IBM Cloud Docs
授予使用 Monitoring 服务的许可权

授予使用 Monitoring 服务的许可权

IBM Cloud® Identity and Access Management(IAM)可让您安全地验证用户身份,并持续控制对 IBM Cloud 中所有云资源的访问。

完成以下步骤,以向用户或服务标识授予使用 IBM Cloud Monitoring 服务的许可权:

先决条件

您的用户标识需要管理员平台许可权才能管理 IBM Cloud Monitoring 服务。 账户所有者可授予用户访问账户的权限,以便管理用户访问权限和账户资源。 了解更多。

步骤 1. 创建访问组

要创建访问组,请完成以下步骤:

  1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Access Groups
  2. 单击创建
  3. 输入组的名称和可选描述,然后单击创建

可以通过选择除去组选项来删除组。 从帐户中除去组时,将除去该组中的所有用户和服务标识以及分配给该组的所有访问权。

要使用 CLI 创建访问组,可以使用 ibmcloud iam access-group-create 命令。

ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]

步骤 2. 添加许可权以在可观察性 UI 中查看 Monitoring 实例

设置组后,可以为该组分配公共访问策略。 必须添加许可权才能在可观察性 UI 中查看 Monitoring 实例,才能在 IBM Cloud中管理实例。

为访问组设置的任何策略均适用于该组中的所有实体、用户和服务标识。

如果拥有创建策略和授权的 IAM 权限,则只能授予作为目标服务用户的访问权限级别。 例如,如果您拥有目标服务的查看器访问权限,则只能为授权分配查看器角色。 如果尝试分配更高级别的权限(如管理员),可能会出现权限已授予的情况,但只会分配目标服务的最高级别权限(即查看器)。

您可以使用 UI 或通过命令行来分配策略。

定义策略时,需要选择平台角色。 平台管理角色涵盖一系列操作,包括创建和删除实例,管理别名、绑定和凭证,以及管理访问权的能力。 有效的平台角色包括管理员、编辑器、操作员和查看器。

通过 CLI 添加许可权

要使用 CLI 创建访问组策略,可以使用 ibmcloud iam access-group-policy-create 命令。

ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}

其中有效的 rolesAdministratorEditorOperatorViewer

例如,可以运行以下命令来授予用户查看者许可权:

ibmcloud iam access-group-policy-create my-access-group --roles Viewer --service-name my-monitoring-instance --service-instance 99999999-9999-9999-999999

通过 UI 添加许可权

要通过 UI 为访问组分配策略,请完成以下步骤:

  1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Access Groups

  2. 选择要为其分配访问权的组的名称。

  3. 单击 访问策略 > 分配访问权限 > 分配资源访问权限

  4. 选择 IAM 服务

  5. 在 *要分配哪种类型的访问权?*部分中,选择 IBM Cloud Monitoring

  6. 在 *要为哪些服务分配访问权?*部分中,选择下列其中一个选项:

    选择 所有服务 以定义要包含所有实例的策略作用域。

    选择 基于属性的服务 以优化策略的作用域。 从以下选项中选择一个:

    选项 1: 作用域设置为资源组。 选择 资源组 以选择 1 资源组,并定义策略作用域以包含与该资源组相关联的所有实例。

    选项 2: 作用域设置为资源组中的 1 实例。 选择 资源组 以选择资源组。 然后选择 服务实例 以选择资源组中的实例。

    选项 3: 作用域设置为 1 实例。 选择 服务实例 以选择实例。

    请勿在 Sysdig 团队 部分中指定值。

  7. 选择平台角色。

    选择 管理员 以授予服务的管理许可权。

    选择 查看器 以授予在 可观察性 UI 中查看实例的许可权。

    了解有关所需角色的更多信息

  8. 单击分配

步骤 3. 添加许可权以在 Monitoring 服务中使用数据

接下来,必须添加用于授予用户许可权以使用 Monitoring 服务中的数据的策略。

定义策略时,需要选择服务角色。 服务访问角色定义了用户或服务在服务实例上执行操作的能力。 服务访问角色有管理者、写入者和读取者。

通过 CLI 添加许可权

要使用 CLI 创建访问组策略,可以使用 ibmcloud iam access-group-policy-create 命令。

ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}

其中有效的 rolesReaderWriterManager

例如,可以运行以下命令来授予用户读者许可权:

ibmcloud iam access-group-policy-create my-access-group --roles Reader --service-name my-monitoring-instance --service-instance 99999999-9999-9999-999999

通过 UI 添加许可权

要通过 UI 为访问组分配策略,请完成以下步骤:

  1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Access Groups

  2. 选择要为其分配访问权的组的名称。

  3. 单击 访问策略 > 分配访问权限 > 分配资源访问权限

  4. 选择 IAM 服务

  5. 在 *要分配哪种类型的访问权?*部分中,选择 IBM Cloud Monitoring

  6. 在 *要为哪些服务分配访问权?*部分中,选择下列其中一个选项:

    选择 所有服务 以定义要包含所有实例的策略作用域。

    选择 基于属性的服务 以优化策略的作用域。 从以下选项中选择一个:

    选项 1: 作用域设置为资源组。 选择 资源组 以选择 1 资源组,并定义策略作用域以包含与该资源组相关联的所有实例。

    选项 2: 作用域设置为资源组中的 1 实例。 选择 资源组 以选择资源组。 然后选择 服务实例 以选择资源组中的实例。

    选项 3: 作用域设置为 1 实例。 选择 服务实例 以选择实例。

    请勿在 Sysdig 团队 部分中指定值。

  7. 选择服务角色。

    选择 manager 以授予服务的管理许可权。

    选择 阅读器 以授予仅查看数据的许可权。

    了解有关所需角色的更多信息

  8. 单击分配

步骤 4. 在访问组中添加用户或服务 ID

您可以将用户或服务标识添加到现有组。

将用户添加到访问组

要添加用户,请完成以下步骤:

  1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Access Groups
  2. 选择要为其分配访问权的组的名称。
  3. 单击用户选项卡上的添加用户
  4. 从列表中选择要添加的用户,然后单击添加到组

将服务标识添加到访问组

要添加服务标识,请完成以下步骤:

  1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Access Groups
  2. 选择要为其分配访问权的组的名称。
  3. 单击服务标识选项卡,然后单击添加服务标识
  4. 从列表中选择要添加的标识,然后单击添加到组