管理工具链的 IAM 访问权
IBM Cloud® Identity and Access Management (IAM) 控制帐户中用户对工具链的访问权。 必须为访问帐户中工具链的每个用户分配具有 IAM 角色的访问策略。 查看以下角色,操作和其他操作,以确定分配对工具链的访问权的最佳方法。
您在帐户中为用户分配的访问策略确定用户可以在所选工具链的上下文中执行的操作。 允许的操作由工具链定制并定义为允许执行的操作。 每个操作都映射到可以分配给用户的 IAM 平台或角色。
如果特定角色及其操作不适合您要处理的用例,那么可以 创建定制角色 并选取要包含的操作。
IAM 访问策略允许在不同级别授予访问权。 部分选项包括:
- 对帐户中所有服务实例的访问权
查看下表,其中概述了在使用工具链服务时每个角色所允许的任务类型。 平台管理角色使用户能够在平台级别对服务资源执行任务,例如,分配用户对服务的访问权,创建或删除实例以及将实例绑定到应用程序。 服务访问角色使用户能够访问工具链并能够调用工具链的 API。
有关映射到每个角色的操作的信息,请参阅 IAM 角色和操作-工具链。
平台角色 | 操作描述 |
---|---|
查看者 | 查看工具链和 Delivery Pipeline。 |
运算符 | 运行工具链和交付管道。 |
编辑者 | 管理工具链,包括创建和删除工具链以及执行除管理帐户和分配访问策略以外的所有平台操作。 |
管理员 | 根据要分配此角色的资源执行所有平台操作,包括将访问策略分配给其他用户。 |
服务角色 | 操作描述 |
---|---|
管理员,编写者 | 团队资源组中的 IBM Cloud Object Storage 服务。 |
管理员,编写者 | 团队资源组中的 IBM Cloud® Continuous Delivery 服务。 |
管理员 | 团队资源组中的工具链服务。 |
查看者,读者和作者 | IBM Cloud® Kubernetes Service。 |
查看器,ReaderPlus | 团队资源组中的 Key Protect 服务。 |
查看器,SecretsReader | 团队资源组中的 Secrets Manager 服务。 |
在控制台中分配对工具链的访问权
通过下列其中一种方式在控制台中分配访问权:
- 每个用户的访问策略。 您可以从控制台中的“管理 > 访问权 (IAM) > 用户”页面管理每个用户的访问策略。
有关分配 IAM 访问权的步骤的信息,请参阅 在控制台中分配对资源的访问权。
- 访问组。 访问组通过向组分配访问权来帮助简化访问权管理。 然后,您可以根据需要在组中添加或除去用户以控制其访问权。 您可以从控制台中的“管理 > 访问权 (IAM) > 访问组”页面管理访问组及其访问权。
有关更多信息,请参阅 在控制台中分配对组的访问权。
您帐户中用户对工具链的访问权由 IBM Cloud® Identity and Access Management (IAM) 控制。 必须为访问帐户中工具链的每个用户分配具有 IAM 角色的访问策略。 查看以下角色,操作和其他操作,以确定分配对工具链的访问权的最佳方法。
您在帐户中为用户分配的访问策略确定用户可以在所选工具链的上下文中执行的操作。 允许的操作由工具链定制并定义为允许执行的操作。 每个操作都映射到可以分配给用户的 IAM 平台或角色。
如果特定角色及其操作不适合您要处理的用例,那么可以 创建定制角色 并选取要包含的操作。
IAM 访问策略允许在不同级别授予访问权。 部分选项包括:
- 对帐户中所有服务实例的访问权
查看下表,其中概述了在使用工具链服务时每个角色所允许的任务类型。 平台管理角色使用户能够在平台级别对服务资源执行任务,例如,分配用户对服务的访问权,创建或删除实例以及将实例绑定到应用程序。 服务访问角色使用户能够访问工具链并能够调用工具链的 API。 有关映射到每个角色的操作的信息,请参阅 IAM 角色和操作-工具链。
平台角色 | 操作描述 |
---|---|
查看者 | 查看工具链和 Delivery Pipeline。 |
运算符 | 运行工具链和交付管道。 |
编辑者 | 管理工具链,包括创建和删除工具链以及执行除管理帐户和分配访问策略以外的所有平台操作。 |
管理员 | 根据分配给此角色的资源执行所有平台操作,包括将访问策略分配给其他用户。 |
服务角色 | 操作描述 |
---|---|
管理员,编写者 | 团队资源组中的 IBM Cloud Object Storage 服务。 |
管理员,编写者 | 团队资源组中的 IBM Cloud® Continuous Delivery 服务。 |
管理员 | 团队资源组中的工具链服务。 |
查看者,读者和作者 | IBM Cloud® Kubernetes Service。 |
查看器,ReaderPlus | 团队资源组中的 Key Protect 服务。 |
查看器,SecretsReader | 团队资源组中的 Secrets Manager 服务。 |