Gestión del acceso de IAM para Secrets Manager
El acceso a las instancias de servicio de IBM Cloud® Secrets Manager para los usuarios de su cuenta está controlado por IBM Cloud Identity and Access Management (IAM). A cada usuario que accede al servicio de Secrets Manager en su cuenta se le debe asignar una política de acceso con un rol de IAM. La política determina qué acciones puede realizar un usuario dentro del contexto de Secrets Manager.
Las políticas de acceso IAM permiten otorgar acceso a distintos niveles. Algunas de las opciones incluyen las siguientes acciones:
- Acceso a todas las instancias de servicio de Secrets Manager en su cuenta
- Acceso a una instancia individual de Secrets Manager en su cuenta
- Acceso a un recurso específico dentro de una instancia Secrets Manager, el tipo aplicable es
secret-group
Roles y acciones de IAM para Secrets Manager
Revise los siguientes roles de plataforma y servicio que puede utilizar para asignar acceso a instancias de servicio de Secrets Manager. Cada rol se correlaciona con acciones específicas de Secrets Manager que un usuario puede completar dentro de una cuenta o una instancia individual.
Si un rol específico y sus acciones no se ajustan al caso práctico que desea abordar, puede crear un rol personalizado y seleccionar las acciones que desea incluir.
Rol | Descripción |
---|---|
Visor | Como visor, puede ver las instancias de servicio de Secrets Manager, pero no puede modificarlas. |
Operador | Como operador, puede completar las acciones de plataforma que son necesarias para configurar y operar instancias de servicio de Secrets Manager, como la posibilidad de ver un panel de control de Secrets Manager. |
Editor | Como editor, puede crear, modificar y suprimir instancias de servicio de Secrets Manager, pero no puede asignar políticas de acceso a otros usuarios. |
Administrador | Como administrador, puede completar todas las acciones de plataforma para Secrets Manager, incluida la posibilidad de asignar políticas de acceso a otros usuarios. |
Rol | Descripción |
---|---|
Lector | Como lector, puede completar acciones de sólo lectura dentro de una instancia de servicio de Secrets Manager, como la posibilidad de ver secretos y grupos de secretos. Los lectores solo pueden acceder a los metadatos que tiene asociados un secreto. |
SecretsReader | Como lector de secretos, puede realizar acciones de solo lectura y también puede acceder a los datos secretos asociados con un secreto. Un lector de secretos no puede crear secretos ni modificar el valor de un secreto existente. |
Writer | Como escritor, tiene permisos superiores a los del rol de lector de secretos, incluyendo la capacidad de crear y editar secretos. Los grabadores no pueden crear grupos de secretos ni configurar motores de secretos. |
Gestor | Como administrador, tienes permisos más allá del rol de escritor para completar acciones privilegiadas, como la capacidad de administrar grupos secretos, y configurar motores secretos. |
SecretTaskUpdater | Como actualizador de tareas secretas, puede actualizar una tarea secreta. Los actualizadores de tareas secretas no pueden realizar ninguna otra operación. |
Acción | Descripción | Roles |
---|---|---|
secrets-manager.dashboard.view |
Vea el panel de control de Secrets Manager. | Operador, Editor, Administrador |
secrets-manager.secret-group.create |
Crear grupos de secretos. | Gestor |
secrets-manager.secret-group.update |
Actualizar un grupo de secretos. | Gestor |
secrets-manager.secret-group.delete |
Suprimir un grupo de secretos. | Gestor |
secrets-manager.secret-group.read |
Ver los detalles de un grupo de secretos. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-groups.list |
Obtener una lista de los grupos de secretos de la instancia. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret.create |
Cree un secreto. | Escritor, Gestor |
secrets-manager.secret.read |
Obtener el valor de un secreto. | Lector de secretos, Escritor, Gestor |
secrets-manager.secret.delete |
Suprimir un secreto. | Gestor |
secrets-manager.secrets.list |
Obtener una lista de los secretos de la instancia. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-locks.create |
Crear bloqueos de secretos. | Escritor, Gestor |
secrets-manager.secret-locks.delete |
Suprima bloqueos de secretos. | Gestor |
secrets-manager.secrets-locks.list |
Listar bloqueos de secretos. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-version-locks.create |
Cree bloqueos de versión de secreto. | Gestor, Escritor |
secrets-manager.secret-version-locks.list |
Listar bloqueos de versión de secreto. | Gestor, Lector, Escritor, SecretsReader |
secrets-manager.secret-version-locks.delete |
Suprima bloqueos de versión de secreto. | Gestor |
secrets-manager.secret-metadata.update |
Actualizar los metadatos de un secreto. | Escritor, Gestor |
secrets-manager.secret-metadata.read |
Ver los metadatos de un secreto. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-action.create |
Cree una acción de secreto. | Gestor, Escritor |
secrets-manager.secret-version.create |
Cree una nueva versión de secreto. | Gestor, Escritor |
secrets-manager.secret-version.read |
Vea los detalles de una versión de secreto. | Gestor, Escritor, SecretsReader |
secrets-manager.secret-version-metadata.read |
Vea los metadatos de una versión de secreto. | Gestor, Lector, Escritor, SecretsReader |
secrets-manager.secret-version-action.create |
Cree una acción de versión de secreto. | Gestor, Escritor |
secrets-manager.configuration.create |
Cree una configuración nueva. | Gestor |
secrets-manager.configuration-action.create |
Crear una nueva acción de configuración. | Gestor |
secrets-manager.configurations.list |
Listar configuraciones. | Gestor, Lector, Escritor |
secrets-manager.configuration.read |
Vea los detalles de una configuración. | Gestor |
secrets-manager.configuration.update |
Actualizar una configuración. | Gestor |
secrets-manager.configuration.delete |
Suprimir una configuración. | Gestor |
secrets-manager.secret-versions.list |
Listar las versiones de secretos. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.endpoints.view |
Obtener puntos finales de instancia de servicio. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.notifications-registration.create |
Crear un registro con Event Notifications. | Gestor |
secrets-manager.notifications-registration.read |
Obtener detalles de registro de Event Notifications. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.notifications-registration.delete |
Suprimir un registro de Event Notifications. | Gestor |
secrets-manager.notifications-registration.test |
Enviar un suceso de prueba. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-tasks.list |
Lista de tareas secretas. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-task.read |
Consigue una tarea secreta. | Lector, Lector de secretos, Escritor, Gestor |
secrets-manager.secret-task.update |
Actualizar la tarea de un secreto. | SecretTaskUpdater |
secrets-manager.secret-task.delete |
Borrar una tarea secreta. | Gestor |
Asignación de acceso a Secrets Manager
Puede utilizar la consola de IBM Cloud, la CLI o las API para asignar distintos niveles de acceso a los recursos de Secrets Manager en su cuenta. Puede asignar acceso a nivel de instancia, o puede limitar el acceso a un grupo de secretos que contenga uno o más secretos. Para obtener más información, consulte Asignación de acceso a Secrets Manager.