IBM Cloud Docs
Présentation d'IAM

Présentation d'IAM

Le service IBM Cloud Identity and Access Management (IAM) authentifie les utilisateurs et contrôle l'accès à toutes les ressources de manière cohérente dans la plateforme IBM Cloud.

Pour plus d'informations, voir Présentation du compte IAM.

Gestion des identités

La gestion des identités comprend l'interaction entre les utilisateurs, les services et les ressources. Les utilisateurs sont identifiés par leur IBMid. Les services sont identifiés par leur ID de service. Et les ressources sont identifiées à l'aide de noms de ressource de cloud (CRN).

IBM Cloud IAM Token Service est utilisé pour créer, mettre à jour, supprimer et utiliser des clés d'API pour des utilisateurs et des services. Ces clés d'API sont créées à l'aide d'appels d'API ou de la section Identity & Access de la console IBM Cloud® Platform. La même clé peut être utilisée sur plusieurs services. Chaque utilisateur dispose d'un certain nombre de clés d'API pour prendre en charge des scénarios de rotation de clés, ainsi que des scénarios utilisant différentes clés pour différents objectifs afin de limiter l'exposition d'une clé unique.

Pour plus d'informations, voir la documentation IAM.

Utilisateurs et clés d'API

Des clés d'API peuvent être créées et utilisées par les utilisateurs IBM Cloud à des fins d'automatisation et de scriptage. Ces clés peuvent être créées dans l'interface utilisateur Identity and Access Management ou en utilisant l'interface de ligne de commande ibmcloud .

ID de service et clés d'API

Les utilisateurs peuvent également créer des ID de service et des clés d'API pour les ID de service. Un ID de service est semblable à un "ID fonctionnel" ou à un "ID d'application". Il est utilisé pour authentifier un service et non pour représenter un utilisateur.

Les utilisateurs créent des ID de service et les lient à des portées, comme un compte de plateforme IBM Cloud, une organisation CloudFoundry ou un espace CloudFoundry. Il est préférable de lier les ID de service à un compte de plateforme IBM Cloud. Cette liaison est effectuée afin de fournir à l'ID de service un conteneur dans lequel résider. Ce conteneur définit également qui peut mettre à jour et supprimer l'ID de service et qui peut créer, mettre à jour, lire et supprimer des clés d'API associées à cet ID de service. Il est important de noter qu'un ID de service N'EST PAS lié à un utilisateur.

Rotation des clés

Les clés de l'API peuvent faire l'objet d'une rotation régulière afin d'éviter toute atteinte à la sécurité causée par des clés qui auraient fait l'objet de fuite.

Access Management

Le contrôle d'accès IAM est couramment utilisé pour affecter des rôles utilisateur pour les ressources IBM Cloud et il contrôle les actions pouvant être effectuées par les utilisateurs sur ces ressources. Vous pouvez afficher et gérer des utilisateurs dans l'ensemble du compte ou de l'organisation, en fonction des options d'accès qui vous ont été affectées. Par exemple, les propriétaires de compte se voient automatiquement affecter le rôle d'administrateur de compte pour Identity and Access Management, ce qui leur permet d'affecter et de gérer des règles de service pour tous les membres de leur compte.

Utilisateurs, rôles, ressources et règles

Le contrôle d'accès IAM permet d'affecter des règles par service ou par instance de service afin d'autoriser des niveaux d'accès pour la gestion des ressources et des utilisateurs dans le contexte affecté. Une règle accorde à un utilisateur un ou plusieurs rôles sur un ensemble de ressources à l'aide d'une combinaison d'attributs permettant de définir l'ensemble de ressources applicable. Lorsque vous affectez une règle à un utilisateur, vous devez d'abord spécifier le service, puis un ou plusieurs rôles à affecter. D'autres options de configuration peuvent être disponibles en fonction du service que vous sélectionnez.

Les rôles étant une collection d'actions, les actions qui sont mappées à ces rôles sont propres à un service. Chaque service détermine ce mappage rôle-action durant le processus d'intégration et ce mappage concerne tous les utilisateurs du service. Les rôles et les règles d'accès sont configurés via le point d'administration de règles (PAP) et appliqués via le point d'application de règles (PEP) et le point de décision de règles (PDP).

Pour en savoir plus, voir Meilleures pratiques pour l'organisation des ressources et l'affectation des accès.