IBM Cloud Docs
IAM-Übersicht

IAM-Übersicht

Der Service IBM Cloud Identity and Access Management (IAM) authentifiziert Benutzer sicher und steuert den Zugriff auf alle Ressourcen konsistent in IBM Cloud Platform.

Weitere Informationen finden Sie unter Übersicht über IAM-Konten.

Identitätsmanagement

Das Identitätsmanagement umfasst die Interaktion von Benutzern, Services und Ressourcen. Benutzer werden anhand ihrer IBMid angegeben. Services werden mit ihrer Service-ID angegeben. Ressourcen schließlich werden unter Verwendung von Cloudressourcennamen bzw. CRNs angegeben und adressiert.

Mit dem IAM-Token-Service von IBM Cloud können Sie API-Schlüssel für Benutzer und Services erstellen, aktualisieren, löschen und verwenden. Diese API-Schlüssel werden entweder mit API-Aufrufen oder im Identity & Access-Abschnitt der IBM Cloud® Platform Console erstellt. Der gleiche Schlüssel kann für mehrere Services verwendet werden. Zur Unterstützung von Schlüsselrotationsszenarios sowie von Szenarios, bei denen unterschiedliche Schlüssel für unterschiedliche Zwecke verwendet werden, um das Sicherheitsrisiko durch die Verwendung eines einzigen Schlüssels einzugrenzen, kann jeder Benutzer über mehrere API-Schlüssel verfügen.

Weitere Informationen hierzu finden Sie in der IAM-Dokumentation.

Benutzer und API-Schlüssel

API-Schlüssel können von IBM Cloud-Benutzern zur Automatisierung und zur Scripterstellung erstellt und verwendet werden. API-Schlüssel können in der Benutzerschnittstelle von Identity and Access Management (IAM) oder über die Befehlszeilenschnittstelle (CLI) ibmcloud erstellt werden.

Service-IDs und API-Schlüssel

Benutzer können auch Service-IDs und API-Schlüssel für Service-IDs erstellen. Eine Service-ID ist vergleichbar mit einer 'Funktions-ID' oder einer 'Anwendungs-ID' und dient der Authentifizierung von Services, nicht aber der Darstellung eines Benutzers.

Benutzer erstellen Service-IDs und binden sie an Bereiche, z. B. ein IBM Cloud-Plattformkonto, eine CloudFoundry-Organisation oder einen CloudFoundry-Bereich. Es empfiehlt sich, Service-IDs an ein IBM Cloud Platform-Konto zu binden. Diese Bindung erfolgt, damit die Service-ID in einem Container Bestand haben kann. Dieser Container definiert auch, wer die Service-ID aktualisieren und löschen darf und wer API-Schlüssel, die dieser Service-ID zugeordnet sind, erstellen, aktualisieren, lesen und löschen kann. Beachten Sie unbedingt, dass eine Service-ID NICHT an einen Benutzer gekoppelt ist.

Schlüsselrotation

API-Schlüssel können in regelmäßigen Abständen im Rotationsverfahren gewechselt werden, um eventuellen Sicherheitsverletzungen durch offengelegte Schlüssel vorzubeugen.

Access Management

Die IAM-Zugriffssteuerung bietet eine gängige Möglichkeit, Benutzerrollen für IBM Cloud-Ressourcen zuzuordnen und steuert, welche Aktionen die Benutzer für diese Ressourcen durchführen können. Je nachdem, welche Zugriffsoptionen Ihnen erteilt wurden, können Sie Benutzer im ganzen Konto oder in der gesamten Organisation anzeigen und verwalten. Kontoeignern wird beispielsweise automatisch die Kontoadministratorrolle für Identity and Access Managementzugewiesen, wodurch sie Servicerichtlinien für alle Mitglieder ihres Kontos zuweisen und verwalten können.

Benutzer, Rollen, Ressourcen und Richtlinien

Die IAM-Zugriffssteuerng lässt die Zuweisung von Richtlinien nach Service oder Serviceinstanz zu und ermöglicht so verschiedene Ebenen von Zugriff für die Verwaltung von Ressourcen und Benutzern innerhalb des zugewiesenen Kontexts. Eine Richtlinie erteilt einem Benutzer eine oder mehrere Rollen für eine Gruppe von Ressourcen, indem sie die maßgebliche Gruppe von Resssourcen mittels einer Kombination von Attributen definiert. Wenn Sie einem Benutzer eine Richtlinie zuweisen, geben Sie zuerst den Service an und dann eine oder oder mehrere Rollen, die zugewiesen werden sollen. Abhängig vom ausgewählten Service stehen möglicherweise zusätzliche Konfigurationsoptionen zur Verfügung.

Während es sich bei Rollen um eine Sammlung von Aktionen handelt, sind die Aktionen, die diesen Rollen zugeordnet sind, servicespezifisch. Jeder Service bestimmt diese Zuordnung von Rollen und Aktionen im Rahmen des Onboarding-Prozesses und diese Zuordnung gilt für alle Benutzer des Service. Rollen und Zugriffsrichtlinien werden über den Richtlinienverwaltungspunkt (PAP, Policy Administration Point) konfiguriert und über den Richtliniendurchsetzungspunkt (PEP, Policy Enforcement Point) sowie den Richtlinienentscheidungspunkt (PDP, Policy Decision Point) umgesetzt.

Weitere Informationen finden Sie unter Best Practices für das Organisieren von Ressourcen und Zuweisen von Zugriff.