IBM Cloud Docs
Visión general de IAM

Visión general de IAM

El servicio IBM Cloud Identity and Access Management (IAM) autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en la plataforma IBM Cloud.

Para obtener más información, consulte Visión general de la cuenta de IAM.

Gestión de identidades

La gestión de identidades incluye la interacción de los usuarios, los servicios y los recursos. Los usuarios se identifican mediante su IBMid. Los servicios se identifican mediante sus ID de servicio. Y los recursos se identifican y se gestionan mediante los CRN.

El servicio de señal de IBM Cloud IAM sirve para crear, actualizar, suprimir y utilizar claves de API para usuarios y servicios. Estas claves de API se crean con llamadas de API o con la sección Identity & Access de la consola de IBM Cloud® Platform. Se puede utilizar la misma clave en varios servicios. Cada usuario tiene varias claves de API para dar soporte a escenarios de rotación de claves, así como a escenarios en los que se utilizan diferentes claves para distintos fines para limitar la exposición de una única clave.

Para obtener más información, consulte la documentación de IAM.

Usuarios y claves de API

Los usuarios de IBM Cloud pueden crear y utilizar claves de API para la automatización y la creación de scripts. Las claves de API se pueden crear en la interfaz de usuario de Identity and Access Management o mediante la CLI ibmcloud.

ID de servicio y claves de API

Los usuarios también pueden crear ID de servicio y claves de API para los ID de servicio. Un ID de servicio es parecido a un "ID funcional" o a un "ID de aplicación" y se utiliza para autenticar servicios, no para representar a un usuario.

Los usuarios crean ID de servicio y los enlazan a ámbitos, como una cuenta de IBM Cloud Platform, una organización de CloudFoundry o un espacio de CloudFoundry. Es mejor enlazar los ID de servicio a una cuenta de IBM Cloud Platform. Este enlace se lleva a cabo para dar al ID de servicio un contenedor en el que residir. Este contenedor también define quién puede actualizar y suprimir el ID de servicio y quién puede crear, actualizar, leer y suprimir las claves de API que asociadas a dicho ID de servicio. Es importante tener en cuenta que un ID de servicio NO está relacionado con un usuario.

Rotación de claves

Las claves de API se pueden rotar regularmente para evitar cualquier violación de seguridad causada por una filtración de claves.

Access Management

El control de accesos de IAM proporciona una forma común de asignar roles de usuario para recursos de IBM Cloud y controla las acciones que pueden llevar a cabo los usuarios sobre dichos recursos. Puede ver y gestionar usuarios de la cuenta o de la organización, en función de las opciones de acceso que se le hayan asignado. Por ejemplo, a los propietarios de cuentas se les asigna automáticamente el rol de administrador de cuentas para Identity and Access Management, lo que les permite asignar y gestionar políticas de servicio para todos los miembros de su cuenta.

Usuarios, roles, recursos y políticas

El control de acceso de IAM permite la asignación de políticas por servicio o instancia de servicio para permitir niveles de acceso para gestionar recursos y usuarios dentro del contexto asignado. Una política otorga a un usuario uno o varios roles sobre un conjunto de recursos mediante una combinación de atributos para definir el conjunto aplicable de recursos. Cuando asigna una política a un usuario, primero debe especificar el servicio y luego el rol o roles que se deben asignar. Es posible que haya opciones de configuración adicionales, en función del servicio que seleccione.

Mientras que los roles son una colección de acciones, las acciones que se correlacionan con estos roles son específicas del servicio. Cada servicio determina este rol para la correlación de acciones durante el proceso de incorporación y esta correlación afecta a todos los usuarios del servicio. Los roles y las políticas de acceso se configuran mediante el punto de administración de políticas (PAP) y se aplican mediante el punto de aplicación de política (PEP) y el punto de decisión de política (PDP).

Consulte Prácticas recomendadas para organizar recursos y asignar acceso para obtener más información.