ユーザー・アクセスの管理
アカウントのユーザーの IBM Cloud® Code Engine サービス・インスタンスへのアクセスは、IBM Cloud の ID およびアクセス管理 (IAM) によって制御されます。 アカウントの Code Engine サービスにアクセスするすべてのユーザーに、IAM 役割を定義したアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキストでユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作として、IBM Cloud サービスによってカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。
ポリシー により、さまざまなレベルでアクセス権限を付与できます。
役割は、ユーザーまたはサービス ID が実行できるアクションを定義します。 IBM Cloud には、以下のようなさまざまなタイプの役割があります。
- プラットフォーム管理役割により、ユーザーはプラットフォーム・レベルで Code Engine リソースに対するタスクを実行できます。例えば、Code Engine に対するユーザー・アクセス権限の割り当て、サービス ID の作成または削除、プロジェクトの作成、他のユーザーに対する Code Engine のポリシー割り当てなどを実行できます。
- サービス・アクセスの役割により、Code Engine API を呼び出すためのさまざまなレベルのアクセス権をユーザーに割り当てることができます。
Code Engine では、プラットフォーム管理役割とサービス管理役割の両方を使用します。 プラットフォーム・レベルで、誰がプロジェクトを作成できるかというポリシーを設定し、サービスの役割を使用して、プロジェクト自体の操作を管理することができます。
IAM の主要な概念について詳しく説明します。 IBM Cloud Identity and Access Managementとは何かをチェックアウトします。
自分に設定されているアクセス・ポリシーはどうすればわかりますか?
どのアクセス・ポリシーが設定されているかは、IBM Cloud® Identity and Access Management(IAM)コンソールで確認できる。 必ず、ユーザーに適用される アクセス・ポリシー と、ユーザーを含む アクセス・グループ に割り当てられているアクセス・ポリシーを確認してください。
ユーザー・アクセスに関する IAM 情報を表示するには、以下のようにします。
- 「IAM ユーザーへのアクセス」に移動します。
- ユーザーのテーブルで自分の名前をクリックします。
- **「アクセス・ポリシー」**タブをクリックすると、自分のアクセス・ポリシーが表示されます。
ユーザーのアクセス・グループに関する IAM 情報を表示するには、以下のようにします。
- 「IAM グループへのアクセス」に移動します。
- グループに関する情報を表示するには、アクセス・グループの名前をクリックします。
- 「アクセス」 タブをクリックして、グループに割り当てられているアクセス・ポリシーを表示します。
アクセス・グループを使用してアクセス権限の管理
アクセス・グループを使用してアクセス権限の管理やユーザーへの新しいアクセス権限の割り当てを行うには、アカウント所有者であるか、アカウント内のすべての ID およびアクセス対応サービスの管理者またはエディターであるか、または、IAM アクセス・グループ・サービスに割り当てられた管理者またはエディターである必要があります。
以下のいずれかのアクションを選択して、IBM Cloud 内のアクセス・グループを管理します。
- アクセス・グループを作成します。
- アクセス権をグループに割り当てます。
IAM コマンドについて詳しくは、IAM CLI のリファレンス資料を参照してください。
ユーザーにポリシーを直接割り当ててアクセス権を管理する
IAM ポリシーを使用して、アクセス権限の管理またはユーザーの新規アクセス権限の割り当てを行うには、アカウント所有者であるか、アカウント内のすべてのサービスの管理者であるか、または、特定のサービスまたはサービス・インスタンスの管理者である必要があります。
以下のいずれかのアクションを選択して、IBM Cloud 内の IAM ポリシーを管理します。
- ユーザーに許可を付与するには、アクセス権限の割り当てを参照してください。
- 権限を取り消すには、アクセス権限の削除を参照してください。
- ユーザーの許可を検討するには、割り当てられたアクセス権限の検討を参照してください。
IAM コマンドについて詳しくは、IAM CLI のリファレンス資料を参照してください。
IBM Cloud プラットフォームの役割
プラットフォーム管理役割は、サービス・リソースに対してプラットフォーム・レベルのタスクを実行することをユーザーに許可します。例えば、サービスに対するアクセス権限をユーザーに割り当てる、インスタンスを作成/削除する、アプリケーションにインスタンスをバインドするなどのタスクを実行できます。
Code Engine では、projectsはサービス・インスタンスです。
以下の表を使用して、以下のいずれかのプラットフォーム・アクションを実行するために、IBM Cloud 内のユーザーに付与できるプラットフォーム役割を識別します。
| プラットフォーム・アクション | 管理者 | エディター | オペレーター | ビューアー |
|---|---|---|---|---|
| サービスを使って作業するためのアクセス権限を他のアカウント・メンバーに付与します。 |  |
|||
| プロジェクトを作成します。 | |
|
||
| プロジェクトを削除します。 | |
|
||
| プロジェクトを更新します。 | |
|
||
| Code Engine ダッシュボードを表示します。 | |
|
|
|
| プロジェクトの詳細を見る | |
|
|
|
IBM Cloud サービス役割
以下の表を使用して、以下のいずれかのサービス・アクションを実行するために、ユーザーに付与できるサービス役割を識別します。
| アクション | マネージャー | ライター | リーダー |
|---|---|---|---|
| プロジェクト内に項目を作成します。 | |
|
|
| プロジェクト内の項目を更新します。 | |
|
|
| プロジェクト内の項目を削除します。 | |
|
|
| プロジェクト内の項目をリストおよび表示します。 | |
|
|
Code Engine CLI のアクセス権限の要件
CLI で Code Engine プロジェクトを操作するには、まずリソース・グループをターゲットとして設定する必要があります。 CLI を使用してリソース・グループをターゲットにするには、そのリソース・グループに対するビューアー権限が必要です。
Code Engine コンテナーのレジストリー要件
コンテナー・レジストリー内のイメージにアクセスするための Code Engine 要件について詳しくは、 コンテナー・レジストリーへのアクセス を参照してください。
Code Engine サービス・バインディングのアクセス権限の要件
Code Engine サービス・バインディングのアクセス要件について詳しくは、 サービス・バインディングのアクセス権限の構成 を参照してください。
ツールチェーンの Code Engine アクセス要件
ツールチェーンを使用してアプリまたはジョブをビルドおよびデプロイするための Code Engine のアクセス要件について詳しくは、 ツールチェーンのアクセス権限の構成 を参照してください。