IBM Cloud Docs
管理定制角色

管理定制角色

IBM Cloud® Metrics Routing 服务将不同的操作集映射到不同的平台角色。 但是,您可能希望组合当前分布在多个角色中的一些操作,以使分配符合您的定制用例。 通过定制角色,您可以选取并选择映射到不同角色的操作,以便下次分配对服务的访问权时,不必选择三个不同的角色,例如。

您可以创建作用域限定为 IBM Cloud Metrics Routing 服务的新角色。 这意味着不能在定制角色中组合两个不同服务的操作,但可以将所需数量的操作组合到单个服务的新角色中。 创建具有所选名称的定制角色后,帐户中可以分配对 IBM Cloud Metrics Routing 服务的访问权的任何人都可以在分配访问权时使用该角色。

用于管理定制角色的许可权

任何人都可以在帐户中查看 IBM Cloud Metrics Routing 服务的预定义角色。

但是,要查看,创建,编辑或删除定制角色,必须为您分配 IAM Access Management 服务和资源类型 Role Management 的特定访问权。

角色管理服务行动
操作 管理员 运算符 编辑者 查看者
查看定制角色 复选标记图标 复选标记图标 复选标记图标 复选标记图标
创建定制角色 复选标记图标
更新定制角色 复选标记图标
删除定制角色 复选标记图标

在控制台中创建定制角色

完成以下步骤:

  1. 在 IBM Cloud® 控制台中,转至 管理 > 访问权 (IAM),然后选择 角色

  2. 单击创建

  3. 输入角色的名称。 此名称在帐户中必须唯一。 用户在分配服务访问权时,会在控制台中看到此角色名称。

  4. 输入角色的标识。 此标识在使用 API 分配访问权时所使用的 CRN 中使用。 角色标识必须以大写字母开头,并且仅使用字母数字字符。

  5. 可选:输入简明且有用的描述,用于帮助要分配访问权的用户了解此角色分配授予用户的访问级别。 当用户分配服务访问权时,在控制台中也会显示此描述。

  6. 选择要为其创建角色的服务。

  7. 查看可用的操作,然后选择添加您希望在新角色中使用的所有操作。

    您必须添加至少一个服务定义的操作,才能成功创建新角色。 如果不确定服务定义了哪些操作,请查看类型列。

  8. 完成添加操作后,单击“创建”

如果服务除去了您在定制角色中使用的操作,那么不会更新该定制角色,如果该角色仅包含已除去的操作,那么该角色可能不再有效。

如果您计划删除定制角色,因为不再需要该定制角色,那么必须为您分配 Administrator 角色。 删除定制角色会自动更新为任何用户,访问组或服务标识分配的访问权,方法是使用该角色将其从任何现有策略中除去。

使用 CLI 创建定制角色

运行以下命令以创建 IBM Cloud Metrics Routing 服务的授权。

ibmcloud iam role-create ROLE_NAME --display-name DISPLAY_NAME --service-name metrics-router [-a, --actions ROLE_ACTION1 [ROLE_ACTION2...]] [-d, --description DESCRIPTION] [--output FORMAT] [-q --quiet]

位置

---display-nameDISPLAY_NAME
控制台中显示的角色的显示名称。
---service-nameSERVICE_NAME
服务的名称。
-a, --actions ROLE_ACTION1,ROLE_ACTION2...
角色的操作。 有关更多信息,请参阅 IAM 操作
--d,--description
角色的描述。

有关可用于此命令的所有参数的更多信息,请参阅 ibmcloud iam authorization-policy-create

例如,要创建演示 custome 角色,可以运行以下命令:

创建角色以执行任何 Cloudant 数据库操作:

ibmcloud iam role-create demo --display-name "Demo custom role" --service-name metrics-router --actions metrics-router.target.create,metrics-router.target.list

使用 Terraform 创建定制角色

在使用 Terraform 创建定制角色之前,请确保已完成以下操作:

  • 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
  • 创建一个名为 main.tf. 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档

使用以下步骤创建自定义角色:

  1. main.tf 文件中创建自变量。 以下示例通过使用 ibm_iam_custom_role 资源创建定制角色,其中 name 是用于标识定制角色的唯一名称。 您必须至少添加一个服务定义的 action 才能成功创建新角色。

    resource "ibm_iam_custom_role" "customrole" {
     name         = "Role1"
     display_name = "Role1"
     description  = "This is a custom role"
     service = "metrics-router"
     actions      = ["metrics-router.target.list"]
    }
    

    您可以在 service 选项上指定要为其创建定制角色的服务的名称。 有关更多信息,请参阅 Terraform Identity and Access Management(IAM) 页面上的参数参考详细信息。

  2. 完成构建配置文件后,初始化 Terraform CLI。 有关更多信息,请参阅 初始化工作目录

    terraform init
    
  3. main.tf 文件供应资源。 有关更多信息,请参阅 供应具有 Terraform 的基础结构

    1. 运行 terraform plan 以生成 Terraform 执行计划来预览建议的操作。

      terraform plan
      
    2. 运行 terraform apply 以创建计划中定义的资源。

      terraform apply