IBM Cloud Docs
IAM-Zugriff für Secrets Manager verwalten

IAM-Zugriff für Secrets Manager verwalten

Der Zugriff auf IBM Cloud® Secrets Manager-Serviceinstanzen für Benutzer in Ihrem Konto wird durch IBM Cloud Identity and Access Management (IAM) gesteuert. Jedem Benutzer, der auf den Secrets Manager-Service in Ihrem Konto zugreift, muss eine Zugriffsrichtlinie mit einer IAM-Rolle zugewiesen werden. Die Richtlinie legt fest, welche Aktionen ein Benutzer im Kontext von Secrets Manager ausführen kann.

IAM-Zugriffsrichtlinien ermöglichen es, den Zugriff auf verschiedenen Ebenen zu erteilen. Mögliche Optionen umfassen die folgenden Aktionen:

  • Zugriff auf alle Secrets Manager-Serviceinstanzen in Ihrem Konto
  • Zugriff auf eine einzelne Secrets Manager-Instanz in Ihrem Konto
  • Zugriff auf eine bestimmte Ressource innerhalb einer Secrets Manager-Instanz, anwendbarer Typ ist secret-group

IAM-Rollen und -Aktionen für Secrets Manager

Überprüfen Sie die folgenden Plattform- und Servicerollen, die Sie verwenden können, um Zugriff auf Serviceinstanzen von Secrets Manager zuzuweisen. Jeder Rolle sind bestimmte Secrets Manager-Aktionen zugeordnet, die ein Benutzer innerhalb des Kontos oder in einer einzelnen Instanz ausführen kann.

Wenn eine bestimmte Rolle und die zugehörigen Aktionen nicht für den Anwendungsfall geeignet sind, den Sie bearbeiten möchten, können Sie eine angepasste Rolle erstellen und die Aktionen auswählen, die einbezogen werden sollen.

Plattformrollen- Secrets Manager
Verwenden Sie die Schaltflächen auf der Registerkarte, um den Kontext der Tabelle zu ändern. Diese Tabelle enthält Zeilen- und Spaltenüberschriften. Die Zeilenüberschriften geben den Namen der Plattformrolle an und die Spaltenüberschriften enthalten spezifische Informationen, die zu jeder Rolle zur Verfügung stehen.
Rolle Beschreibung
Anzeigeberechtigter Als Anzeigeberechtigter können Sie Serviceinstanzen von Secrets Manager anzeigen, aber Sie können sie nicht ändern.
Operator Als Operator können Sie Plattformaktionen ausführen, die für die Konfiguration und den Betrieb der Serviceinstanzen von Secrets Manager erforderlich sind. Dazu gehört zum Beispiel die Möglichkeit zur Anzeige eines Secrets Manager-Dashboards.
Bearbeiter Als Editor können Sie Serviceinstanzen von Secrets Manager erstellen, ändern und löschen, aber Sie können anderen Benutzern keine Zugriffsrichtlinie zuweisen.
Administrator Als Administrator können Sie alle Plattformaktionen für Secrets Manager ausführen. Dazu gehört auch die Möglichkeit, anderen Benutzern Zugriffsrichtlinien zuzuweisen.
Servicerollen- Secrets Manager
Verwenden Sie die Schaltflächen auf der Registerkarte, um den Kontext der Tabelle zu ändern. Diese Tabelle enthält Zeilen- und Spaltenüberschriften. Die Zeilenüberschriften geben den Namen der Servicerolle an und die Spaltenüberschriften enthalten spezifische Informationen, die zu jeder Rolle zur Verfügung stehen.
Rolle Beschreibung
Leseberechtigter Als Leseberechtigter können Sie schreibgeschützte Aktionen innerhalb einer Serviceinstanz von Secrets Manager ausführen. Dazu gehört zum Beispiel die Möglichkeit, geheime Schlüssel und Gruppen geheimer Schlüssel anzuzeigen. Leseberechtigte können lediglich auf die Metadaten zugreifen, die einem geheimen Schlüssel zugeordnet sind.
SecretsReader Als Leser geheimer Schlüssel können Sie schreibgeschützte Aktionen ausführen. Sie können ferner auf die geheimen Daten zugreifen, die einem geheimen Schlüssel zugeordnet sind. Ein Leseberechtigter für geheime Schlüssel kann weder geheime Schlüssel erstellen noch den Wert eines vorhandenen geheimen Schlüssels ändern.
Schreibberechtigter Als Schreibberechtigter besitzen Sie Berechtigungen, die über diejenigen der Rolle 'Leseberechtigter für geheime Schlüssel' hinausgehen; dies schließt die Fähigkeit zum Erstellen und Bearbeiten von geheimen Schlüsseln ein. Autoren können keine Gruppen geheimer Schlüssel erstellen oder Engines für geheime Schlüssel konfigurieren.
Manager Als Manager haben Sie über die Writer-Rolle hinausgehende Berechtigungen, um privilegierte Aktionen durchzuführen, z. B. die Möglichkeit, geheime Gruppen zu verwalten und Secrets-Engines zu konfigurieren.
SecretTaskUpdater Als Aktualisierer einer geheimen Aufgabe können Sie eine geheime Aufgabe aktualisieren. Geheime Task-Aktualisierer können keine anderen Operationen durchführen.
Serviceaktionen- Secrets Manager
Verwenden Sie die Schaltflächen auf der Registerkarte, um den Kontext der Tabelle zu ändern. Diese Tabelle enthält die verfügbaren Aktionen für den Service, die Beschreibungen der einzelnen Services und die Rollen, denen jede Aktion zugeordnet ist.
Aktion Beschreibung Rollen
secrets-manager.dashboard.view Zeigen Sie das Secrets Manager-Dashboard an. Bediener, Redakteur, Administrator
secrets-manager.secret-group.create Gruppen geheimer Schlüssel erstellen. Manager
secrets-manager.secret-group.update Gruppe mit geheimen Schlüsseln aktualisieren. Manager
secrets-manager.secret-group.delete Gruppe für geheime Schlüssel löschen. Manager
secrets-manager.secret-group.read Details einer Gruppe von geheimen Schlüsseln anzeigen. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-groups.list Gruppen von geheimen Schlüsseln in Ihrer Instanz auflisten. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret.create Geheimen Schlüssel erstellen. Writer, Manager
secrets-manager.secret.read Wert eines geheimen Schlüssel abrufen. Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret.delete Geheimen Schlüssel löschen. Manager
secrets-manager.secrets.list Geheime Schlüssel in Ihrer Instanz auflisten. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-locks.create Erstellen Sie Sperren für geheime Schlüssel. Writer, Manager
secrets-manager.secret-locks.delete Löschen Sie Sperren des geheimen Schlüssels. Manager
secrets-manager.secrets-locks.list Sperren für den geheimen Schlüssel auflisten. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-version-locks.create Erstellen Sie Sperren für die Version eines geheimen Schlüssels. Manager, Schreibberechtigter
secrets-manager.secret-version-locks.list Sperren für Versionen der geheimen Schlüssel auflisten. Manager, Leser, Schriftsteller, SecretsReader
secrets-manager.secret-version-locks.delete Löschen Sie Sperren der Version eines geheimen Schlüssels. Manager
secrets-manager.secret-metadata.update Metadaten eines geheimen Schlüssels aktualisieren. Writer, Manager
secrets-manager.secret-metadata.read Metadaten eines geheimen Schlüssels anzeigen. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-action.create Erstellen Sie eine Aktion für einen geheimen Schlüssel. Manager, Schreibberechtigter
secrets-manager.secret-version.create Erstellt eine neue Version des geheimen Schlüssels. Manager, Schreibberechtigter
secrets-manager.secret-version.read Zeigen Sie die Details einer Version eines geheimen Schlüssels an. Managerin, Autorin, SecretsReader
secrets-manager.secret-version-metadata.read Zeigen Sie die Metadaten einer Version des geheimen Schlüssels an. Manager, Leser, Schriftsteller, SecretsReader
secrets-manager.secret-version-action.create Erstellen Sie eine Aktion für eine Version des geheimen Schlüssels. Manager, Schreibberechtigter
secrets-manager.configuration.create Erstellen Sie eine neue Konfiguration. Manager
secrets-manager.configuration-action.create Erstellen Sie eine neue Konfigurationsaktion. Manager
secrets-manager.configurations.list Listet Konfigurationen auf. Manager, Leseberechtigter, Schreibberechtigter
secrets-manager.configuration.read Zeigen Sie die Details einer Konfiguration an. Manager
secrets-manager.configuration.update Aktualisiert eine Konfiguration. Manager
secrets-manager.configuration.delete Konfiguration löschen. Manager
secrets-manager.secret-versions.list Versionen geheimer Schlüssel auflisten. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.endpoints.view Endpunkte der Serviceinstanz abrufen. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.notifications-registration.create Eine Registrierung mit Event Notifications erstellen. Manager
secrets-manager.notifications-registration.read Registrierungsdetails von Event Notifications abrufen. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.notifications-registration.delete Eine Event Notifications-Registrierung löschen. Manager
secrets-manager.notifications-registration.test Testereignis senden Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-tasks.list Liste geheimer Aufgaben. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-task.read Erhalten Sie eine geheime Aufgabe. Leseberechtigter, Leser geheimer Schlüssel, Schreibberechtigter, Manager
secrets-manager.secret-task.update Aktualisieren Sie die Aufgabe eines Geheimnisses. SecretTaskUpdater
secrets-manager.secret-task.delete Löschen Sie die Aufgabe eines Geheimnisses. Manager

Zugriff auf Secrets Manager zuweisen

Sie können die IBM Cloud-Konsole, die Befehlszeilenschnittstelle oder APIs verwenden, um verschiedene Ebenen des Zugriffs auf Secrets Manager-Ressourcen in Ihrem Account zuzuweisen. Sie können den Zugriff auf Instanzebene zuweisen oder den Zugriff auf eine Gruppe geheimer Schlüssel eingrenzen, die mindestens einen geheimen Schlüssel enthält. Weitere Informationen finden Sie unter Zugriff auf Secrets Manager zuweisen.