管理用户访问权

帐户中的用户对 IBM Cloud® Code Engine 服务实例的访问权由 IBM Cloud Identity and Access Management (IAM) 来控制。必须为帐户中访问 Code Engine 服务的每个用户分配一个访问策略并定义 IAM 角色。策略确定用户可以在您选择的服务或实例的上下文中执行的操作。允许的操作由 IBM Cloud 服务进行定制，并定义为允许在服务上执行的操作。然后，这些操作将映射到 IAM 用户角色。

策略允许在不同级别授予访问权。

角色定义了用户或服务 ID 可以执行的操作。 IBM Cloud 中有不同类型的角色：

平台管理角色 使用户能够在平台级别对 Code Engine 资源执行任务，例如，分配 Code Engine的用户访问权，创建或删除服务标识，创建项目以及将 Code Engine 的策略分配给其他用户。
服务访问角色 enable users to be assigned varying levels of permission for calling the Code Engine API.

Code Engine 同时使用平台和服务管理角色。您可以在平台级别设置有关谁可以创建项目的策略，然后使用服务角色来管理与项目本身的交互。

要了解有关 IAM 关键概念的更多信息吗？查看什么是IBM Cloud Identity and Access Management？

如何知道为我设置了哪些访问策略？

您可以在 IBM Cloud® Identity and Access Management(IAM) 控制台中查看为您设置的访问策略。确保检查适用于您用户的访问策略，以及分配给包含您用户的任何访问组的任何访问策略。

要查看有关用户访问权的 IAM 信息，

转至访问 IAM 用户。
单击用户表中您的名称。
单击访问策略选项卡以查看您的访问策略。

要查看有关用户访问组的 IAM 信息，

转至访问 IAM 组。
单击访问组的名称以查看有关该组的信息。
单击 访问权 选项卡以查看分配给组的访问策略。

使用访问组管理访问权

要使用访问组管理访问权限或为用户分配新的访问权限，您必须是账户的所有身份和访问启用服务的账户所有者、管理员或编辑，或者是 IAM 访问组服务的指定管理员或编辑。

选择以下任一操作以在 IBM Cloud 中管理访问组：

创建访问组。
为组分配访问权。

有关 IAM 命令的更多信息，请参阅 IAM CLI 参考文档。

通过将策略直接分配给用户来管理访问权

要使用 IAM 策略来管理用户的访问权或为用户分配新访问权，您必须是帐户所有者、帐户中所有服务的管理员，或者是特定服务或服务实例的管理员。

选择以下任一操作以在 IBM Cloud 中管理 IAM 策略：

要向用户授予许可权，请参阅分配访问权。
要撤销许可权，请参阅除去访问权。
要查看用户的许可权，请参阅复查分配的访问权。

有关 IAM 命令的更多信息，请参阅 IAM CLI 参考文档。

IBM Cloud 平台角色

平台管理角色使用户能够在平台级别对服务资源执行任务，例如为服务分配用户访问权限、创建或删除实例，以及将实例绑定到应用程序。

在 Code Engine中，projects 是服务实例。

使用下表可确定可以在 IBM Cloud 中授予用户用于运行以下任一平台操作的平台角色：

IAM 用户平台角色和操作
平台操作	管理员	编辑者	运算符	查看者
授予其他账户成员使用服务的权限。
创建一个项目。
删除项目。
更新项目。
查看 Code Engine 仪表板。
查看项目详情。

IBM Cloud 服务角色

使用下表可确定可以授予用户用于运行以下任一服务操作的服务角色：

IAM 服务角色和操作
操作	管理者	写入者	读者
在项目中创建项。
更新项目中的项。
删除项目中的项。
列出和查看项目中的项。

Code Engine CLI 访问需求

要使用 CLI 处理 Code Engine 项目，必须首先以资源组为目标。要使用 CLI 将资源组作为目标，您需要对该资源组具有“查看者”访问权。

Code Engine 容器注册表需求

有关用于访问容器注册表中的映像的 Code Engine 需求的更多信息，请参阅访问容器注册表。

Code Engine 服务绑定访问需求

有关 Code Engine 服务绑定访问需求的更多信息，请参阅配置服务绑定的访问权。

工具链的 Code Engine 访问需求

有关使用工具链构建和部署应用程序或作业的 Code Engine 访问需求的更多信息，请参阅配置工具链的访问权。