管理定制角色
IBM Cloud® Metrics Routing 服务将不同的操作集映射到不同的平台角色。 但是,您可能希望组合当前分布在多个角色中的一些操作,以使分配符合您的定制用例。 通过定制角色,您可以选取并选择映射到不同角色的操作,以便下次分配对服务的访问权时,不必选择三个不同的角色,例如。
您可以创建作用域限定为 IBM Cloud Metrics Routing 服务的新角色。 这意味着不能在定制角色中组合两个不同服务的操作,但可以将所需数量的操作组合到单个服务的新角色中。 创建具有所选名称的定制角色后,帐户中可以分配对 IBM Cloud Metrics Routing 服务的访问权的任何人都可以在分配访问权时使用该角色。
用于管理定制角色的许可权
任何人都可以在帐户中查看 IBM Cloud Metrics Routing 服务的预定义角色。
但是,要查看,创建,编辑或删除定制角色,必须为您分配 IAM Access Management
服务和资源类型 Role Management
的特定访问权。
操作 | 管理员 | 运算符 | 编辑者 | 查看者 |
---|---|---|---|---|
查看定制角色 | ||||
创建定制角色 | ||||
更新定制角色 | ||||
删除定制角色 |
在控制台中创建定制角色
完成以下步骤:
-
在 IBM Cloud® 控制台中,转至 管理 > 访问权 (IAM),然后选择 角色。
-
单击创建。
-
输入角色的名称。 此名称在帐户中必须唯一。 用户在分配服务访问权时,会在控制台中看到此角色名称。
-
输入角色的标识。 此标识在使用 API 分配访问权时所使用的 CRN 中使用。 角色标识必须以大写字母开头,并且仅使用字母数字字符。
-
可选:输入简明且有用的描述,用于帮助要分配访问权的用户了解此角色分配授予用户的访问级别。 当用户分配服务访问权时,在控制台中也会显示此描述。
-
选择要为其创建角色的服务。
-
查看可用的操作,然后选择添加您希望在新角色中使用的所有操作。
您必须添加至少一个服务定义的操作,才能成功创建新角色。 如果不确定服务定义了哪些操作,请查看类型列。
-
完成添加操作后,单击“创建”。
如果服务除去了您在定制角色中使用的操作,那么不会更新该定制角色,如果该角色仅包含已除去的操作,那么该角色可能不再有效。
如果您计划删除定制角色,因为不再需要该定制角色,那么必须为您分配 Administrator
角色。 删除定制角色会自动更新为任何用户,访问组或服务标识分配的访问权,方法是使用该角色将其从任何现有策略中除去。
使用 CLI 创建定制角色
运行以下命令以创建 IBM Cloud Metrics Routing 服务的授权。
ibmcloud iam role-create ROLE_NAME --display-name DISPLAY_NAME --service-name metrics-router [-a, --actions ROLE_ACTION1 [ROLE_ACTION2...]] [-d, --description DESCRIPTION] [--output FORMAT] [-q --quiet]
位置
- ---display-nameDISPLAY_NAME
- 控制台中显示的角色的显示名称。
- ---service-nameSERVICE_NAME
- 服务的名称。
- -a, --actions ROLE_ACTION1,ROLE_ACTION2...
- 角色的操作。 有关更多信息,请参阅 IAM 操作。
- --d,--description
- 角色的描述。
有关可用于此命令的所有参数的更多信息,请参阅 ibmcloud iam authorization-policy-create。
例如,要创建演示 custome 角色,可以运行以下命令:
创建角色以执行任何 Cloudant 数据库操作:
ibmcloud iam role-create demo --display-name "Demo custom role" --service-name metrics-router --actions metrics-router.target.create,metrics-router.target.list
使用 Terraform 创建定制角色
在使用 Terraform 创建定制角色之前,请确保已完成以下操作:
- 安装 Terraform CLI 并为 Terraform 配置 IBM Cloud 提供程序插件。 有关更多信息,请参阅 Terraform on IBM Cloud®入门 教程。 该插件对用于完成此任务的 IBM Cloud API 进行抽象。
- 创建一个名为
main.tf
. 在此文件中,您使用 HashiCorp 配置语言来定义资源。 有关更多信息,请参阅 Terraform 文档。
使用以下步骤创建自定义角色:
-
在
main.tf
文件中创建自变量。 以下示例通过使用ibm_iam_custom_role
资源创建定制角色,其中name
是用于标识定制角色的唯一名称。 您必须至少添加一个服务定义的action
才能成功创建新角色。resource "ibm_iam_custom_role" "customrole" { name = "Role1" display_name = "Role1" description = "This is a custom role" service = "metrics-router" actions = ["metrics-router.target.list"] }
您可以在
service
选项上指定要为其创建定制角色的服务的名称。 有关更多信息,请参阅 Terraform Identity and Access Management(IAM) 页面上的参数参考详细信息。 -
完成构建配置文件后,初始化 Terraform CLI。 有关更多信息,请参阅 初始化工作目录。
terraform init
-
从
main.tf
文件供应资源。 有关更多信息,请参阅 供应具有 Terraform 的基础结构。-
运行
terraform plan
以生成 Terraform 执行计划来预览建议的操作。terraform plan
-
运行
terraform apply
以创建计划中定义的资源。terraform apply
-