IAM の概要
IBM Cloud Identity and Access Management (IAM) サービスは、 IBM Cloud Platform でユーザーを安全に認証し、すべてのリソースへのアクセスを一貫して制御します。
詳しくは、 IAM アカウントの概要 を参照してください。
ID 管理
ID 管理には、ユーザー、サービス、およびリソースの相互作用が含まれます。 ユーザーは、IBMid によって識別されます。 サービスは、サービス ID によって識別されます。 さらに、リソースは、CRN を使用して識別およびアドレス指定されます。
ユーザーおよびサービス用の API キーを作成、更新、削除、および使用するため、IBM Cloud IAM Token Service が使用されます。 これらの API キーは、API 呼び出しを使用するか、 IBM Cloud® Platform コンソールの「ID」&「アクセス」セクションを使用して作成されます。 同じキーをサービスで使用できます。 各ユーザーは、キーのローテーションを行うシナリオや、目的別に異なるキーを使用することで単一キーの公開を制限するシナリオをサポートするために、任意の数の API キーを使用できます。
詳しくは、IAM の資料を参照してください。
ユーザーと API キー
API キーは、自動化およびスクリプティングの目的のために、IBM Cloud ユーザーが作成し、使用できます。 API キーは、ID およびアクセス管理 UI で作成するか、ibmcloud
CLI を使用して作成できます。
サービス ID と API キー
ユーザーは、サービス ID およびサービス ID 用の API キーを作成することもできます。 サービス ID は、「機能 ID」または「アプリケーション ID」のようなものであり、ユーザーを表すためではなく、サービスの認証のために使用されます。
ユーザーはサービス ID を作成し、 IBM Cloud Platform アカウント、 CloudFoundry 組織、 CloudFoundry スペースなどのスコープにバインドします。 サービス ID を IBM Cloud Platform アカウントにバインドすることをお勧めします。 このバインドは、サービス ID に、それが入るコンテナーを示すために行われます。 また、このコンテナーでは、サービス ID の更新および削除を誰ができるか、そのサービス ID に関連付けられた API キーの作成、更新、読み取り、削除を誰ができるかも定義します。 サービス ID はユーザーには関連しないことに注意してください。
鍵のローテーション
漏えいしたキーに起因するセキュリティー・ブリーチ (抜け穴) を防止するために、API キーを定期的にローテーションできます。
Access Management
IAM アクセス制御は、IBM Cloud リソースに対するユーザー役割を割り当てるための共通の方法を提供し、ユーザーがそれらのリソースに対して実行できるアクションを制御します。 付与されているアクセス・オプションに応じて、アカウント全体または組織全体のユーザーを表示および管理できます。 例えば、アカウント所有者には、 Identity and Access Managementのアカウント管理者役割が自動的に割り当てられます。これにより、アカウントのすべてのメンバーのサービス・ポリシーの割り当てと管理が可能になります。
ユーザー、役割、リソース、およびポリシー
IAM アクセス制御では、割り当てられたコンテキスト内でリソースおよびユーザーを管理するためのアクセス・レベルを許可するために、サービスまたはサービス・インスタンスごとのポリシーの割り当てが可能です。 ポリシーは、属性の組み合わせを使用して適用可能なリソース・セットを定義することにより、リソース・セットに対する 1 つ以上の役割をユーザーに付与します。 ユーザーにポリシーを割り当てる場合、まずサービスを指定し、その次に割り当てる役割を指定します。 選択するサービスに応じて、追加の構成オプションが使用可能な場合があります。
役割はアクションの集合ですが、これらの役割にマップされるアクションは、サービスに固有です。 各サービスは、オンボーディング・プロセスの間にこの役割からアクションへのマッピングを決定し、このマッピングは、サービスのすべてのユーザーに影響します。 役割およびアクセス・ポリシーは、Policy Administration Point (PAP) を通じて構成され、Policy Enforcement Point (PEP) および Policy Decision Point (PDP) を介して適用されます。
詳しくは、 リソースを編成してアクセス権限を割り当てるためのベスト・プラクティス を参照してください。