥。
-f, --force: 解锁而不确认。

示例

解锁服务标识 sample-key 的服务 API 密钥 sample-service：

ibmcloud iam service-api-key-unlock sample-key sample-service

ibmcloud iam service-api-key-禁用

禁用服务API密钥：

ibmcloud iam service-api-key-disable (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

APIKEY_NAME（必填）: API密钥的名称，仅与APIKEY_UUID相关。
APIKEY_UUID（必填）: API密钥的唯一标识符（UUID），与APIKEY_NAME相关联。
SERVICE_ID_NAME（必需）: 服务ID的名称，与SERVICE_ID_UUID唯一对应。
SERVICE_ID_UUID（必填）: 服务ID的唯一标识符（UUID），与SERVICE_ID_NAME唯一对应。
-f, --force: 禁用而不确认。

示例

禁用服务API密钥 sample-key，服务ID为 sample-service：

ibmcloud iam service-api-key-disable sample-key sample-service

ibmcloud iam service-api-key-enable

启用服务API密钥：

ibmcloud iam service-api-key-enable (APIKEY_NAME|APIKEY_UUID) (SERVICE_ID_NAME|SERVICE_ID_UUID) [-f, --force]

命令选项

APIKEY_NAME（必填）: API密钥的名称，仅与APIKEY_UUID相关。
APIKEY_UUID（必填）: API密钥的唯一标识符（UUID），与APIKEY_NAME相关联。
SERVICE_ID_NAME（必需）: 服务ID的名称，与SERVICE_ID_UUID唯一对应。
SERVICE_ID_UUID（必填）: 服务ID的唯一标识符（UUID），与SERVICE_ID_NAME唯一对应。
-f, --force: 启用而不确认。

示例

启用服务API密钥 sample-key，服务ID为 sample-service：

ibmcloud iam service-api-key-enable sample-key sample-service

ibmcloud iam user-policies

列出指定用户的全部访问策略：

ibmcloud iam user-policies USER_NAME

命令选项

USER_NAME（必需）: 策略所属的用户名。

示例

列出用户 name@example.com 的策略：

ibmcloud iam user-policies name@example.com

ibmcloud iam user-policy

显示用户访问策略的详细信息：

ibmcloud iam user-policy USER_NAME POLICY_ID [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

USER_NAME（必需）: 策略所属的用户名。
POLICY_ID（必需）: 策略的标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出用户 0bb730daa 的策略 name@example.com：

ibmcloud iam user-policy name@example.com 0bb730daa

ibmcloud iam user-policy-create

为当前账户中的指定用户创建访问权限：

ibmcloud iam user-policy-create USER_NAME {--file JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

USER_NAME（必需）: 保单所属的用户名。
- --file 文件（可选 ）: 策略定义的 JSON 文件。您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。有关使用高级操作程序创建通配符策略的更多信息，请参阅使用通配符策略分配访问权。
--roles ROLE_NAME1,ROLE_NAME2... （可选）: 策略定义的角色名称。要了解特定服务所支持的角色，请运行 ibmcloud iam roles --service SERVICE_NAME。此选项与 --file 选项搭配使用。
- --service-name SERVICE_NAME（可选 ）: 策略定义的服务名称。此选项与 --file 选项搭配使用。
--service-instance SERVICE_INSTANCE_GUID （可选）: 策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。
- --region 地区（可选 ）: 策略定义的区域。此选项与 --file 选项搭配使用。
- --resource-type RESOURCE_TYPE（可选 ）: 策略定义的资源类型。此选项与 --file 选项搭配使用。
- --resource RESOURCE（可选 ）: 策略定义的资源。此选项与 --file 选项搭配使用。
- --resource-group-name RESOURCE_GROUP_NAME（可选 ）: 资源组的名称。* 表示所有资源组。此选项与 --file、--resource 和 --resource-group-id 选项不可同时使用。
- --resource-group-id RESOURCE_GROUP_ID（可选 ）: 资源组的标识。* 表示所有资源组。此选项与 --file、--resource 和 --resource-group-name 选项不可同时使用。
--account-management（可选）: 授予对所有帐户管理服务的访问权。
--attributes name=value,name=value...: 以 name=value,name=value....
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

通过策略 JSON 文件 name@example.com 为用户 policy.json 创建用户策略：

ibmcloud iam user-policy-create name@example.com --file @policy.json

为 sample-service 服务的所有实例提供 name@example.com Administrator 角色:

ibmcloud iam user-policy-create name@example.com --roles Administrator --service-name sample-service

为 sample-service 服务的所有实例提供 name@example.com Editor 角色和定制角色 Responder :

ibmcloud iam user-policy-create name@example.com --roles Editor,Responder --service-name sample-service

授予 name@example.com 对 Editor 区域中 GUID 为 key123 的样本服务实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9 的 us-south 角色：

ibmcloud iam user-policy-create name@example.com --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123

授予 name@example.com 对标识为 Operator 的资源组的 dda27e49d2a1efca58083a01dfde18f6 角色：

ibmcloud iam user-policy-create name@example.com --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6

请为资源组成员 sample-resource-group 分配角色 name@example.com Viewer :

ibmcloud iam user-policy-create name@example.com --roles Viewer --resource-group-name sample-resource-group

为资源组成员分配角色 name@example.com Viewer，ID为 dda27e49d2a1efca58083a01dfde18f6：

ibmcloud iam user-policy-create name@example.com --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6

为属性 instanceId 等于 * 的服务 is 资源提供 name@example.com Viewer 角色:

ibmcloud iam user-policy-create name@example.com --roles Viewer --service-name is --attributes "instanceId=*"

ibmcloud iam user-policy-update

更新当前账户中指定用户的访问权限：

ibmcloud iam user-policy-update USER_NAME POLICY_ID {--file JSON_FILE | [--roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

USER_NAME（必需）

保单所属的用户名。

POLICY_ID（必需）

要更新的策略的标识。

--file 文件（可选 ）

策略定义的 JSON 文件。

--roles ROLE_NAME1,ROLE_NAME2... （可选）

策略定义的角色名称。如需了解特定服务的支持角色，请运行 ibmcloud iam roles --service SERVICE_NAME 选项。此选项与 --file 选项搭配使用。

- --service-name SERVICE_NAME（可选 ）

策略定义的服务名称。此选项与 --file 选项搭配使用。

--service-instance SERVICE_INSTANCE_GUID （可选）

策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。

- --region 地区（可选 ）

策略定义的区域。此选项与 --file 选项搭配使用。

- --resource-type RESOURCE_TYPE（可选 ）

策略定义的资源类型。此选项与 --file 选项搭配使用。

- --resource RESOURCE（可选 ）

策略定义的资源。此选项与 --file 选项搭配使用。

- --resource-group-name RESOURCE_GROUP_NAME（可选 ）

资源组的名称。* 表示所有资源组。此选项与 --file、--resource 和 --resource-group-id 选项不可同时使用。

- --resource-group-id RESOURCE_GROUP_ID（可选 ）

资源组的标识。* 表示所有资源组。此选项与 --file、--resource 和 --resource-group-name 选项不可同时使用。

--account-management（可选）

授予对所有帐户管理服务的访问权。

--attributes name=value,name=value...

以“name=value,name=value....”格式设置资源属性

--output FORMAT

指定输出格式。仅支持“JSON”。

-q, --quiet

禁止详细输出。

--api-version

访问策略API的版本。

示例

使用 JSON 文件中的用户策略来更新用户策略：

ibmcloud iam user-policy-update name@example.com 0bb730daa --file @policy.json

更新用户政策，赋予 name@example.com Administrator 在 sample-service 服务中的所有实例中的角色：

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Administrator --service-name sample-service

更新用户策略，为 sample-service 服务的所有实例提供 name@example.com Editor 角色和定制角色 Responder :

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Editor,Responder --service-name sample-service

更新用户策略以授予 name@example.com 对 Editor 区域中 GUID 为 key123 的样本服务实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9 的 us-south 角色：

ibmcloud iam user-policy-update name@example.com --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123

更新用户策略以授予 name@example.com 对标识为 Operator 的资源组的 dda27e49d2a1efca58083a01dfde18f6 角色：

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6

更新用户政策，赋予资源组成员 sample-resource-group name@example.com Viewer 角色：

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --resource-group-name sample-resource-group

更新用户政策，赋予资源组成员 dda27e49d2a1efca58083a01dfde18f6 name@example.com Viewer 角色：

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6

更新用户策略，为属性 instance 等于 * 的服务 is 资源提供 name@example.com Viewer 角色:

ibmcloud iam user-policy-update name@example.com user-policy-id --roles Viewer --service-name is --attributes "instanceId=*"

ibmcloud iam user-policy-delete

删除指定用户的访问权限：

ibmcloud iam user-policy-delete USER_ID POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

-f, --force: 删除用户策略而不确认。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

删除用户 user-policy-id 的策略 name@example.com：

ibmcloud iam user-policy-delete name@example.com user-policy-id

删除用户 user-policy-id 的策略 name@example.com 而不确认：

ibmcloud iam user-policy-delete name@example.com user-policy-id -f

ibmcloud iam service-policies

列出指定服务ID的所有访问策略：

ibmcloud iam service-policies SERVICE_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

SERVICE_ID（必需）: 服务标识的名称或 UUID。
-f, --force（可选）: 显示服务策略而不确认。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出服务 test 的策略：

ibmcloud iam service-policies test

列出服务 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 的策略：

ibmcloud iam service-policies ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam service-policy

显示指定服务ID的访问策略详情：

ibmcloud iam service-policy SERVICE_ID POLICY_ID [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

SERVICE_ID（必需）: 服务标识的名称或 UUID。
POLICY_ID（必需）: 服务策略的标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force（可选）: 显示服务策略而不确认。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

显示服务 140798e2-8ea7db3 的策略 test：

ibmcloud iam service-policies test 140798e2-8ea7db3

显示服务 140798e2-8ea7db3 的策略 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976：

ibmcloud iam service-policies ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 140798e2-8ea7db3

ibmcloud iam service-policy-create

创建访问策略并将其分配给服务ID：

ibmcloud iam service-policy-create SERVICE_ID {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]

命令选项

SERVICE_ID（必需）: 服务标识的名称或 UUID。
--file: 策略定义的 JSON 文件。此选项仅适用于 -r, --roles、--service-name、--service-instance、--region、--resource-type、--resource、--resource-group-name 和 --resource-group-id 选项。您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。有关使用高级操作程序创建通配符策略的更多信息，请参阅使用通配符策略分配访问权。
-r, --roles: 策略定义的角色名称。如需了解特定服务的支持角色，请运行 ibmcloud iam roles --service SERVICE_NAME 选项。此选项与 --file 选项搭配使用。
--service-name: 策略定义的服务名称。此选项与 --file 选项搭配使用。
- --service-instance SERVICE_INSTANCE_GUID: 策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。
-区域: 策略定义的区域。此选项与 --file 选项搭配使用。
--resource-type: 策略定义的资源类型。此选项与 --file 选项搭配使用。
--resource: 策略定义的资源。此选项与 --file 选项搭配使用。
--resource-group-name: 资源组的名称。* 表示所有资源组。此选项与 --file 和 --resource-group-id 选项搭配使用。
--resource-group-id: 资源组的标识。* 表示所有资源组。此选项与 --file 和 --resource-group-name 选项搭配使用。
--account-management（可选）: 授予对所有帐户管理服务的访问权。
--account-management（可选）: 授予对所有帐户管理服务的访问权。
--attributes name=value,name=value...: 以“name=value,name=value....”格式设置资源属性
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
-f, --force: 创建服务政策，无需确认。
--api-version: 访问策略API的版本。

示例

通过 JSON 文件为服务 test 创建服务策略：

ibmcloud iam service-policy-create test --file @policy.json

通过 JSON 文件为服务 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 创建服务策略：

ibmcloud iam service-policy-create ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 --file @policy.json

为服务 test 授予所有帐户管理服务的 Administrator 角色：

ibmcloud iam service-policy-create test --roles Administrator --account-management

为服务 test 授予帐户中所有资源的 Viewer 角色：

ibmcloud iam service-policy-create test --roles Viewer

为账户中的所有 sample 服务实例授予服务 test Viewer 角色和自定义角色 Responder：

ibmcloud iam service-policy-create test --roles Viewer,Responder --service-name sample

为服务 test 提供属性 instanceId 等于 * 的服务 is 资源的 Viewer 角色:

ibmcloud iam service-policy-create sample-service --roles Viewer --service-name is --attributes "instanceId=*"

ibmcloud iam service-policy-update

更新服务ID的访问策略：

ibmcloud iam service-policy-update SERVICE_ID POLICY_ID {--file JSON_FILE | [-r, --roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]

命令选项

SERVICE_ID（必需）: 服务标识的名称或 UUID。
POLICY_ID（必需）: 服务策略的标识。
--file: 策略定义的 JSON 文件。此选项仅适用于 -r, --roles、--service-name、--service-instance、--region、--resource-type、--resource、resource-group-name 和 resource-group-id 选项。
-r, --roles: 策略定义的角色名称。要了解特定服务所支持的角色，请运行 ibmcloud iam roles --service SERVICE_NAME。此选项仅适用于 --file。
-service-名称: 策略定义的服务名称。此选项与 --file 选项搭配使用。
-服务实例 SERVICE_INSTANCE_GUID: 策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。
-区域: 策略定义的区域。此选项与 --file 选项搭配使用。
-resource-type: 策略定义的资源类型。此选项与 --file 选项搭配使用。
-资源: 策略定义的资源。此选项与 --file 选项搭配使用。
--resource-group-name: 资源组的名称。* 表示所有资源组。此选项与 --file 和 --resource-group-id 选项搭配使用。
--resource-group-id: 资源组的标识。* 表示所有资源组。此选项与 --file 和 --resource-group-name 选项搭配使用。
--account-management（可选）: 授予对所有帐户管理服务的访问权。
--attributes name=value,name=value...: 以“name=value,name=value....”格式设置资源属性
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
-f, --force: 更新服务策略而不确认。
--api-version: 访问策略API的版本。

示例

通过 JSON 文件更新服务 140798e2-8ea7db3 的服务策略 test：

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --file @policy.json

通过 JSON 文件更新服务 140798e2-8ea7db3 的服务策略 test：

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --file @policy.json

更新服务策略 140798e2-8ea7db3，为服务 test 授予所有帐户管理服务的 Administrator 角色：

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Administrator --account-management

更新服务策略 140798e2-8ea7db3，为服务 test 授予帐户中所有资源的 Viewer 角色：

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer

Update the service policy 140798e2-8ea7db3 to grant service test the Viewer role and a custom role Responder for all sample service instances in the account:

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer,Responder --service-name sample

更新服务策略 140798e2-8ea7db3，以将属性 instanceId 等于 * 的服务 is 资源的 Viewer 角色授予服务 test :

ibmcloud iam service-policy-update test 140798e2-8ea7db3 --roles Viewer --service-name is --attributes "instanceId=*"

ibmcloud iam service-policy-delete

删除服务ID的访问策略：

ibmcloud iam service-policy-delete SERVICE_ID POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

SERVICE_ID（必需）: 服务标识的名称或 UUID。
POLICY_ID（必需）: 服务策略的标识。
-f, --force: 删除而不确认。
-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。
--api-version: 访问策略API的版本。

示例

删除服务 140798e2-8ea7db3 的策略 test：

ibmcloud iam service-policy-delete test 140798e2-8ea7db3

删除服务 140798e2-8ea7db3 的策略 ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976：

ibmcloud iam service-policy-delete ServiceId-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 140798e2-8ea7db3

ibmcloud iam 登录

检索并显示最近的登录历史记录:

ibmcloud iam logins

ibmcloud iam oauth-tokens

检索并显示当前会话的 OAuth 令牌：

ibmcloud iam oauth-tokens

ibmcloud iam roles

列出平台，服务定义的角色和定制角色:

ibmcloud iam roles [--service SERVICE_NAME [--resource-type RESOURCE_TYPE] [--source-service SOURCE_SERVICE_NAME]] [--roles ROLE_NAME]

命令选项

--resource-type: 服务的资源类型。'--service' 必须与此选项一起设置。
--roles ROLE_NAME1,ROLE_NAME2...: 显示特定角色的详细信息
--service SERVICE_NAME: 服务的名称。仅列出平台定义的角色 (如果未指定)。
--source-service: 服务的名称。仅列出平台定义的角色 (如果未指定)。 此选项不支持私有端点。

示例

列出平台缺省访问角色和定制角色:

ibmcloud iam roles

列出平台缺省访问策略角色 Administrator，Operator 的详细信息:

ibmcloud iam roles --roles Administrator,Operator

以 JSON 格式列出 cloud-object-storage 服务的访问策略角色 Writer 的详细信息:

ibmcloud iam roles --service cloud-object-storage --roles Writer --output JSON

以 JSON 格式列出所有帐户管理服务的访问策略角色:

ibmcloud iam roles --service allacctmgmtroles --output JSON

列出资源组访问策略角色 Administrator 的详细信息:

ibmcloud iam roles --service resource-controller --roles Administrator

列出服务 is 的资源类型 image 的访问策略角色的详细信息:

ibmcloud iam roles --service is --resource-type image

列出源服务 cloud-object-storage 和目标服务 kms 的授权角色:

ibmcloud iam roles --source-service cloud-object-storage --service kms

ibmcloud iam role-创建

创建角色:

ibmcloud iam role-create ROLE_NAME --display-name DISPLAY_NAME --service-name SERVICE_NAME [-a, --actions ROLE_ACTION1 [ROLE_ACTION2...]] [-d, --description DESCRIPTION] [--output FORMAT] [-q --quiet]

命令选项

--display-name : 控制台中显示的角色的显示名称。
--service-name : 服务的名称。

-a, --actions ROLE_ACTION1,ROLE_ACTION2...: 角色的操作。有关更多信息，请参阅 IAM 角色和操作。
-d, --description 描述: 角色的描述。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

创建角色以执行任何 Cloudant 数据库操作:

ibmcloud iam role-create CloudDBAdmin --display-name "Cloudant DB Administrator" --service-name cloudantnosqldb --actions cloudantnosqldb.db.any

通过使用多个角色操作，创建用于对 Certificate Manager 进行只读访问的角色:

ibmcloud iam role-create ReadonlyCertManager --display-name "Readonly Certificate Manager" --service-name cloudcerts --actions cloudcerts.certificate-metadata.read,cloudcerts.notifications-channel.list

创建角色以查看工具链仪表板并以 JSON 格式返回角色:

ibmcloud iam role-create PreviewCDCI --display-name "Preview Toolchains" --service-name toolchain --actions toolchain.dashboard.view --output JSON

创建具有描述的角色:

ibmcloud iam role-create ServiceIDCreator --display-name "Service ID Creator" --service-name iam-identity --actions iam-identity.serviceid.create --description "Can only create service keys"

ibmcloud iam access-策略

列出当前账户下的所有访问策略：

ibmcloud iam access-policies [-t, --type user | service_id | access_group | trusted_profile] [--sort-by id | type | href | created_at | created_by_id | last_modified_at | last_modified_by_id | state ] [--output FORMAT] [-q, --quiet ] [--api-version v1 | v2]

命令选项

-t, --type ACCESS_POLICY_TYPE: 列出当前账户下按策略类型过滤的所有访问策略。有效选项：user | service_id | access_group | trusted_profile
--sort-by属性: 根据属性对策略进行排序。有效选项为：id | type | href | created_at | created_by_id | last_modified_at | last_modified_by_id | state。为反向排序附加减号 (例如，-id 或 -type)。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出当前账户下的所有访问策略：

ibmcloud iam access-policies

列出当前账户下的所有用户访问权限：

ibmcloud iam access-policies --type user

列出当前帐户下的所有服务标识访问策略:

ibmcloud iam access-policies --type service_id

列出当前帐户下的所有访问组访问策略:

ibmcloud iam access-policies --type access_group

列出当前帐户下的所有可信概要文件访问策略:

ibmcloud iam access-policies --type trusted_profile

列出当前账户下按 created_at 升序排序的所有受信任配置文件访问策略：

ibmcloud iam access-policies --type trusted_profile --sort-by created_at

列出当前账户下按 last_modified_at 降序排序的所有受信任用户策略：

ibmcloud iam access-policies --type user --sort-by -last_modified_at

ibmcloud iam access-policy-template

显示当前账户下访问策略模板的详细信息：

ibmcloud iam access-policy-template (TEMPLATE_ID | TEMPLATE_NAME) [--output FORMAT] [-q, --quiet]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

显示访问策略模板 AccessPolicyUserTemplate

ibmcloud iam access-policy-template AccessPolicyUserTemplate

ibmcloud iam access-policy-templates

列出当前账户下的所有访问策略模板：

ibmcloud iam access-policy-templates [--output FORMAT] [-q, quiet]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

列出当前账户下的所有访问策略模板

ibmcloud iam access-policy-templates

ibmcloud iam access-policy-template-create

创建访问策略模板：

ibmcloud iam access-policy-template-create --file JSON_FILE

命令选项

--file JSON_FILE: 访问策略模板定义的 JSON 文件
-q, --quiet: 禁止详细输出。

示例

创建访问策略模板

imcloud iam access-policy-template-create --file /path/to/access_policy_template.json

ibmcloud iam access-policy-template-version

获取访问策略模板版本：

ibmcloud iam access-policy-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [--output JSON]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

显示访问策略模板 AccessPolicyUserTemplate 的版本 1

ibmcloud iam access-policy-template-version AccessPolicyUserTemplate 1

ibmcloud iam access-policy-template-version-create

创建访问策略模板的新版本：

ibmcloud iam access-policy-template-version-create (TEMPLATE_ID | TEMPLATE_NAME) [--file JSON_FILE] [-q, --quiet]

命令选项

--file JSON_FILE: 访问策略模板定义的 JSON 文件
-q, --quiet: 禁止详细输出。

示例

为访问策略模板 AccessPolicyUserTemplate 创建新版本

ibmcloud iam access-policy-template-version-create AccessPolicyUserTemplate --file /path/to/access_policy_template.json

ibmcloud iam access-policy-template-version-update

更新现有版本的访问策略模板：

ibmcloud iam access-policy-template-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-q, --quiet] [--output FORMAT]

命令选项

--file JSON_FILE: 访问策略模板定义的 JSON 文件
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

更新访问策略模板 AccessPolicyUserTemplate 的版本 1

ibmcloud iam access-policy-template-version-create AccessPolicyUserTemplate 1 --file /path/to/access_policy_template.json

ibmcloud iam access-policy-template-version-delete

删除访问策略模板的版本：

ibmcloud iam access-policy-template-version-delete (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [-f, --force]

命令选项

-f, --force: 强制删除而不确认。
-q, --quiet: 禁止详细输出。

示例

删除访问策略模板 AccessPolicyUserTemplate 的版本 2

ibmcloud iam access-policy-template-version-delete AccessPolicyUserTemplate 2

ibmcloud iam access-policy-template-version-commit

提交访问策略模板的版本：

ibmcloud iam access-policy-template-version-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

落实访问策略模板 AccessPolicyUserTemplate 的版本 1

ibmcloud iam access-policy-template-version-commit AccessPolicyUserTemplate 1

ibmcloud iam access-policy-assignment

显示访问策略分配的详细信息：

ibmcloud iam access-policy-assignment ASSIGNMENT_ID [-q, --quiet] [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

显示访问策略分配 AccessPolicyAssignment-adee40a7f8324d6fbcd4c4a67b326eb5

ibmcloud iam access-policy-assignment AccessPolicyAssignment-adee40a7f8324d6fbcd4c4a67b326eb5

ibmcloud iam access-policy-assignment

列出当前账户的所有访问策略分配：

ibmcloud iam access-policy-templates [--output FORMAT] [-q, --quiet]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

列出当前账户下的所有访问策略模板分配

ibmcloud iam access-policy-assignments

ibmcloud iam account-策略

列出当前账户下的所有账户政策：

ibmcloud iam account-policies [-t, --type access | auth] [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

-t, --type access | auth: 列示按策略类型过滤的当前帐户下的所有策略。有效选项：access | auth
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出当前账户下的所有账户政策：

ibmcloud iam account-policies

列出当前账户下的所有授权策略。提供与 ibmcloud iam authorization-policies 相同的列表:

ibmcloud iam account-policies -t auth

列出当前账户下的所有访问策略。提供与 ibmcloud iam access-policies 相同的列表:

ibmcloud iam account-policies -t access

ibmcloud iam authorization-policy-create

创建授权策略以允许服务实例访问其他服务实例：

ibmcloud iam authorization-policy-create { SOURCE_SERVICE_NAME TARGET_SERVICE_NAME ROLE_NAME1,ROLE_NAME2... [--source-service-instance-name SOURCE_SERVICE_INSTANCE_NAME | --source-service-instance-id SOURCE_SERVICE_INSTANCE_ID] [--source-service-account ACCOUNT_GUID] [--source-resource-group-id RESOURCE_GROUP_ID] [--source-resource-type RESOURCE_TYPE] [--source-resource RESOURCE] [--target-service-instance-name TARGET_SERVICE_INSTANCE_NAME | --target-service-instance-id TARGET_SERVICE_INSTANCE_ID] [--target-resource-group-id RESOURCE_GROUP_ID] [--target-resource-type RESOURCE_TYPE] [--target-resource RESOURCE] | --file JSON_FILE } [--output FORMAT] [-q, --quiet]

命令选项

SOURCE_SERVICE_NAME: 可授权访问的源服务。要查找服务的名称，请运行 ibmcloud catalog service-marketplace 命令。
TARGET_SERVICE_NAME: 源服务可被授权访问的目标服务。要查找服务的名称，请运行 ibmcloud catalog service-marketplace 命令。
ROLE_NAME1,ROLE_NAME2...: 为源服务提供访问权的角色。
--source-service-instance-name SOURCE_SERVICE_INSTANCE_NAME: 源服务实例名称，与 --source-service-instance-id 和 --source-service-account 互斥。如果未指定源服务实例，则授权源服务的所有实例进行访问。
--source-service-instance-id SOURCE_SERVICE_INSTANCE_ID: 源服务实例标识，与 --source-service-instance-name 互斥。如果未指定，将对源服务的所有实例授予访问权。
--source-service-account ACCOUNT_GUID: 源服务的帐户GUID，与 --source-service-instance-name 互斥。如果源服务来自其他账户，请使用此选项。
--source-resource-group-id RESOURCE_GROUP_ID: 源资源组标识，与“--source-service-instance-id”互斥。
--source-resource-type: 源服务的资源类型。
--source-resource: 源服务的资源。 --target-service-instance-name TARGET_SERVICE_INSTANCE_NAME; 目标服务实例名称，与 --target-service-instance-id 互斥。如果未指定，将对目标服务的所有实例授予访问权。
--target-service-instance-id TARGET_SERVICE_INSTANCE_ID: 目标服务实例标识，与 --target-service-instance-name 互斥。如果未指定，将对目标服务的所有实例授予访问权。
--target-resource-group-id RESOURCE_GROUP_ID: 目标资源组标识，与“--target-service-instance-id”互斥。
--target-resource-type: 目标服务的资源类型。
--target-resource: 目标服务的资源。
- --file: 策略定义的 JSON 文件。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

当前，--source-service 和 --service 的某些组合可能在专用端点下失败。使用 --file 作为变通方法，或者可以从公共端点或 UI 控制台创建策略。

ibmcloud iam authorization-policy-delete

删除授权策略：

ibmcloud iam authorization-policy-delete AUTHORIZATION_POLICY_ID [-f, --force]

命令选项

AUTHORIZATION_POLICY_ID: 要删除的授权策略的标识。
-f, --force: 删除而不确认。

ibmcloud iam authorization-policy

显示授权策略的详细信息：

ibmcloud iam authorization-policy AUTHORIZATION_POLICY_ID [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

AUTHORIZATION_POLICY_ID: 要显示的授权策略的标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

ibmcloud iam authorization-policies

列出当前帐户下的授权策略：

ibmcloud iam authorization-policies

ibmcloud iam access-groups

列出当前帐户下的访问组：

ibmcloud iam access-groups [-u USER_NAME | -s SERVICE_ID_NAME | -p (PROFILE_NAME | PROFILE_ID)] [--output FORMAT] [-q, --quiet]

命令选项

-u: 列出用户所属的访问组。此选项仅适用于 '-s' 和 '-p'”。
-s: 列出服务标识所属的访问组。此选项仅适用于 '-u' 和 '-p'”。
-p: 列出可信概要文件所属的访问组。此选项仅适用于 '-s' 和 '-u'”。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

列出所有访问组：

ibmcloud iam access-groups

列出受信任的配置文件 test_profile 所属的所有访问组：

ibmcloud iam access-groups -p test_profile

ibmcloud iam access-group

显示访问组的详细信息：

ibmcloud iam access-group GROUP_NAME [--id]

命令选项

-id: 仅显示标识。

示例

显示访问组 example_group 的详细信息：

ibmcloud iam access-group example_group

ibmcloud iam access-group-create

创建访问组：

ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]

命令选项

-d, --description: 访问组的描述。

示例

创建访问组 example_group：

ibmcloud iam access-group-create example_group -d "example access group"

ibmcloud iam access-group-update

更新访问组：

ibmcloud iam access-group-update GROUP_NAME [-n, --name NEW_NAME] [-d, --description NEW_DESCRIPTION] [-f, --force]

命令选项

-n, --name: 新访问组名称。
-d, --description: 新描述。
-f, --force: 强制更新而不进行确认。

示例

将访问组 example_group 重命名为 hello_world_group：

ibmcloud iam access-group-update example_group --name "hello_world_group"

ibmcloud iam access-group-delete

删除访问组：

ibmcloud iam access-group-delete GROUP_NAME [-f, --force] [-r, --recursive] [-a, --all]

命令选项

-f, --force: 强制删除而不确认。
-r, --recursive: 删除访问组及其成员。
-a, --all: 强制删除同名访问组。

示例

删除访问组 example_group：

ibmcloud iam access-group-delete example_group --force

ibmcloud iam access-group-users

列出访问组中的用户：

ibmcloud iam access-group-users GROUP_NAME

示例

列出访问组 example_group 中的所有用户：

ibmcloud iam access-group-users example_group

ibmcloud iam access-group-user-add

将用户添加到访问组：

ibmcloud iam access-group-user-add GROUP_NAME USER_NAME [USER_NAME2...]

示例

将用户 name@example.com 添加到访问组 example_group：

ibmcloud iam access-group-user-add example_group name@example.com

ibmcloud iam access-group-user-remove

从访问组中除去用户：

ibmcloud iam access-group-user-remove GROUP_NAME USER_NAME

示例

从访问组 name@example.com 中除去用户 example_group：

ibmcloud iam access-group-user-remove example_group name@example.com

ibmcloud iam access-group-user-purge

从所有访问组中除去用户：

ibmcloud iam access-group-user-purge USER_NAME [-f, --force]

命令选项

-f, --force: 删除而不确认。

示例

从所有访问组中除去用户 name@example.com：

ibmcloud iam access-group-user-purge name@example.com -f

ibmcloud iam access-group-service-ids

列出访问组中的服务标识：

ibmcloud iam access-group-service-ids GROUP_NAME

示例

列出访问组 example_group 中的所有服务标识：

ibmcloud iam access-group-service-ids example_group

ibmcloud iam access-group-service-id-add

为访问组添加服务ID：

ibmcloud iam access-group-service-id-add GROUP_NAME SERVICE_ID_NAME [SERVICE_ID_NAME2...]

示例

将服务标识 example-service 添加到访问组 example_group：

ibmcloud iam access-group-service-id-add example_group example-service

ibmcloud iam access-group-service-id-remove

从访问组中除去服务标识：

ibmcloud iam access-group-service-id-remove GROUP_NAME SERVICE_ID_NAME

示例

从访问组 example-service 中除去服务标识 example_group：

ibmcloud iam access-group-service-id-remove example_group example-service

ibmcloud iam access-group-service-id-purge

从所有访问组中除去服务标识：

ibmcloud iam access-group-service-id-purge SERVICE_ID_NAME [-f, --force]

命令选项

-f, --force: 删除而不确认。

示例

从所有访问组中除去服务标识 example-service：

ibmcloud iam access-group-service-id-purge example --force

ibmcloud iam access-group-trusted-profiles

列出访问组中可信的配置文件：

ibmcloud iam access-group-trusted-profiles GROUP_NAME [--output FORMAT] [-q, --quiet]

命令选项

GROUP_NAME（必需）: 访问组名称。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

列出访问组 example_group 中所有可信的个人资料：

ibmcloud iam access-group-trusted-profiles example_group

ibmcloud iam access-group-trusted-profile-add

将可信的个人资料添加到访问组：

ibmcloud iam access-group-trusted-profile-add GROUP_NAME (PROFILE_NAME | PROFILE_ID) [PROFILE_NAME2 | PROFILE_ID2...] [--output FORMAT] [-q, --quiet]

命令选项

GROUP_NAME（必需）: 访问组的名称。
PROFILE_NAME | PROFILE_ID (必需): 要添加到访问组的受信任配置文件的名称或 ID。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

将受信任的配置文件 my-profile 添加到访问组 example_group：

ibmcloud iam access-group-trusted-profile-add example_group my-profile

ibmcloud iam access-group-trusted-profile-remove

从访问组中移除可信配置文件：

ibmcloud iam access-group-trusted-profile-remove GROUP_NAME (PROFILE_NAME | PROFILE_ID) [-f, --force] [-q, --quiet]

命令选项

GROUP_NAME（必需）: 访问组名称。
PROFILE_NAME | PROFILE_ID (必需): 要从访问组中除去的可信概要文件的名称或标识。
-f, --force: 除去而不确认。
-q, --quiet: 禁止详细输出。

示例

从访问组 example_group 中移除信任的配置文件 my-profile：

ibmcloud iam access-group-trusted-profile-remove example_group my-profile

ibmcloud iam access-group-trusted-profile-purge

从所有访问组中移除受信任的配置文件：

ibmcloud iam access-group-trusted-profile-purge (PROFILE_NAME | PROFILE_ID) [-f, --force] [-q, --quiet]

命令选项

PROFILE_NAME | PROFILE_ID (必需): 要从所有访问组中除去的可信概要文件的名称或标识。
-f, --force: 清除而不确认。
-q, --quiet: 禁止详细输出。

示例

从所有访问组中移除受信任的配置文件 my-profile：

ibmcloud iam access-group-trusted-profile-purge my-profile

ibmcloud iam access-group-policies

列出访问组的策略：

ibmcloud iam access-group-policies GROUP_NAME [--output FORMAT] [-q, --quiet] [--api-version v1 |v2]

命令选项

GROUP_NAME: 访问组名称。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出访问组 example_group 中的所有策略：

ibmcloud iam access-group-policies example_group

ibmcloud iam access-group-policy

显示访问组策略的详细信息：

ibmcloud iam access-group-policy GROUP_NAME POLICY_ID [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

GROUP_NAME: 访问组名称。
POLICY_ID: 要检索的保单编号。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

显示访问组 example_group 的 51b9717e-76b0-4f6a-bda7-b8132431f926 策略详情：

ibmcloud iam access-group-policy example_group 51b9717e-76b0-4f6a-bda7-b8132431f926

ibmcloud iam access-group-policy-create

创建访问组策略：

ibmcloud iam access-group-policy-create GROUP_NAME {--file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]}} [--output FORMAT] [-q, --quiet] [--api-version v1 | v2]

命令选项

--file: 策略定义的 JSON 文件。您可以在 JSON 策略文档中使用高级操作程序来授予对满足特定命名约定的资源的访问权。有关使用高级操作程序创建通配符策略的更多信息，请参阅使用通配符策略分配访问权。
-roles: 策略定义的角色名称。要了解特定服务所支持的角色，请运行 ibmcloud iam roles --service SERVICE_NAME。此选项与 --file 选项搭配使用。
-service-名称: 策略定义的服务名称。此选项与 --file 选项搭配使用。
-服务实例 SERVICE_INSTANCE_GUID: 策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。
-区域: 策略定义的区域。此选项与 --file 选项搭配使用。
-resource-type: 策略定义的资源类型。此选项与 --file 选项搭配使用。
-资源: 策略定义的资源。此选项与 --file 选项搭配使用。
-resource-group-name: 资源组的名称。* 表示所有资源组。此选项与 --file 和 --resource-group-id 选项搭配使用。
-resource-group-id: 资源组的标识。* 表示所有资源组。此选项与 --file 和 --resource-group-name 选项搭配使用。
-tags: 该资源的访问标记。使用标记来组织，跟踪使用成本或管理对资源的访问权。有关标记的更多信息，请参阅使用标记。
--account-management: 授予对所有帐户管理服务的访问权。
--attributes name=value,name=value...: 以“name=value,name=value....”格式设置资源属性
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

通过 JSON 文件创建访问组策略：

ibmcloud iam access-group-policy-create example_group -f @policy.json

授予 example_group 对所有 Administrator 资源的 sample-service 角色：

ibmcloud iam access-group-policy-create example_group --roles Administrator --service-name sample-service

为 us-south 区域中 sample-service 的所有实例提供 example_group Editor 角色和定制角色 Responder :

ibmcloud iam access-group-policy-create example_group --roles Editor,Responder --service-name sample-service --region us-south

授予 example_group 对 Editor 区域中 GUID 为 key123 的 sample-service 实例的资源 d161aeea-fd02-40f8-a487-df1998bd69a9 的 us-south 角色：

ibmcloud iam access-group-policy-create example_group --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south --resource-type key --resource key123

授予 example_group 对标识为 Operator 的资源组的 dda27e49d2a1efca58083a01dfde18f6 角色：

ibmcloud iam access-group-policy-create example_group --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6

请为资源组成员 sample-resource-group 分配角色 example_group Viewer :

ibmcloud iam access-group-policy-create example_group --roles Viewer --resource-group-name sample-resource-group

为资源组成员分配角色 example_group Viewer，ID为 dda27e49d2a1efca58083a01dfde18f6：

ibmcloud iam access-group-policy-create example_group --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6

为所有帐户管理服务授予 example_group Administrator 角色:

ibmcloud iam access-group-policy-create example_group --roles Administrator --account-management

为帐户中的所有资源提供 example_group Viewer 角色:

ibmcloud iam access-group-policy-create example_group --roles Viewer

为属性 instanceId 等于 * 的服务 is 资源提供 example_group Viewer 角色:

ibmcloud iam access-group-policy-create example_group --roles Viewer --service-name is --attributes "instanceId=*"

创建资源的访问标记:

ibmcloud iam access-group-policy-create --tags env:dev,env:test

ibmcloud iam access-group-policy-update

更新访问组策略：

ibmcloud iam access-group-policy-update GROUP_NAME POLICY_ID {--file JSON_FILE | [--roles ROLE_NAME1,ROLE_NAME2...] [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [--api-version v1| v2]

命令选项

--file: 策略定义的 JSON 文件。
--roles: 策略定义的角色名称。要了解特定服务所支持的角色，请运行 ibmcloud iam roles --service SERVICE_NAME。此选项与 --file 选项搭配使用。
-service-名称: 策略定义的服务名称。此选项与 --file 选项搭配使用。
-服务实例 SERVICE_INSTANCE_GUID: 策略定义的服务实例的 GUID。此选项与 --file 选项搭配使用。
-区域: 策略定义的区域。此选项与 --file 选项搭配使用。
-resource-type: 策略定义的资源类型。此选项与 --file 选项搭配使用。
-资源: 策略定义的资源。此选项与 --file 选项搭配使用。
-resource-group-name: 资源组的名称。* 表示所有资源组。此选项与 --file 和 --resource-group-id 选项搭配使用。
-resource-group-id: 资源组的标识。* 表示所有资源组。此选项与 --file 和 --resource-group-name 选项搭配使用。
--account-management（可选）: 授予对所有帐户管理服务的访问权。
--attributes name=value,name=value...: 以“name=value,name=value....”格式设置资源属性
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

将访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 更新为JSON文件中的策略：

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 -f @policy.json

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，赋予 example_group Administrator 访问所有 sample-service 资源的权限：

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Administrator --service-name sample-service

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，为 us-south 区域中 sample-service 的所有实例提供 example_group Editor 角色和定制角色 Responder :

ibmcloud iam access-group-policy-update example_group --roles Editor,Responder --service-name sample-service --region us-south

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，为 sample-service 实例的资源 key123 赋予 example_group Editor 角色，GUID 为 d161aeea-fd02-40f8-a487-df1998bd69a9，区域为 us-south：

ibmcloud iam access-group-policy-update example_group --roles Editor --service-name sample-service --service-instance d161aeea-fd02-40f8-a487-df1998bd69a9 --region us-south

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，为资源组 example_group Operator 赋予角色，资源组 ID 为 dda27e49d2a1efca58083a01dfde18f6：

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Operator --resource-type resource-group --resource dda27e49d2a1efca58083a01dfde18f6

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，为资源组 sample-resource-group 的成员赋予 example_group Viewer 角色：

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --resource-group-name sample-resource-group
```bash
{: codeblock}

Update access group policy `b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4` to give `example_group` `Viewer` role for members of resource group with ID `dda27e49d2a1efca58083a01dfde18f6`:
```bash {: codeblock}
ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --resource-group-id dda27e49d2a1efca58083a01dfde18f6

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 以授予所有帐户管理服务的 example_group Administrator 角色:

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Administrator --account-management

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，为账户中的所有资源赋予 example_group Viewer 角色：

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer

更新访问组策略 b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4，以针对属性 instanceId 等于 * 的服务 is 资源授予 example_group Viewer 角色:

ibmcloud iam access-group-policy-update example_group b8638ceb-5c4d-4d58-ae06-7ad95a10c4d4 --roles Viewer --service-name is --attributes "instanceId=*"

ibmcloud iam access-group-policy-delete

删除访问组策略：

ibmcloud iam access-group-policy-delete GROUP_NAME POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 |v2]

命令选项

--api-version: 访问策略API的版本。
-f, --force: 强制删除而不确认。
-q, --quiet: 禁止详细输出。

示例

删除访问组 51b9717e-76b0-4f6a-bda7-b8132431f926 的策略 example_group：

ibmcloud iam access-group-policy-delete example_group 51b9717e-76b0-4f6a-bda7-b8132431f926 -f

ibmcloud iam access-group-template-创建

创建访问组模板

ibmcloud iam access-group-template-create (TEMPLATE_NAME --access-group-name ACCESS_GROUP_NAME [-d, --description DESCRIPTION] | --file JSON_FILE) [--output FORMAT]

命令选项

--access-group-name NAME: 要为模板创建的访问组名
-d, --description 描述: 对模板的描述
- --file: 对模板的描述
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

创建具有指定名称和访问组名的访问组模板

ibmcloud iam access-group-template-create example-template-name --access-group-name example-access-group -d example-description

使用 JSON 文件创建访问组模板

ibmcloud iam access-group-template-create --file JSON_FILE

ibmcloud iam access-group-template

显示访问组模板的详细信息

ibmcloud iam access-group-template (TEMPLATE_ID | TEMPLATE_NAME) [--output FORMAT] [-q, --quiet]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式显示访问组模板的详细信息

ibmcloud iam access-group-template --output JSON

ibmcloud iam access-group-template-version

显示访问组模板的指定版本的详细信息

ibmcloud iam access-group-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q, --quiet] [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式显示指定版本的访问组模板的详细信息

ibmcloud iam access-group-template-version example-template-name 1 --output JSON

ibmcloud iam access-group-template-version-commit

落实访问组模板版本

ibmcloud iam access-group-template-version-commit TEMPLATE_ID TEMPLATE_VERSION

命令选项

-q, --quiet: 禁止详细输出。

示例

指定访问组模板的版本

ibmcloud iam access-group-template-version-commit example-template-id 1

ibmcloud iam access-group-template-version-create

创建访问组模板版本

ibmcloud iam access-group-template-version-create TEMPLATE_ID --file JSON_FILE

命令选项

--file : 对模板的描述

-q, --quiet: 禁止详细输出。

示例

创建访问组模板的新版本

ibmcloud iam access-group-template-version-create example-template-id --file JSON_FILE

ibmcloud iam access-group-template-version-delete

删除访问组模板版本

ibmcloud iam access-group-template-version-delete TEMPLATE_ID TEMPLATE_VERSION

命令选项

-q, --quiet: 禁止详细输出。

示例

删除访问组模板的指定版本

ibmcloud iam access-group-template-version-delete example-template-id 1

ibmcloud iam access-group-template-version-update

更新现有版本的访问组模板版本

ibmcloud iam access-group-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-q, --quiet]

命令选项

--file : 对模板的描述

-q, --quiet: 禁止详细输出。

示例

使用 JSON 文件更新访问组模板的指定版本

ibmcloud iam access-group-template-version-update example-template-name 1 --file JSON_FILE

ibmcloud iam access-group-template-versions

列出访问组模板的版本

ibmcloud iam access-group-template-versions (TEMPLATE_ID | TEMPLATE_NAME) [-q, --quiet] [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

列出访问组模板的所有版本

ibmcloud iam access-group-template-versions example-template-name

ibmcloud iam access-group-templates

列出当前帐户下的所有访问组模板

ibmcloud iam access-group-templates [-q, --quiet] [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式列出当前帐户下的所有访问组模板

ibmcloud iam access-group-template-versions example-template-name --output JSON

ibmcloud iam access-group-assignment

显示访问组分配的详细信息

ibmcloud iam access-group-assignment [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式显示访问组分配的详细信息

ibmcloud iam access-group-assignments --output JSON

ibmcloud iam access-group-assignment-create

创建访问组分配

ibmcloud iam access-group-assignment-create TEMPLATE_ID TEMPLATE_VERSION --target-type TYPE --target TARGET

命令选项

--target : 目标实体的标识 --target-type 值 : 目标实体的类型 -q, --quiet : 禁止详细输出

示例

以 JSON 格式显示访问组分配的详细信息

ibmcloud iam access-group-assignment-create example-template-id 1 --target-type Account --target example-account-id

ibmcloud iam access-group-assignment-delete

删除访问组分配

ibmcloud iam access-group-assignment-delete ASSIGNMENT_ID

命令选项

-q, --quiet: 禁止详细输出

示例

删除指定的访问组分配

ibmcloud iam access-group-assignment-delete example-assignment-id

ibmcloud iam access-group-assignment-update

更新访问组分配

ibmcloud iam access-group-assignment-update ASSIGNMENT_ID

命令选项

-q, --quiet: 禁止详细输出

示例

更新指定的访问组分配

ibmcloud iam access-group-assignment-update example-assignment-id

ibmcloud iam access-group-assignment

在您的当前账户中获取所有访问权限组分配

ibmcloud iam access-group-assignments [-q, --quiet] [--output FORMAT]

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式列出当前帐户下的所有访问组分配

ibmcloud iam access-group-assignments --output JSON

ibmcloud iam trusted-profile-create

创建可信概要文件:

ibmcloud iam trusted-profile-create NAME [-d, --description DESCRIPTION] [--output FORMAT] [-q, --quiet]

命令选项

NAME（必需）: 新个人资料的名称。
-d, --description 描述: 概要文件的描述。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

创建受信任的配置文件，名称为 sample-test，描述为“受信任的配置文件示例”：

ibmcloud iam trusted-profile-create sample-test -d "sample trusted profile"

ibmcloud iam trusted-概要文件

按名称或标识获取可信概要文件:

ibmcloud iam trusted-profile NAME|ID [--id | --output FORMAT] [-q, --quiet]

命令选项

NAME | ID (必需): 概要文件的名称或标识。
--id: 只显示配置文件的 ID。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

检索名为 sample-test 的可信概要文件:

ibmcloud iam trusted-profile sample-test

检索概要文件标识为 Profile-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976 的可信概要文件:

ibmcloud iam trusted-profile Profile-cb258cb9-8de3-4ac0-9aec-b2b2d27ac976

ibmcloud iam trusted-profiles

在当前账户下列出可信资料

ibmcloud iam trusted-profiles [--can-assume] [--id | --output FORMAT] [-q, --quiet]

命令选项

--can-assume: 显示仅可使用往来账户进行假设的配置文件。
--id: 仅显示概要文件的标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

当前账户下所有可信资料的列表ID：

ibmcloud iam trusted-profiles --id

列出可与当前账户一起使用的受信任配置文件：

ibmcloud iam trusted-profiles --can-assume

ibmcloud iam trusted-profile-assume

假定配置文件受信任：

ibmcloud iam trusted-profile-assume [NAME|ID] [--output FORMAT] [-q, --quiet]

命令选项

姓名: 要假定的配置文件的名称或 ID。 --output FORMAT; 指定的输出格式。仅支持“JSON”。 -q, --quiet; 禁止详细输出。

示例

假设受信任配置文件的名称为 sample-test：

ibmcloud iam trusted-profile-assume sample-test

查看当前假定的受信任配置文件：

ibmcloud iam trusted-profile-assume

ibmcloud iam trusted-profile-leave

留下可信的个人资料：

ibmcloud iam trusted-profile-leave [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

保留先前假定的受信任配置文件：

ibmcloud iam trusted-profile-leave

ibmcloud iam trusted-profile-update

更新可信概要文件

ibmcloud iam trusted-profile-update NAME|ID [-n, --name NEW_NAME] [-d, --description NEW_DESCRIPTION] [--output FORMAT] [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 要更新的个人资料名称或ID。
-n, --name NEW_NAME: 可信个人资料的新名称。
-d, --description NEW_DESCRIPTION: 概要文件的新描述。提供空描述可清除个人资料描述。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

示例

将名为 sample-test 的可信概要文件更新为新名称 test:

ibmcloud iam trusted-profile-update sample-test -n test

使用 testing trusted profile update 的新描述更新可信概要文件 sample-test :

ibmcloud iam trusted-profile-update sample-test -d "testing trusted profile update"

ibmcloud iam trusted-profile-delete

删除可信概要文件

ibmcloud iam trusted-profile-delete NAME|ID [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 要删除的概要文件的名称或标识。
-f, --force: 无需确认即可删除受信任的个人资料。
-q, --quiet: 禁止详细输出。

示例

删除名称为 sample-test 的可信概要文件:

ibmcloud iam trusted-profile-delete sample-test

ibmcloud iam trusted-profile-policy-create

创建访问策略并将其分配给可信概要文件

ibmcloud iam trusted-profile-policy-create (NAME|ID) {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]

命令选项

NAME | ID (必需): 用于分配新策略的配置文件的名称或ID
--account-management: 授予对所有帐户管理服务的访问权。
--api-version: 访问策略API的版本。
--attributes name=value,name-value...: 以“name=value,name=value....”格式设置资源属性
--file JSON_FILE: 策略定义的 JSON 文件。
-f, --force: 如果找到多个配置文件，则强制失败。
--output FORMAT: 指定输出格式。仅支持“JSON”。
- --region: 策略定义的区域。此选项与“--file”互斥。对于支持的区域，请运行“ibmcloud regions”。
- --resource: 策略定义的资源。此选项与“--file”互斥。
--resource-group-id RESOURCE_GROUP_ID: 资源组的标识。"*" 表示所有资源组。此选项与“--file”和“--resource-group-name”互斥。
--resource-group-name RESOURCE_GROUP_NAME: 资源组的名称。"*" 表示所有资源组。此选项与“--file”和“--resource-group-id”互斥。
--resource-type RESOURCE_TYPE: 策略定义的资源类型。此选项与“--file”互斥。
--roles ROLE_NAME1,ROLE_NAME2...: 策略定义的角色名称。要了解特定服务所支持的角色，请运行“ibmcloud iam roles --service SERVICE_NAME”。此选项与“--file”互斥。
-q, --quiet: 禁止详细输出。
- --service-instance: 策略定义的服务实例的 GUID。此选项与“--file”互斥。
- --service-name: 策略定义的服务名称。此选项与“--file”互斥。
--tags name1:value1,name2:value2...: 该资源的访问标记。

示例

从 JSON 文件为 my-profile 创建可信概要文件策略:

iam trusted-profile-policy-create my-profile --file policy.json

给 my-profile 资源组成员 sample-resource-group 的查看者角色：

iam trusted-profile-policy-create my-profile --roles Viewer --resource-group-id sample-resource-group

针对帐户中的所有资源授予 my-profile 查看者角色:

iam trusted-profile-policy-create my-profile --roles Viewer

ibmcloud iam trusted-profile-policy

显示指定可信概要文件的访问策略的详细信息

ibmcloud iam trusted-profile-policy (NAME|ID) POLICY_ID [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

NAME | ID (必需): 概要文件的名称或标识。
POLICY_ID（必需）: 要检索的保单编号。
-f, --force: 如果找到多个配置文件，则强制失败。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

获取可信概要文件 my-profile 的策略 bdf62c30-35dd-4852-bcb8-2f0dd3929701 :

ibmcloud iam trusted-profile-policy my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701

ibmcloud iam trusted-profile-policies

列出指定可信概要文件的所有访问策略

ibmcloud iam trusted-profile-policies (NAME|ID) [--output FORMAT] [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

NAME | ID (必需): 概要文件的名称或标识。
-f, --force: 如果找到多个配置文件，则强制失败。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

列出可信概要文件标识 Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 的所有策略:

ibmcloud iam trusted-profile-policies Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701

ibmcloud iam trusted-profile-policy-update

更新可信概要文件的访问策略

ibmcloud iam trusted-profile-policy-update (NAME|ID) POLICY_ID {--file JSON_FILE | -r, --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE_GUID] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID] [--tags name1:value1,name2:value2...] [--account-management] [--attributes name=value,name=value...]} [--output FORMAT] [-q, --quiet] [-f, --force] [--api-version v1 | v2]

命令选项

NAME | ID (必需): 分配更新新策略的配置文件名称或 ID。
POLICY_ID（必需）: 要更新的保单的ID。
--account-management: 授予对所有帐户管理服务的访问权。
--attributes name=value,name-value...: 以“name=value,name=value....”格式设置资源属性
--file JSON_FILE: 策略定义的 JSON 文件。
-f, --force: 如果找到多个配置文件，则强制失败。
--output FORMAT: 指定输出格式。仅支持“JSON”。
- --region: 策略定义的区域。此选项与“--file”互斥。对于支持的区域，请运行“ibmcloud regions”。
- --resource: 策略定义的资源。此选项与“--file”互斥。
--resource-group-id RESOURCE_GROUP_ID: 资源组的标识。"*" 表示所有资源组。此选项与“--file”和“--resource-group-name”互斥。
--resource-group-name RESOURCE_GROUP_NAME: 资源组的名称。"*" 表示所有资源组。此选项与“--file”和“--resource-group-id”互斥。
--resource-type RESOURCE_TYPE: 策略定义的资源类型。此选项与“--file”互斥。
--roles ROLE_NAME1,ROLE_NAME2...: 策略定义的角色名称。要了解特定服务所支持的角色，请运行“ibmcloud iam roles --service SERVICE_NAME”。此选项与“--file”互斥。
- --service-instance: 策略定义的服务实例的 GUID。此选项与“--file”互斥。
- --service-name: 策略定义的服务名称。此选项与“--file”互斥。
--tags name1:value1,name2:value2...: 该资源的访问标记。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

更新策略 85f3a4d6-c2e1-417e-b2d5-7199d610c160 以授予可信概要文件 my-profile 对所有帐户管理服务的管理员角色:

ibmcloud iam trusted-profile-policy-update my-profile 85f3a4d6-c2e1-417e-b2d5-7199d610c160 --roles Administrator --account-management

使用 JSON 文件中的内容从 my-profile 更新策略 bdf62c30-35dd-4852-bcb8-2f0dd3929701 :

ibmcloud iam trusted-profile-policy-update my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701 --file @policy.json

ibmcloud iam trusted-profile-policy-delete

删除可信概要文件的访问策略

ibmcloud iam trusted-profile-policy-delete (NAME|ID) POLICY_ID [-f, --force] [-q, --quiet] [--api-version v1 | v2]

命令选项

NAME | ID (必需): 包含要删除策略的配置文件的名称或 ID。
POLICY_ID（必需）: 要删除的保单的ID。
-f, --force: 无需确认即可删除访问权限。
-q, --quiet: 禁止详细输出。
--api-version: 访问策略API的版本。

示例

从 my-profile 中删除策略标识 bdf62c30-35dd-4852-bcb8-2f0dd3929701 而不确认:

ibmcloud iam trusted-profile-policy-delete my-profile bdf62c30-35dd-4852-bcb8-2f0dd3929701 -f

ibmcloud iam trusted-profile-link-create

创建可信概要文件的计算资源的链接

ibmcloud iam trusted-profile-link-create (NAME|ID) --name LINK_NAME --cr-type CR_TYPE --link-crn CRN [--link-namespace NAMESPACE --link-name NAME] [--output FORMAT] [-q, --quiet] [-f, --force]

命令选项

NAME | ID (必需): 用于将计算资源链接到的配置文件的名称或ID。
--name: 链接名称。
--cr-type （必填）: 计算资源类型。 VSI代表VPC上的虚拟服务实例，IKS_SA代表 Kubernetes 集群上的服务账户，ROKS_SA代表托管的 Red Hat OpenShift。
--link-crn （必填）: VSI实例/集群实例的CRN。
--link-namespace: IKS_SA或ROKS_SA服务账户的命名空间，如果IKS_SA或ROKS_SA，则必须填写。
--link-name: 如果使用IKS_SA或ROKS_SA，则需要填写IKS_SA或ROKS_SA的服务账户名称。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

示例

为具有服务帐户名 default、default 命名空间和 my_compute_resource_crn CRN 的 IKS_SA 计算资源的受信任配置文件 my-profile 创建名为 my_link 的链接：

ibmcloud iam trusted-profile-link-create my_profile --name my_link --cr-type IKS_SA --link-name default  --link-namespace default --link-crn my_compute_resource_crn

为命名空间 my_namespace 中服务帐户名为 default 且 CRN 为 my_resource_crn 的 IKS_SA 计算资源的受信任配置文件 ID Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 创建名为 my_link 的链接：

ibmcloud iam trusted-profile-link-create Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 --name my_link --cr-type IKS_SA --link-name default --link-namespace my_namespace --link-crn my_resource_crn

Create a link named my_link for trusted profile ID Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 for a VSI compute resource with a CRN of my_resource_crn:

ibmcloud iam trusted-profile-link-create Profile-bdf62c30-35dd-4852-bcb8-2f0dd3929701 --name my_link --cr-type VSI --link-crn my_resource_crn

ibmcloud iam trusted-profile-links

列出指定可信概要文件的计算资源的所有链接

ibmcloud iam trusted-profile-links (NAME|ID) [--id | --output FORMAT] [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 要检索链接的受信任配置文件的名称或 ID。
--id: 仅显示链接的标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

示例

显示受信任配置文件 my-profile 中所有链接的 ID：

ibmcloud iam trusted-profile-links my-profile --id

以 JSON 格式显示可信概要文件 my-profile 中的所有链接:

ibmcloud iam trusted-profile-links my-profile --output JSON

ibmcloud iam trusted-profile-link-delete

删除可信配置文件的计算资源链接：

ibmcloud iam trusted-profile-link-delete (NAME|ID) (LINK_NAME|LINK_ID) [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 包含要删除链接的配置文件的名称或 ID。
LINK_NAME | LINK_ID (必需): 要删除的链接的名称或标识。
-f, --force: 强制删除而不确认。
-q, --quiet: 禁止详细输出。

示例

从可信概要文件 my-profile 中删除链接 my_link 而不确认:

ibmcloud iam trusted-profile-link-delete my-profile my_link -f

ibmcloud iam trusted-profile-identity

检索并显示可信概要文件身份

ibmcloud iam trusted-profile-identity (NAME|ID) (IDENTITY_IDENTIFIER|IDENTITY_ID) --id-type IDENTIFIER_TYPE [--id | --output FORMAT] [-q, --quiet]

命令选项

NAME | ID (必需): 可信概要文件的名称或标识。
IDENTITY_IDENTIFIER | IDENTITY_ID (必需): 要检索的身份的标识。
--id-type（必填）: 为可信配置文件检索的标识符类型。 USER 表示用户 IAM 标识，SERVICEID 表示服务标识，CRN 表示服务 CRN
--id: 仅显示身份识别码。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

ibmcloud iam trusted-profile-身份

检索并显示可信概要文件标识

ibmcloud iam trusted-profile-identities (NAME|ID) [--id-type IDENTIFIER_TYPE] [--id | --output FORMAT] [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 可信概要文件的名称或标识。
--id-type: 为可信配置文件检索的标识符类型。 USER 表示用户 IAM 标识，SERVICEID 表示服务标识，CRN 表示服务 CRN
--id: 只显示身份标识。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

ibmcloud iam trusted-profile-identity-create

将可信概要文件连接到身份

ibmcloud iam trusted-profile-identity-create (NAME|ID) --id IDENTIFIER_TO_CONNECT --id-type IDENTIFIER_TYPE [--description DESCRIPTION] [--output FORMAT] [-q, --quiet]

命令选项

NAME | ID (必需): 用于连接身份信息的个人资料名称或ID。
- --id ）: 身份的标识。
--id-type（必填）: 用于连接到可信概要文件的标识的类型。 USER 表示用户 IAM 标识，SERVICEID 表示服务标识，CRN 表示服务 CRN
--description DESCRIPTION: 与可信概要文件的连接的可选描述
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

ibmcloud iam trusted-profile-identity-delete

断开可信概要文件与身份的连接

ibmcloud iam trusted-profile-identity-delete (NAME|ID) (IDENTITY_IDENTIFIER|IDENTITY_ID) --id-type IDENTIFIER_TYPE [--force] [-q, --quiet]

命令选项

NAME | ID (必需): 要断开身份连接的配置文件的名称或 ID。
IDENTITY_IDENTIFIER | IDENTITY_ID (必需): 要断开连接的身份的标识。
--id-type（必填）: 要与可信概要文件断开连接的标识的类型。 USER 表示用户 IAM 标识，SERVICEID 表示服务标识，CRN 表示服务 CRN
-f, --force: 强制删除而不确认。
-q, --quiet: 禁止详细输出。

ibmcloud iam trusted-profile-rule-create

为可信资料创建规则：

ibmcloud iam trusted-profile-rule-create (NAME|UUID) --name RULE_NAME --type RULE_TYPE  [--realm-name REALM_NAME] --conditions <LIST_OF_CONDITIONS> [--expiration EXPIRATION_SEC] [--cr-type CR_TYPE] [--output FORMAT] [-q, --quiet] [-f, --force]

要查看 --conditions 的有效操作程序和声明属性选项的完整列表，请参阅 IAM 条件属性。

命令选项

NAME | ID (必需): 要为其创建规则的概要文件的名称或标识。
- --type ）: “Profile-SAML”（对于 SAML 规则）或“Profile-CR”（对于计算资源规则）
--conditions（必填）: 条件列表，以逗号分隔的三元组形式提供，格式为“claim:CLAIM,operator:OPERATOR,value:VALUE”。要指定多个条件，请多次指定标志 --conditionsclaim:CLAIM1,operator:OPERATOR1,value:VALUE1”--conditionsclaim:CLAIM2,operator:OPERATOR2,value:VALUE2”。
--expiration: 指定 SAML 规则的到期时间（秒）。不得为计算资源（类型=配置文件-CR）而设立的信托提供。
--name: 规则的名称。
--cr-type: 仅当类型指定为“Profile-CR”时，才需要规则所适用的计算资源类型。 VSI代表VPC上的虚拟服务实例，IKS_SA代表 Kubernetes 集群上的服务账户，ROKS_SA代表托管的 Red Hat OpenShift。
--realm-name: 通过 IBMid 与联邦建立的信托的发行人ID，或使用 App ID 联邦建立的信托的发行人ID为 appid://。不得为计算资源（类型=配置文件-CR）而设立的信托提供。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

示例

针对具有以下规则条件的可信概要文件 my-profile，创建具有规则名称 my-rule，域名设置为 https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20，到期时间设置为 1200 秒的 Profile-SAML 规则: cn EQUALS my_user

ibmcloud iam trusted-profile-rule-create my-profile --name my-rule --type Profile-SAML --conditions claim:cn,operator:EQUALS,value:my_user --realm-name https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20 --expiration 1200

使用以下规则条件为可信概要文件 my-profile 创建域名设置为 https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20 且到期时间设置为 1200 秒的 Profile-SAML 规则: cn EQUALS my_user 和 blueGroups NOT_EQUALS jaas_master

ibmcloud iam trusted-profile-rule-create my-profile --type Profile-SAML --conditions claim:cn,operator:EQUALS,value:my_user --conditions claim:blueGroups,operator:NOT_EQUALS,value:jaas_master --realm-name https://w3id.sso.ibm.com/auth/sps/samlidp2/saml20 --expiration 1200

创建具有规则名称 my-rule，计算资源类型 IKS_SA 以及规则条件 namespace EQUALS default 和 crn EQUALS crn:test:bluemix:public:containers-kubernetes:us-south:a/test:: 的 Profile-CR 规则

ibmcloud iam trusted-profile-rule-create my-profile --name my-rule --type Profile-CR --conditions claim:namespace,operator:EQUALS,value:default --conditions claim:crn,operator:EQUALS,value:crn:test:bluemix:public:containers-kubernetes:us-south:a/test:: --cr-type IKS_SA

ibmcloud iam trusted-profile-rules

列出指定可信配置文件的所有规则：

ibmcloud iam trusted-profile-rules (NAME|ID) [--output FORMAT] [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 要检索其规则的可信概要文件的名称或标识。
- --output。: 指定输出格式。仅支持“JSON”。
-f, --force: 如果找到多个配置文件，则强制失败。
-q, --quiet: 禁止详细输出。

示例

显示受信任配置文件 my-profile 中的所有规则：

ibmcloud iam trusted-profile-rules my-profile

ibmcloud iam trusted-profile-rule-update

更新可信个人资料的规则：

ibmcloud iam trusted-profile-rule-update (NAME|ID) (RULE_NAME|RULE_ID) --name RULE_NAME --type RULE_TYPE  [--realm-name REALM_NAME] --conditions <LIST_OF_CONDITIONS> [--cr-type CR_TYPE] [--expiration EXPIRATION_SEC] [--output FORMAT] [-q, --quiet] [-f, --force]

要查看 --conditions 的有效操作程序和声明属性选项的完整列表，请参阅 IAM 条件属性。

命令选项

NAME | ID (必需): 要更新规则的受信任配置文件的名称或 ID。
RULE_NAME | RULE_ID (必需): 要更新的规则的名称或标识。
--type: SAML规则使用“Profile-SAML”，计算资源规则使用“Profile-CR”。
--conditions: 条件列表，以逗号分隔的三元组形式提供，格式为“claim:CLAIM,operator:OPERATOR,value:VALUE”。要指定多个条件，请多次指定标志 --conditionsclaim:CLAIM1,operator:OPERATOR1,value:VALUE1”--conditionsclaim:CLAIM2,operator:OPERATOR2,value:VALUE2”。
--cr-type: 仅当类型指定为“Profile-CR”时，才需要规则所适用的计算资源类型。 VSI代表VPC上的虚拟服务实例，IKS_SA代表 Kubernetes 集群上的服务账户，ROKS_SA代表托管的 Red Hat OpenShift。
--expiration: 指定 SAML 规则的到期时间（秒）。不得为计算资源（类型=配置文件-CR）而设立的信托提供。
--name: 规则的新名称。
--realm-name: 通过 IBMid 与联邦建立的信托的发行人ID，或通过 App ID 联邦建立的信托的发行人ID为 appid://。不得为计算资源（类型=配置文件-CR）而设立的信托提供。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-f, --force: 如果发现多个规则，则强制失效。
-q, --quiet: 禁止详细输出。

示例

使用新名称 test-rule 更新概要文件 my-profile 中的规则 ClaimRule-test-id :

ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-test-id --name test-rule

使用新域名 https://www.example.org/my-nice-idp 更新概要文件 my-profile 中的 Profile-SAML 规则 my-rule :

ibmcloud iam trusted-profile-rule-update my-profile my-rule --realm-name https://www.example.org/my-nice-idp

更新概要文件 my-profile 中 Profile-SAML 规则 ClaimRule-a448e998-311f-4e23-8af8-66b855c5da11 的规则条件和到期时间:

ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-a448e998-311f-4e23-8af8-66b855c5da11 --conditions claim:cn,operator:EQUALS,value:my_user --expiration 1200

在概要文件 my-profile 中更新 Profile-CR 规则 ClaimRule-cb8e3a2c-2d16-422b-b691-8791355b53bc 的规则条件和计算资源类型:

ibmcloud iam trusted-profile-rule-update my-profile ClaimRule-cb8e3a2c-2d16-422b-b691-8791355b53bc --conditions claim:crn,operator:EQUALS,value:crn:v1:bluemix:public:containers-redhat:us-south:a/test:: --cr-type ROKS_SA

ibmcloud iam trusted-profile-rule-delete

删除可信配置文件的规则：

ibmcloud iam trusted-profile-rule-delete (NAME|ID) (RULE_NAME|RULE_ID) [-f, --force] [-q, --quiet]

命令选项

NAME | ID (必需): 包含要删除规则的配置文件的名称或 ID。
RULE_NAME | RULE_ID (必需): 要删除的规则的名称或标识。
-f, --force: 强制删除而不确认。
-q, --quiet: 禁止详细输出。

示例

从可信概要文件 my-profile 中删除规则 my-rule 而不确认:

ibmcloud iam trusted-profile-rule-delete my-profile my-rule -f

ibmcloud iam trusted-profile-templates

列出您当前账户中的所有个人资料模板

ibmcloud iam trusted-profile-templates [--output FORMAT] [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

以表格式列出可信概要文件模板

ibmcloud iam trusted-profile-templates

ibmcloud iam trusted-profile-template-create

创建可信概要文件模板

ibmcloud iam trusted-profile-template-create --file JSON_FILE

命令选项

--file JSON_FILE: 模板定义的 JSON 文件

ibmcloud iam trusted-profile-template-version

获取指定版本的可信配置文件模板

ibmcloud iam trusted-profile-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION

示例

列出可信配置文件模板指定版本的详细信息

ibmcloud iam trusted-profile-template-version example-template-name 1

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

ibmcloud iam trusted-profile-template-version-commit

落实可信概要文件模板的特定版本

ibmcloud iam trusted-profile-template-version-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION

命令选项

示例

落实可信概要文件模板的特定版本

ibmcloud iam trusted-profile-template-version-commit example-template-name 1

-q, --quiet: 禁止详细输出。

ibmcloud iam trusted-profile-template-version-create

创建可信概要文件模板的新版本

ibmcloud iam trusted-profile-template-version-create (TEMPLATE_ID | TEMPLATE_NAME) --file JSON_FILE

命令选项

-q, --quiet: 禁止详细输出。
--file JSON_FILE: 模板定义的JSON文件。

示例

根据 JSON 文件创建指定模板的新版本

ibmcloud iam trusted-profile-template-version-create example-template-name --file JSON_FILE

ibmcloud iam trusted-profile-template-version-delete

删除可信概要文件模板的指定版本

ibmcloud iam trusted-profile-template-version-delete TEMPLATE_ID TEMPLATE_VERSION

命令选项

-q, --quiet: 禁止详细输出。

示例

删除可信概要文件模板的指定版本

ibmcloud iam trusted-profile-template-version-delete example-template-name 1

ibmcloud iam trusted-profile-template-version-update

更新可信概要文件模板的指定版本

ibmcloud iam trusted-profile-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE

命令选项

-q, --quiet: 禁止详细输出。
--file JSON_FILE: 模板定义的JSON文件。

示例

使用 JSON 文件更新可信概要文件模板的指定版本

ibmcloud iam trusted-profile-template-version-update example-template-name 1 --file JSON_FILE

ibmcloud iam trusted-profile-template-versions

列出可信概要文件模板的所有版本

ibmcloud iam trusted-profile-template-versions TEMPLATE_ID | TEMPLATE_NAME

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

以 JSON 格式列出可信概要文件模板的所有版本

ibmcloud iam trusted-profile-template-versions --output JSON

ibmcloud iam trusted-profile-assignment

显示可信概要文件分配的详细信息

ibmcloud iam trusted-profile-assignment ASSIGNMENT_ID

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

以 JSON 格式显示可信概要文件分配的详细信息

ibmcloud iam trusted-profile-assignment example-assignment-id --output JSON

ibmcloud iam trusted-profile-assignment-create

创建可信概要文件分配

ibmcloud iam trusted-profile-assignment-create TEMPLATE_ID TEMPLATE_VERSION --target-type TYPE --target TARGET

命令选项

-q, --quiet: 禁止详细输出。
- --target: 目标实体的标识
--target-type 类型: 目标实体的类型

示例

在指定的目标帐户中创建可信概要文件分配

ibmcloud iam trusted-profile-assignment-create example-template-id 1 --target-type Account --target example-account-id

ibmcloud iam trusted-profile-assignment-delete

删除可信概要文件分配

ibmcloud iam trusted-profile-assignment-delete ASSIGNMENT_ID

命令选项

-q, --quiet: 禁止详细输出。

示例

在指定的目标帐户中创建可信概要文件分配

ibmcloud iam trusted-profile-assignment-create example-template-id 1 --target-type Account --target example-account-id

ibmcloud iam trusted-profile-assignment-update

更新可信概要文件分配

ibmcloud iam trusted-profile-assignment-update ASSIGNMENT_ID TEMPLATE_VERSION

命令选项

-q, --quiet: 禁止详细输出。

示例

更新可信概要文件分配

ibmcloud iam trusted-profile-assignment-update example-template-id 1

ibmcloud iam trusted-profile-assignment

在您的当前账户中获取所有可信的个人资料分配

ibmcloud iam trusted-profile-assignments

命令选项

--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

以 JSON 格式列出当前帐户中的所有可信概要文件分配

ibmcloud iam trusted-profile-assignments --output JSON

ibmcloud iam account-settings

列出帐户设置值:

ibmcloud iam account-settings [--show-external-identity] [--output FORMAT] [-q, --quiet]

命令选项

--show-external-identity: 显示外部身份的设置
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

ibmcloud iam account-settings-update

更新当前账户下的设置：

ibmcloud iam account-settings-update [--restrict-create-service-id RESTRICTION_SETTING] [--restrict-create-platform-apikey RESTRICTION_SETTING] [--allowed-ip-addresses ADDRESS_LIST] [--unset-allowed-ip-addresses] [--mfa MFA] [--session-expiration-in-seconds SECONDS_EXP] [--session-invalidation-in-seconds SECONDS_INV] [--max-sessions-per-identity SESSIONS_MAX] [--output FORMAT] [-q, --quiet]

命令选项

--restrict-create-service-id 限制_设置: 服务ID创建的限制级别（ RESTRICTED、NOT_RESTRICTED 或 NOT_SET 之一）。
--restrict-create-platform-apikey 限制设置: API密钥创建的限制级别（ RESTRICTED、NOT_RESTRICTED 或 NOT_SET 之一）。
--allowed-ip-addresses ADDRESS_LIST: 可创建IAM令牌的IP地址和子网（默认为“”）。
--unset-allowed-ip-addresses: 清除所有 IP 地址限制
--session-expiration-in-seconds SECONDS_EXP: 会话到期的秒数 (也可以是 NOT_SET，这会将该值重置为缺省值)。
--session-invalidation-in-seconds SECONDS_INV: 会话失效前闲置的秒数（也可以为“NOT_SET”，将值重置为默认值）。
--max-sessions-per-identity SESSIONS_MAX: 账户上每个身份的最大会话数（也可以是 NOT_SET，它将值重置为默认值）。
--mfa MFA: 账户上的MFA类型（ NONE、TOTP、TOTP4ALL、LEVEL1、LEVEL2 或 LEVEL3 之一）。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

将帐户的多因子认证设置更新为 LEVEL3:

ibmcloud iam account-settings-update --mfa LEVEL3

将会话到期的秒数更新为缺省值 (使用 NOT_SET):

ibmcloud iam account-settings-update --session-expiration-in-seconds NOT_SET

ibmcloud iam account-settings-external-interaction-update

更新当前账户下的外部互动账户设置：

ibmcloud iam account-settings-external-interaction-update (service | service_id | user) [--state STATE] [--allowed-accounts ACCOUNT_1, ACCOUNT_2, ...] [--output FORMAT] [-q, --quiet]

命令选项

--state : 设置状态。选项包括：limited、enabled 或 monitor。

--allowed-accounts ACCOUNT_1, ACCOUNT_2, ...: 逗号分隔的账户ID列表允许在身份类型下访问。
--output FORMAT: 指定输出格式。仅支持“JSON”。
-q, --quiet: 禁止详细输出。

示例

将用户的外部交互设置更新为 monitor：

ibmcloud iam account-settings-external-interaction-update user --state monitor

使用允许的账户 The-Account-ID 更新账户的服务外部交互设置：

ibmcloud iam account-settings-external-interaction-update service --allowed-accounts The-Account-ID

ibmcloud iam account-settings-template

显示账户设置模板的详细信息：

ibmcloud iam account-settings-template (TEMPLATE_ID | TEMPLATE_NAME) [-q,--quiet] [--output JSON]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

显示帐户设置模板 AccountSettingsEditorTemplate 的详细信息

ibmcloud iam account-settings-template AccountSettingsEditorTemplate

ibmcloud iam account-settings-templates

列出企业账户的账户设置模板：

ibmcloud iam account-settings-templates [-q,--quiet] [--output JSON]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

列出当前账户的账户设置模板

ibmcloud iam account-settings-templates

ibmcloud iam account-settings-template-create

为企业账户创建新的账户设置模板：

ibmcloud iam account-settings-template-create TEMPLATE_NAME [-d, --description DESCRIPTION] [--file JSON_FILE] [-q,--quiet]

命令选项

-d, --description 描述: 对模板的描述
--file JSON_FILE: 模板定义的 JSON 文件
-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

在当前账户上创建账户设置模板

ibmcloud iam account-settings-template-create AccountSettingsEditorTemplate --fie /path/to/account_settings_template.json

ibmcloud iam account-settings-template-version

在企业管理账户中获取特定版本的账户设置模板：

ibmcloud iam account-settings-template-version (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet] [--output JSON]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

显示帐户设置模板 AccountSettingsEditorTemplate 的版本 1

ibmcloud iam account-settings-template-create AccountSettingsEditorTemplate 1

ibmcloud iam account-settings-template-versions

企业账户中的账户设置模板版本列表：

ibmcloud iam account-settings-template-versions (TEMPLATE_ID | TEMPLATE_NAME) [-q,--quiet] [--output JSON]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

列出帐户设置模板 AccountSettingsEditorTemplate 的版本

ibmcloud iam account-settings-template-versions AccountSettingsEditorTemplate

ibmcloud iam account-settings-template-version-create

在企业账户中创建一个新版本的账户设置模板：

ibmcloud iam account-settings-template-version-create {(TEMPLATE_ID |TEMPLATE_NAME) (--file JSON_FILE)} [-q,--quiet] [--output FORMAT]

命令选项

--file JSON_FILE: 帐户设置模板定义的 JSON 文件
-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

创建新版本的账户设置模板 AccountSettingsEditorTemplate

ibmcloud iam account-settings-template-version-create AccountSettingsEditorTemplate --file /path/to/account_settings_template.json

ibmcloud iam account-settings-template-version-update

更新企业账户中特定版本的账户设置模板：

ibmcloud iam account-settings-template-version-update (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION --file JSON_FILE [-d, --description DESCRIPTION] [-q,--quiet]

命令选项

-d 值，--description 描述: 对模板的描述
--file JSON_FILE: 模板定义的 JSON 文件
-q, --quiet: 禁止详细输出。

示例

更新帐户设置模板 AccountSettingsEditorTemplate 的版本 1

ibmcloud iam account-settings-template-version-update AccountSettingsEditorTemplate 1 --file /path/to/account_settings_template.json

ibmcloud iam account-settings-template-version-delete

删除企业账户的账户设置模板版本：

ibmcloud iam account-settings-template-version-delete (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

删除帐户设置模板 AccountSettingsEditorTemplate 的版本 2

ibmcloud iam account-settings-template-delete AccountSettingsEditorTemplate 2

ibmcloud iam account-settings-template-version-commit

在企业账户中提交特定版本的账户设置模板：

ibmcloud iam account-settings-template-commit (TEMPLATE_ID | TEMPLATE_NAME) TEMPLATE_VERSION [-q,--quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

落实帐户设置模板 AccountSettingsEditorTemplate 的版本 1

ibmcloud iam account-settings-template-version-commit AccountSettingsEditorTemplate 1

ibmcloud iam account-settings-assignment

列出企业账户的账户设置任务：

ibmcloud iam account-settings-assignments [--output FORMAT] [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

列出当前帐户中的分配

ibmcloud iam account-settings-assignments

ibmcloud iam account-settings-assignment

获取账户设置模板的任务：

ibmcloud iam account-settings-assignment ASSIGNMENT_ID [-q,--quiet] [--output FORMAT]

命令选项

-q, --quiet: 禁止详细输出。
--output FORMAT: 指定输出格式。仅支持“JSON”。

示例

获取帐户设置分配 AccountSettingsAssignment-7c4345c7f2cb4c75a9f29b68fc1e1e88

ibmcloud iam account-settings-assignment AccountSettingsAssignment-7c4345c7f2cb4c75a9f29b68fc1e1e88

ibmcloud iam account-settings-assignment-create

为账户设置模板创建任务：

ibmcloud iam account-settings-assignment-create TEMPLATE_NAME TEMPLATE_VERSION TARGET_TYPE TARGET [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

为账户指定账户设置模板

ibmcloud iam account-settings-assignment-create TemplateTest 1 Account f7fc6938256e46e1a25ee09e14ca9c20

为账户组指定账户设置模板

ibmcloud iam account-settings-assignment-create TemplateTest 1 AccountGroup 955fc2274567474f8da802d5c376504b

ibmcloud iam account-settings-assignment-update

更新任务以重试失败的任务或将资源迁移到新版本：

ibmcloud iam account-settings-assigment-update ASSIGNMENT_ID TEMPLATE_VERSION [-q,--quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

将帐户设置分配 AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b 更新为模板版本 2

ibmcloud iam account-settings-assignment-update AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b 2

ibmcloud iam account-settings-assignment-delete

删除帐户设置分配。此操作将删除此任务创建的所有资源：

ibmcloud iam account-settings-assigment-delete ASSIGNMENT_ID [-q, --quiet]

命令选项

-q, --quiet: 禁止详细输出。

示例

删除帐户设置分配 AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b

ibmcloud iam account-settings-assignment-delete AccountSettingsAssignment-63d65ed159ff463b8ec09ea77d22a05b