IAM によるアクセス権限の制御
IBM Cloud® Identity and Access Management (IAM) は、ユーザー認証を安全に行い、一貫した方法で IBM Cloud のすべてのクラウド・リソースに対するアクセスを制御することを可能にします。 権限の付与は、アカウントで IBM Cloud Monitoring サービスに定義したポリシーを介して行います。
アカウント内のユーザーには、インスタンスの管理、IBM Cloud からのモニタリング UI の起動を行えるように、プラットフォーム役割を割り当てる必要があります。 さらに、 IBM Cloud Monitoring での作業権限を定義するサービスロールをユーザーが持っている必要があります。
ポリシーでは、選択したサービスまたはインスタンスのコンテキストでユーザーが実行できるアクションを指定します。 アクションは、サービスに対して実行できる操作を指定してカスタマイズおよび定義されます。 その後、操作は IAM ユーザー役割にマップされます。
ポリシー により、さまざまなレベルでアクセス権限を付与できます。 以下に選択肢をいくつか示します。
- アカウント内のすべての IAM 対応サービスに対するアクセス権限
- アカウント内の単一リージョン内のサービスのすべてのインスタンスに対するアクセス権限
- アカウント内の個別のサービス・インスタンスに対するアクセス権限
- リソース・グループのコンテキスト内のサービスのすべてのインスタンスに対するアクセス権限
- リソース・グループのコンテキスト内の単一のリージョンのサービスのすべてのインスタンスに対するアクセス権限
- リソース・グループのコンテキスト内のすべての IAM 対応サービスに対するアクセス権限
役割 によって、ユーザーまたは serviceID が実行できるアクションが定義されます。 IBM Cloud には、以下のようなさまざまなタイプの役割があります。
- プラットフォーム管理役割 は、プラットフォーム・レベルでサービス・リソースに対するタスクを実行することをユーザーに許可します。例えば、サービスに対するアクセス権限をユーザーに割り当てる、サービス ID を作成/削除する、インスタンスを作成する、サービスに対するポリシーを他のユーザーに割り当てる、アプリケーションにインスタンスをバインドする、などのタスクがあります。
- サービスのアクセス役割 では、サービスの API を呼び出したりモニタリング UI でアクションを実行したりするための多様なレベルの権限をユーザーに割り当てることができます。
IAM 許可を管理しやすくするために一連のユーザーおよびサービス ID を単一のエンティティーとして編成するには、アクセス・グループ を使用してください。 個々のユーザーやサービス ID に同じアクセス権限を何度も割り当てるのではなく、グループに単一のポリシーを割り当てることができます。
ポリシーと権限を作成するIAM権限を持っている場合、対象サービスのユーザーとして持っているレベルのアクセスのみを付与することができます。 例えば、対象サービスにビューアーアクセス権がある場合、ビューアーの役割のみを権限に割り当てることができます。 Administratorなどの上位の権限を割り当てようとすると、権限が付与されているように見えるかもしれませんが、対象のサービスに対して持っている最上位の権限(ビューア)しか割り当てられません。
アクセス・グループを使用してアクセス権限の管理
アクセス・グループを管理するためには、アカウント所有者であるか、アカウント内のすべての Identity and Access Management 対応サービスの管理者またはエディターであるか、または、IAM アクセス・グループ・サービスの管理者またはエディターを割り当てられている必要があります。
IBM Cloud で IAM アクセス・グループを管理するには、以下のアクションを使用します。
- アクセス・グループを作成します。
- アクセス権をグループに割り当てます。
ユーザーにポリシーを直接割り当ててアクセス権を管理する
IAM ポリシーを使用して、アクセス権限の管理またはユーザーへの新規アクセス権限の割り当てを行うには、アカウント所有者であるか、アカウント内のすべてのサービスの管理者であるか、または、特定のサービスまたはサービス・インスタンスの管理者である必要があります。
IBM Cloud で IAM ポリシーを管理するには、以下のアクションを使用します。
- ユーザーに許可を付与するには、アクセス権限の割り当てを参照してください。
- 権限を取り消すには、アクセス権限の削除を参照してください。
- ユーザーの許可を検討するには、割り当てられたアクセス権限の検討を参照してください。
IBM Cloud プラットフォームの役割
アカウントの IBM Cloud Monitoring サービスの表示および管理をユーザーに許可するには、ユーザーにプラットフォーム役割を付与する必要があります。 IBM Cloud アカウントのすべてのインスタンスを使用する権限を付与することも、アクセス権限を個々のインスタンスに制限することもできます。
以下の表で、特定のプラットフォーム・アクションを実行するために IBM Cloud のユーザーに付与できるプラットフォーム役割を確認してください。
| プラットフォーム・アクション | 管理者 | エディター | オペレーター | ビューアー |
|---|---|---|---|---|
Grant other account members access to work with the service |
 |
|||
Provision a service instance |
|
|
||
Delete a service instance |
|
|
||
Create a service ID |
|
|
||
View details of a service instance |
|
|
|
|
View service instances in the Observability Monitoring dashboard |
|
|
|
|
管理者役割を持つユーザーには、サービス役割のマネージャーの権限が自動的に付与されます。
IBM Cloud サービス役割
以下の表で、特定のアクションを実行するために IBM Cloud のユーザーに付与できるサービス役割を確認してください。
| アクション | 説明 | マネージャー | ライター | リーダー | 管理者 |
|---|---|---|---|---|---|
sysdig-monitor.launch.admin |
実行特権タスク。 | |
|
||
sysdig-monitor.launch.viewer |
サービス内で読み取り専用アクションを実行します。 | |
|
||
sysdig-monitor.secure.manager [*] |
実行特権タスク。 | |
|
||
sysdig-monitor.secure.user [*] |
サービス内で読み取り専用アクションを実行します。 | |
|
||
sysdig-monitor.secure.viewer [*] |
サービス内で読み取り専用アクションを実行します。 | |
|||
sysdig-monitor.agent-installation.read |
エージェント・インストール・アクセス。 | |
|
|
|
sysdig-monitor.agent.cli.agent-network-calls-to-remote-pods |
CLI のネットワーク呼び出しへのアクセス。 | |
|
|
|
sysdig-monitor.agent.cli.agent-status |
CLI からエージェント状況にアクセスします。 | |
|
|
|
sysdig-monitor.agent.cli.view |
CLI を表示するためのアクセス権限。 | |
|
|
|
sysdig-monitor.agent.cli.view-configuration |
CLI から構成を表示するためのアクセス権限。 | |
|
|
|
sysdig-monitor.alert-events.edit |
アラート・イベントを編集します。 | |
|
|
|
sysdig-monitor.alert-events.read |
アラート・イベントを表示します。 | |
|
|
|
sysdig-monitor.alert.edit |
アラートを編集します。 | |
|
|
|
sysdig-monitor.alerts.read |
アラートを表示します。 | |
|
|
|
sysdig-monitor.api-token.edit |
API トークンを編集します。 | |
|
|
|
sysdig-monitor.api-token.read |
API トークンを表示します。 | |
|
|
|
sysdig-monitor.captures.edit |
キャプチャーを編集します。 | |
|
|
|
sysdig-monitor.captures.read |
キャプチャーを表示します。 | |
|
|
|
sysdig-monitor.custom-events.edit |
カスタム・イベントを編集します。 | |
|
|
|
sysdig-monitor.custom-events.read |
カスタム・イベントを表示します。 | |
|
|
|
sysdig-monitor.dashboard-metrics-data.read |
ダッシュボード・メトリックを読み取ります。 | |
|
|
|
sysdig-monitor.dashboard.edit |
ダッシュボードを編集します。 | |
|
|
|
sysdig-monitor.dashboards.read |
ダッシュボードを表示します。 | |
|
|
|
sysdig-monitor.datastream.read |
データ・ストリームを表示します。 | |
|
|
|
sysdig-monitor.downtimes.read |
ダウン時間を表示します。 | |
|
|
|
sysdig-monitor.events-forwarder.read |
イベント転送を表示します。 | |
|
|
|
sysdig-monitor.explore.edit |
探索ビューを変更します。 | |
|
||
sysdig-monitor.explore.read |
「探索」ビューを使用します。 | |
|
|
|
sysdig-monitor.file-storage-config.read |
ファイル・ストレージ構成を表示します。 | |
|
|
|
sysdig-monitor.global.notification-channels.read |
グローバル通知チャネルを表示します。 | |
|
|
|
sysdig-monitor.groupings.edit |
グループの編集 | |
|
|
|
sysdig-monitor.groupings.read |
グループの表示 | |
|
|
|
sysdig-monitor.helmsrenderer.read |
Helm レンダラーにアクセスします。 | |
|
|
|
sysdig-monitor.infrastructure.read |
インフラストラクチャーにアクセスします。 | |
|
|
|
sysdig-monitor.integrations.read |
統合にアクセスします。 | |
|
|
|
sysdig-monitor.manual-integrations.edit |
手動統合を編集します。 | |
|
|
|
sysdig-monitor.memberships.edit |
メンバーシップを編集します。 | |
|||
sysdig-monitor.metrics-data.read |
メトリック・データを表示します。 | |
|
|
|
sysdig-monitor.metrics-descriptors.read |
メトリック記述子を表示します。 | |
|
|
|
sysdig-monitor.notification-channels.edit |
通知チャネルを編集します。 | |
|
||
sysdig-monitor.notification-channels.view |
通知チャネルを表示します。 | |
|
|
|
sysdig-monitor.overviews.read |
概要を表示します。 | |
|
|
|
sysdig-monitor.promcat.integration.edit |
PromCat 統合を編集します。 | |
|
|
|
sysdig-monitor.promcat.integrations.read |
PromCat 統合を表示します。 | |
|
|
|
sysdig-monitor.promcat.integrations.validates |
PromCat 統合が適切に構成されているかどうかをテストします。 | |
|
|
|
sysdig-monitor.promql-metadata.read |
PromQL メタデータを表示します。 | |
|
|
|
sysdig-monitor.providers.read |
プロバイダーを表示します。 | |
|
|
|
sysdig-monitor.spotlight.read |
Spotlight を表示します。 | |
|
|
|
sysdig-monitor.sysdig-storage.read |
サービス・ストレージ使用量を表示します。 | |
|
|
|
sysdig-monitor.team.sharing.groupings.toggle |
チーム共有を構成します。 | |
|
||
sysdig-monitor.teams.manage |
チームを構成します。 | |
|
||
sysdig-monitor.teams.read |
チーム構成を表示します。 | |
|||
sysdig-monitor.token.view |
トークンを表示します。 | |
|
|
|
sysdig-monitor.user.read |
ユーザーを表示します。 | |
|||
sysdig-monitor.system-role.admin |
システム役割を構成します。 | |
|
||
sysdig-monitor.platform-metric.publish [**] |
[*]-このサービス役割は、 IBM Cloud Monitoring が IBM Cloud Security and Compliance Center Workload Protection インスタンスに接続されている場合に使用されます。 この役割は、 IBM Cloud Security and Compliance Center Workload Protectionにも定義する必要があります。 IBM Cloud Security and
Compliance Center Workload Protection 関数について詳しくは、 IBM Cloud Security and Compliance Center Workload Protection の資料を参照してください。
[**]-このサービス役割は内部使用専用であり、ご使用の環境では使用されません。
インスタンスにアクセスするには、少なくとも sysdig-monitor.launch.viewer アクションを割り当てる必要があります。 割り当てられていない場合は、エラーが戻されます。
Supertenant Metrics Publisher の追加の役割は、IAM で表示される役割です。 この役割は内部使用専用であり、ご使用の環境では使用されません。
自分に設定されているアクセス・ポリシーはどうすればわかりますか?
IBM Cloud UIコンソールで、ご自身に設定されているアクセスポリシーを確認できます。
- 「IAM ユーザーへのアクセス」に移動します。
- ユーザーのテーブルで自分の名前をクリックします。
- **「アクセス・ポリシー」**タブをクリックすると、自分のアクセス・ポリシーが表示されます。
- **「アクセス・グループ」**タブをクリックすると、自分がメンバーであるアクセス・グループが表示されます。 各グループのポリシーを確認してください。