Criteri di accesso IAM per le autorizzazioni a livello di risorsa

Assegnate criteri di accesso granulari e basati su attributi per ottenere l'accesso con il minimo privilegio, controllando chi può accedere a specifiche risorse di IBM Cloud e quali azioni può eseguire su di esse.

Il seguente grafico spiega come viene creata la politica IAM. Le politiche vengono sempre create specificando prima l'oggetto. L'oggetto è un utente specifico, un ID servizio, un gruppo di accesso o un profilo di fiducia. Successivamente, viene selezionata la destinazione che è ciò a cui stai consentendo all'utente di accedere, ad esempio: tutti i servizi in un gruppo di risorse, tutti i servizi abilitati IAM nell'account, i servizi di gestione dell'account o una particolare istanza del servizio. Infine, completa la tua politica di accesso effettuando una selezione dai ruoli disponibili. Questi ruoli definiscono esattamente le azioni che un utente può completare. Potrebbero essere disponibili altre opzioni di configurazione, a seconda del servizio che selezioni.

Creazione di policy IAM utilizzando un soggetto, un target e un ruolo
Come vengono create le policy di accesso IAM utilizzando un soggetto, un target e un ruolo

Puoi assegnare e gestire le politiche se hai il ruolo appropriato. La seguente tabella mostra le attività di gestione delle politiche e il ruolo richiesto per ciascuna.

Utenti autorizzati a creare criteri di accesso
Azione Ruolo richiesto
Creare una politica in un account per tutti i servizi e le istanze Proprietario o amministratore dell'account su tutti i servizi di gestione dell'account e tutti i servizi abilitati per l'accesso e l'identità
Creare una politica su un servizio in un account Proprietario dell'account, amministratore su tutti i servizi abilitati per l'accesso e l'identità o amministratore sul servizio nell'account
Creare una politica su un'istanza del servizio Proprietario dell'account, amministratore su tutti i servizi abilitati per l'accesso e l'identità, amministratore sul servizio nell'account, amministratore su tutti i servizi nel gruppo di risorse relativo o amministratore sull'istanza del servizio

Tipi di politica di accesso comuni

Puoi fornire l'accesso dettagliato per gli utenti, gli ID servizio o i gruppi di accesso assegnando i seguenti tipi di politiche di accesso:

  • Tutti i servizi di gestione account
  • Un servizio specifico di gestione del conto
  • Tutti i servizi di gestione degli account IAM, che sono un sottoinsieme di servizi di gestione degli account che comprende IAM Identity, IAM Access Management, IAM User Management e IAM Groups
  • Un servizio IAM specifico
  • Tutte le risorse nell'account
  • Tutte le risorse all'interno di tutti i servizi che appartengono a un singolo gruppo di risorse con la possibilità di gestire il gruppo di risorse
  • Tutte le risorse all'interno di un singolo servizio in un gruppo di risorse con la possibilità di gestire il gruppo di risorse
  • Tutte le risorse all'interno di un singolo servizio nell'account, indipendentemente dal gruppo di risorse a cui sono assegnate
  • Le risorse in una singola istanza
  • Un singolo tipo di risorsa all'interno di un'istanza, ad esempio un bucket in un'istanza Object Storage

Se si desidera abilitare un utente all'accesso completo di amministratore per completare le attività di gestione dell'account, quali l'invito e la rimozione degli utenti, la visualizzazione della fatturazione e dell'utilizzo, la gestione degli ID servizio, la gestione dei gruppi di accesso, la gestione dell'accesso degli utenti e l'accesso a tutte le risorse dell'account, è necessario assegnare all'utente il seguente accesso:

  • Un criterio per Tutti i servizi di Identità e Accesso abilitati all' interno dell'account con i ruoli di amministratore e manager assegnati.
  • Un criterio con il ruolo di amministratore assegnato a tutti i servizi di Gestione account.

Gruppi di servizi

È possibile assegnare l'accesso a un gruppo di servizi, in modo che sia sufficiente un unico criterio per assegnare l'accesso a più servizi. In questo modo, si riduce il numero di polizze nel proprio account e si riduce il tempo e l'impegno per la gestione degli accessi.

  • Tutti i servizi abilitati all'identità e all'accesso: Tutti i servizi del catalogo che utilizzano IAM per la gestione degli accessi.
  • Tutti i servizi di gestione degli account: Servizi della piattaforma, come fatturazione e utilizzo, licenze e diritti, imprese e altro. Per ulteriori informazioni, vedere Assegnazione dell'accesso ai servizi di gestione degli account.
    • Tutti i servizi di gestione degli account IAM: Un sottoinsieme di servizi di gestione degli account che comprende i servizi della piattaforma IAM IAM Identity, IAM Access Management, IAM Users, IAM Groups e i futuri servizi IAM.

Assegnazione dei criteri di accesso a IBM Cloud

Per capire meglio come viene assegnato l'accesso utilizzando i criteri di accesso in IBM Cloud rispetto ad altri fornitori di cloud che potrebbero essere noti, date un'occhiata ai seguenti dettagli ed esempi di criteri di accesso.

IBM Cloud Le policy IAM consistono nell'identità di chi (soggetto) riceve l'accesso, come l'ID dell'utente o del servizio, le risorse o i servizi specifici (target) a cui viene concesso l'accesso e i ruoli che definiscono le azioni consentite nel contesto della risorsa o del servizio selezionato.

In IBM Cloud, un utente, un ID servizio o i membri di un gruppo di accesso non hanno alcun accesso per impostazione predefinita. Il modello di accesso IBM Cloud è semplice quando si tratta di capire come viene permesso o negato il completamento di azioni specifiche. L'accesso viene concesso solo quando un amministratore assegna un criterio di accesso con un particolare ruolo di accesso. Il sistema IAM non deve valutare i criteri di autorizzazione e negazione per determinare quali azioni sono consentite, ma si limita a valutare le risorse per le quali esistono criteri e il livello di accesso consentito dai ruoli assegnati.

Per ridurre il numero di criteri nell'account e mantenere solo l'accesso minimo richiesto per ogni utente, è possibile identificare e rimuovere i criteri di accesso utilizzati di rado. Per ulteriori informazioni, vedere Gestione dei criteri inattivi.

Quando si specifica una risorsa in un criterio, poiché IBM Cloud è basato sugli attributi, è possibile specificare un ampio insieme di risorse a cui un utente può accedere, ad esempio tutte le risorse di un gruppo di risorse. Oppure, è possibile restringere l'accesso dell'utente a un'istanza specifica di un singolo servizio o persino a un tipo di sotto-risorsa, come ad esempio un bucket Object Storage. IBM Cloud IAM offre un elevato livello di flessibilità e di granularità che consente di assegnare solo il tipo di accesso richiesto. Alcuni esempi dei diversi livelli di accesso che si possono assegnare utilizzando gli attributi in un criterio di accesso sono i seguenti:

  • Tutti i servizi di gestione account
  • Un servizio specifico di gestione del conto
  • Tutti i servizi abilitati all'identità e all'accesso all'interno dell'account, compresi tutti i servizi del catalogo che utilizzano IAM per la gestione degli accessi
  • Tutte le risorse che appartengono a un gruppo di risorse
  • Tutti i tipi di risorse di un singolo servizio nell'intero account, indipendentemente dall'assegnazione del gruppo di risorse
  • Un'istanza specifica di un servizio nell'account
  • Un singolo tipo di sotto-risorsa all'interno di un'istanza, ad esempio un bucket in un'istanza di Object Storage

Se uno specifico ruolo predefinito della piattaforma o del servizio non corrisponde a ciò che si desidera assegnare al livello di accesso, è possibile creare un ruolo personalizzato per un servizio specifico e quindi scegliere tra le azioni disponibili per creare un ruolo adatto alle esigenze della propria organizzazione.

Esempio di politica

Questo esempio di criterio consente l'accesso a tutte le risorse di servizio che appartengono a un gruppo di risorse denominato default con un ID di abcd2e6fg1h74i44j5kl467m701n5289 e con il ruolo di piattaforma Viewer assegnato. Questo criterio può essere assegnato a un utente, a un ID servizio o a un gruppo di accesso. In questo caso, è assegnato a un utente con un iam_id di IBMid-3IAMISBEST1.

I gruppi di accesso non sono identità come l'ID di un utente o di un servizio, ma sono un meccanismo di raggruppamento delle identità. Un gruppo di accesso può essere definito come oggetto di un criterio di accesso e l'accesso assegnato al gruppo si applica a tutti i membri aggiunti.

{
  "type": "access",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-3IAMISBEST1"
        }
      ]
    }
  ],
  "roles": [
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
    }
  ],
  "resources": [
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "7e522a19eb77477e88e96a600c44fb22"
        },
        {
          "name": "resourceGroupId",
          "value": "abcd2e6fg1h74i44j5kl467m701n5289"
        }
      ]
    }
  ]
}

Oltre a un criterio di accesso per un utente, un ID servizio o un gruppo di accesso che può fornire l'accesso a un servizio, a una risorsa specifica o a un gruppo di risorse nell'account, IBM Cloud offre anche la possibilità di assegnare un criterio di accesso chiamato autorizzazione da servizio a servizio, che fornisce l'accesso tra servizi. Per un esempio di questo tipo di criterio, vedere Creazione di un'autorizzazione tramite l'API.