通过 IAM 控制访问权
IBM Cloud® Identity and Access Management IAM(身份和访问管理)可帮助您安全地验证用户身份,并始终如一地控制对 中所有云资源的访问。IBM Cloud 可以通过在帐户中 IBM Cloud Monitoring 服务上定义的策略来授予许可权。
必须为账户中的用户分配一个平台角色,以便其管理实例并从 IBM Cloud 启动监控用户界面。 此外,用户必须具有服务角色,该角色定义了使用 IBM Cloud Monitoring 的权限。
该政策决定了用户在所选服务或实例中可以执行的操作。 这些操作是定制的,并定义了允许在服务上执行的操作。 然后,这些操作将映射到 IAM 用户角色。
策略允许在不同级别授予访问权。 部分选项包括:
- 对帐户中所有启用 IAM 的服务的访问权
- 对帐户中单个区域中所有服务实例的访问权
- 对帐户中单个服务实例的访问权
- 对资源组上下文中所有服务实例的访问权
- 对资源组上下文中单个区域中所有服务实例的访问权
- 对资源组上下文中所有启用 IAM 的服务的访问权
角色定义用户或服务标识可以运行的操作。 IBM Cloud 中有不同类型的角色:
- 平台管理角色使用户能够在平台级别执行服务资源任务,例如分配服务用户访问权限、创建或删除服务ID、创建实例、将服务策略分配给其他用户以及将实例绑定到应用程序。
- 服务访问角色允许用户在调用服务的API或在监控用户界面中执行操作时,被分配不同级别的权限。
要将一组用户和服务标识组织成单个实体,以便轻松管理 IAM 许可权,请使用访问组。 您可以为整个组分配一个策略,而不是为每个用户或服务ID多次分配相同的访问权限。
如果拥有创建策略和授权的 IAM 权限,则只能授予作为目标服务用户的访问权限级别。 例如,如果您拥有目标服务的查看权限,则只能为授权分配查看者角色。 如果尝试分配更高级别的权限(如管理员),可能会出现权限已授予的情况,但只会分配目标服务的最高级别权限(即查看器)。
使用访问组管理访问权
要管理访问组,您必须是账户内所有启用身份识别和访问权限服务的账户所有者、管理员或编辑,或者IAM访问组服务的指定管理员或编辑。
使用以下操作来管理 IBM Cloud中的 IAM 访问组:
通过将策略直接分配给用户来管理访问权
要使用 IAM 策略管理访问权限或为用户分配新的访问权限,您必须是账户所有者、账户内所有服务的管理员或特定服务或服务实例的管理员。
使用以下操作来管理 IBM Cloud中的 IAM 策略:
IBM Cloud 平台角色
必须向用户授予平台角色,以允许他们查看和管理帐户中的 IBM Cloud Monitoring 服务。 您可以授予许可权以使用 IBM Cloud 帐户中的所有实例,也可以限制对个别实例的访问权。
折叠表标识可在 IBM Cloud 中授予用户以运行指定平台操作的平台角色:
| 平台操作 | 管理员 | 编辑者 | 运算符 | 查看者 |
|---|---|---|---|---|
Grant other account members access to work with the service |
 |
|||
Provision a service instance |
|
|
||
Delete a service instance |
|
|
||
Create a service ID |
|
|
||
View details of a service instance |
|
|
|
|
View service instances in the Observability Monitoring dashboard |
|
|
|
|
具有 管理员 角色的用户自动具有服务 管理者 角色许可权。
IBM Cloud 服务角色
下表标识了您可以在 IBM Cloud 中授予用户以运行指定操作的服务角色:
| 操作 | 描述 | 管理者 | 写入者 | 读者 | 管理员 |
|---|---|---|---|---|---|
sysdig-monitor.launch.admin |
运行特权任务。 | |
|
||
sysdig-monitor.launch.viewer |
在服务中执行只读操作。 | |
|
||
sysdig-monitor.secure.manager [*] |
运行特权任务。 | |
|
||
sysdig-monitor.secure.user [*] |
在服务中执行只读操作。 | |
|
||
sysdig-monitor.secure.viewer [*] |
在服务中执行只读操作。 | |
|||
sysdig-monitor.agent-installation.read |
代理程序安装访问权。 | |
|
|
|
sysdig-monitor.agent.cli.agent-network-calls-to-remote-pods |
对 CLI 的网络调用的访问权。 | |
|
|
|
sysdig-monitor.agent.cli.agent-status |
从 CLI 访问代理程序状态。 | |
|
|
|
sysdig-monitor.agent.cli.view |
用于查看 CLI 的访问权。 | |
|
|
|
sysdig-monitor.agent.cli.view-configuration |
可从 CLI 查看配置。 | |
|
|
|
sysdig-monitor.alert-events.edit |
编辑警报事件。 | |
|
|
|
sysdig-monitor.alert-events.read |
查看警报事件。 | |
|
|
|
sysdig-monitor.alert.edit |
编辑警报。 | |
|
|
|
sysdig-monitor.alerts.read |
查看警报。 | |
|
|
|
sysdig-monitor.api-token.edit |
编辑 API 令牌。 | |
|
|
|
sysdig-monitor.api-token.read |
查看 API 令牌。 | |
|
|
|
sysdig-monitor.captures.edit |
编辑捕获。 | |
|
|
|
sysdig-monitor.captures.read |
查看捕获。 | |
|
|
|
sysdig-monitor.custom-events.edit |
编辑定制事件。 | |
|
|
|
sysdig-monitor.custom-events.read |
查看定制事件。 | |
|
|
|
sysdig-monitor.dashboard-metrics-data.read |
读取仪表板度量值。 | |
|
|
|
sysdig-monitor.dashboard.edit |
编辑仪表板。 | |
|
|
|
sysdig-monitor.dashboards.read |
查看仪表板。 | |
|
|
|
sysdig-monitor.datastream.read |
查看数据流。 | |
|
|
|
sysdig-monitor.downtimes.read |
查看停机时间。 | |
|
|
|
sysdig-monitor.events-forwarder.read |
查看事件转发。 | |
|
|
|
sysdig-monitor.explore.edit |
修改“探索”视图。 | |
|
||
sysdig-monitor.explore.read |
使用“探索”视图。 | |
|
|
|
sysdig-monitor.file-storage-config.read |
查看文件存储器配置。 | |
|
|
|
sysdig-monitor.global.notification-channels.read |
查看全局通知通道。 | |
|
|
|
sysdig-monitor.groupings.edit |
编辑组 | |
|
|
|
sysdig-monitor.groupings.read |
查看组 | |
|
|
|
sysdig-monitor.helmsrenderer.read |
访问 Helm 呈现器。 | |
|
|
|
sysdig-monitor.infrastructure.read |
访问基础架构。 | |
|
|
|
sysdig-monitor.integrations.read |
访问集成。 | |
|
|
|
sysdig-monitor.manual-integrations.edit |
编辑手动集成。 | |
|
|
|
sysdig-monitor.memberships.edit |
编辑成员资格。 | |
|||
sysdig-monitor.metrics-data.read |
查看度量数据。 | |
|
|
|
sysdig-monitor.metrics-descriptors.read |
查看度量描述符。 | |
|
|
|
sysdig-monitor.notification-channels.edit |
编辑通知通道。 | |
|
||
sysdig-monitor.notification-channels.view |
查看通知通道。 | |
|
|
|
sysdig-monitor.overviews.read |
查看概述。 | |
|
|
|
sysdig-monitor.promcat.integration.edit |
编辑 PromCat 集成。 | |
|
|
|
sysdig-monitor.promcat.integrations.read |
查看 PromCat 集成。 | |
|
|
|
sysdig-monitor.promcat.integrations.validates |
测试是否正确配置了 PromCat 集成。 | |
|
|
|
sysdig-monitor.promql-metadata.read |
查看 PromQL 元数据。 | |
|
|
|
sysdig-monitor.providers.read |
查看提供者。 | |
|
|
|
sysdig-monitor.spotlight.read |
查看焦点。 | |
|
|
|
sysdig-monitor.sysdig-storage.read |
查看服务存储器使用情况。 | |
|
|
|
sysdig-monitor.team.sharing.groupings.toggle |
配置团队共享。 | |
|
||
sysdig-monitor.teams.manage |
配置团队。 | |
|
||
sysdig-monitor.teams.read |
查看团队配置。 | |
|||
sysdig-monitor.token.view |
查看令牌。 | |
|
|
|
sysdig-monitor.user.read |
查看用户。 | |
|||
sysdig-monitor.system-role.admin |
配置系统角色。 | |
|
||
sysdig-monitor.platform-metric.publish [**] |
[*]-当 IBM Cloud Monitoring 连接到 IBM Cloud Security and Compliance Center Workload Protection 实例时,将使用此服务角色。 还必须为 IBM Cloud Security and Compliance Center Workload Protection定义此角色。 有关 IBM Cloud Security and Compliance Center Workload
Protection 函数的更多信息,请参阅 IBM Cloud Security and Compliance Center Workload Protection 文档。
[**]-此服务角色仅供内部使用,不会在环境中使用。
必须至少分配 sysdig-monitor.launch.viewer 操作才能访问实例。 如果未分配,那么将返回错误。
Supertenant Metrics Publisher 的其他角色是您将在 IAM 中看到的角色。 此角色仅供内部使用,不会在您的环境中使用。
我如何知道为我设置了哪些访问策略?
您可以在 IBM Cloud UI 控制台中查看为您设置的访问策略。
- 转至 访问 IAM 用户。
- 单击用户表中您的名称。
- 单击访问策略选项卡以查看您的访问策略。
- 单击 访问组 选项卡以查看您所属的访问组。 检查每个组的策略。