IAM-Zugriff für Secrets Manager verwalten
Der Zugriff auf IBM Cloud® Secrets Manager-Serviceinstanzen für Benutzer in Ihrem Konto wird durch IBM Cloud Identity and Access Management (IAM) gesteuert. Jedem Benutzer, der auf den Secrets Manager-Service in Ihrem Konto zugreift, muss eine Zugriffsrichtlinie mit einer IAM-Rolle zugewiesen werden. Die Richtlinie legt fest, welche Aktionen ein Benutzer im Kontext von Secrets Manager ausführen kann.
IAM-Zugriffsrichtlinien ermöglichen es, den Zugriff auf verschiedenen Ebenen zu erteilen. Mögliche Optionen umfassen die folgenden Aktionen:
- Zugriff auf alle Secrets Manager-Serviceinstanzen in Ihrem Konto
- Zugriff auf eine einzelne Secrets Manager-Instanz in Ihrem Konto
- Zugriff auf eine bestimmte Ressource innerhalb einer Secrets Manager-Instanz, anwendbarer Typ ist
secret-group
IAM-Rollen und -Aktionen für Secrets Manager
Überprüfen Sie die folgenden Plattform- und Servicerollen, die Sie verwenden können, um Zugriff auf Serviceinstanzen von Secrets Manager zuzuweisen. Jeder Rolle sind bestimmte Secrets Manager-Aktionen zugeordnet, die ein Benutzer innerhalb des Kontos oder in einer einzelnen Instanz ausführen kann.
Wenn eine bestimmte Rolle und die zugehörigen Aktionen nicht für den Anwendungsfall geeignet sind, den Sie bearbeiten möchten, können Sie eine angepasste Rolle erstellen und die Aktionen auswählen, die einbezogen werden sollen.
Rolle | Beschreibung |
---|---|
Anzeigeberechtigter | Als Anzeigeberechtigter können Sie Serviceinstanzen von Secrets Manager anzeigen, aber Sie können sie nicht ändern. |
Operator | Als Operator können Sie Plattformaktionen ausführen, die für die Konfiguration und den Betrieb der Serviceinstanzen von Secrets Manager erforderlich sind. Dazu gehört zum Beispiel die Möglichkeit zur Anzeige eines Secrets Manager-Dashboards. |
Bearbeiter | Als Editor können Sie Serviceinstanzen von Secrets Manager erstellen, ändern und löschen, aber Sie können anderen Benutzern keine Zugriffsrichtlinie zuweisen. |
Administrator | Als Administrator können Sie alle Plattformaktionen für Secrets Manager ausführen. Dazu gehört auch die Möglichkeit, anderen Benutzern Zugriffsrichtlinien zuzuweisen. |
Rolle | Beschreibung |
---|---|
Leseberechtigter | Als Leseberechtigter können Sie schreibgeschützte Aktionen innerhalb einer Serviceinstanz von Secrets Manager ausführen. Dazu gehört zum Beispiel die Möglichkeit, geheime Schlüssel und Gruppen geheimer Schlüssel anzuzeigen. Leseberechtigte können lediglich auf die Metadaten zugreifen, die einem geheimen Schlüssel zugeordnet sind. |
SecretsReader | Als Leser geheimer Schlüssel können Sie schreibgeschützte Aktionen ausführen. Sie können ferner auf die geheimen Daten zugreifen, die einem geheimen Schlüssel zugeordnet sind. Ein Leseberechtigter für geheime Schlüssel kann weder geheime Schlüssel erstellen noch den Wert eines vorhandenen geheimen Schlüssels ändern. |
Schreibberechtigter | Als Schreibberechtigter besitzen Sie Berechtigungen, die über diejenigen der Rolle 'Leseberechtigter für geheime Schlüssel' hinausgehen; dies schließt die Fähigkeit zum Erstellen und Bearbeiten von geheimen Schlüsseln ein. Autoren können keine Gruppen geheimer Schlüssel erstellen oder Engines für geheime Schlüssel konfigurieren. |
Manager | Als Manager haben Sie über die Writer-Rolle hinausgehende Berechtigungen, um privilegierte Aktionen durchzuführen, z. B. die Möglichkeit, geheime Gruppen zu verwalten und Secrets-Engines zu konfigurieren. |
SecretTaskUpdater | Als Aktualisierer einer geheimen Aufgabe können Sie eine geheime Aufgabe aktualisieren. Geheime Task-Aktualisierer können keine anderen Operationen durchführen. |
Aktion | Beschreibung | Rollen |
---|---|---|
secrets-manager.dashboard.view |
Zeigen Sie das Secrets Manager-Dashboard an. | Bediener, Redakteur, Administrator |
secrets-manager.secret-group.create |
Gruppen geheimer Schlüssel erstellen. | Manager |
secrets-manager.secret-group.update |
Gruppe mit geheimen Schlüsseln aktualisieren. | Manager |
secrets-manager.secret-group.delete |
Gruppe für geheime Schlüssel löschen. | Manager |
secrets-manager.secret-group.read |
Details einer Gruppe von geheimen Schlüsseln anzeigen. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-groups.list |
Gruppen von geheimen Schlüsseln in Ihrer Instanz auflisten. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret.create |
Geheimen Schlüssel erstellen. | Writer, Manager |
secrets-manager.secret.read |
Wert eines geheimen Schlüssel abrufen. | Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret.delete |
Geheimen Schlüssel löschen. | Manager |
secrets-manager.secrets.list |
Geheime Schlüssel in Ihrer Instanz auflisten. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-locks.create |
Erstellen Sie Sperren für geheime Schlüssel. | Writer, Manager |
secrets-manager.secret-locks.delete |
Löschen Sie Sperren des geheimen Schlüssels. | Manager |
secrets-manager.secrets-locks.list |
Sperren für den geheimen Schlüssel auflisten. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-version-locks.create |
Erstellen Sie Sperren für die Version eines geheimen Schlüssels. | Manager, Schreibberechtigter |
secrets-manager.secret-version-locks.list |
Sperren für Versionen der geheimen Schlüssel auflisten. | Manager, Leser, Schriftsteller, SecretsReader |
secrets-manager.secret-version-locks.delete |
Löschen Sie Sperren der Version eines geheimen Schlüssels. | Manager |
secrets-manager.secret-metadata.update |
Metadaten eines geheimen Schlüssels aktualisieren. | Writer, Manager |
secrets-manager.secret-metadata.read |
Metadaten eines geheimen Schlüssels anzeigen. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-action.create |
Erstellen Sie eine Aktion für einen geheimen Schlüssel. | Manager, Schreibberechtigter |
secrets-manager.secret-version.create |
Erstellt eine neue Version des geheimen Schlüssels. | Manager, Schreibberechtigter |
secrets-manager.secret-version.read |
Zeigen Sie die Details einer Version eines geheimen Schlüssels an. | Managerin, Autorin, SecretsReader |
secrets-manager.secret-version-metadata.read |
Zeigen Sie die Metadaten einer Version des geheimen Schlüssels an. | Manager, Leser, Schriftsteller, SecretsReader |
secrets-manager.secret-version-action.create |
Erstellen Sie eine Aktion für eine Version des geheimen Schlüssels. | Manager, Schreibberechtigter |
secrets-manager.configuration.create |
Erstellen Sie eine neue Konfiguration. | Manager |
secrets-manager.configuration-action.create |
Erstellen Sie eine neue Konfigurationsaktion. | Manager |
secrets-manager.configurations.list |
Listet Konfigurationen auf. | Manager, Leseberechtigter, Schreibberechtigter |
secrets-manager.configuration.read |
Zeigen Sie die Details einer Konfiguration an. | Manager |
secrets-manager.configuration.update |
Aktualisiert eine Konfiguration. | Manager |
secrets-manager.configuration.delete |
Konfiguration löschen. | Manager |
secrets-manager.secret-versions.list |
Versionen geheimer Schlüssel auflisten. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.endpoints.view |
Endpunkte der Serviceinstanz abrufen. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.notifications-registration.create |
Eine Registrierung mit Event Notifications erstellen. | Manager |
secrets-manager.notifications-registration.read |
Registrierungsdetails von Event Notifications abrufen. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.notifications-registration.delete |
Eine Event Notifications-Registrierung löschen. | Manager |
secrets-manager.notifications-registration.test |
Testereignis senden | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-tasks.list |
Liste geheimer Aufgaben. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-task.read |
Erhalten Sie eine geheime Aufgabe. | Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager |
secrets-manager.secret-task.update |
Aktualisieren Sie die Aufgabe eines Geheimnisses. | SecretTaskUpdater |
secrets-manager.secret-task.delete |
Löschen Sie die Aufgabe eines Geheimnisses. | Manager |
Zugriff auf Secrets Manager zuweisen
Sie können die IBM Cloud-Konsole, die Befehlszeilenschnittstelle oder APIs verwenden, um verschiedene Ebenen des Zugriffs auf Secrets Manager-Ressourcen in Ihrem Account zuzuweisen. Sie können den Zugriff auf Instanzebene zuweisen oder den Zugriff auf eine Gruppe geheimer Schlüssel eingrenzen, die mindestens einen geheimen Schlüssel enthält. Weitere Informationen finden Sie unter Zugriff auf Secrets Manager zuweisen.