Secrets Manager へのアクセス権限の割り当て
IBM Cloud の IAM アクセス・ポリシーを作成および変更すると、IBM Cloud アカウントの IBM Cloud® Secrets Manager リソースへのさまざまなレベルでアクセス権限を有効にできます。
アカウント所有者は、社内のアクセス制御要件に基づいて、ユーザー、サービス ID、アクセス・グループのアクセス・ポリシー・タイプを決定します。 例えば、 Secrets Manager へのユーザーアクセスを最小限のスコープで許可したい場合、インスタンス内の シークレットグループにアクセス権を割り当てることができます。
シークレットへのアクセス権限を割り当てるための推奨ガイドラインについて詳しくは、シークレットの編成とアクセス権限割り当てのベスト・プラクティスを参照してください。
開始前に
始めに、必ず管理者 プラットフォーム・アクセス権限が付与されていて、他のユーザーのロール割り当てやアクセス・ポリシーのカスタマイズができる状態であるようにしてください。
Secrets Manager インスタンスへのアクセス権限割り当て
Secrets Manager インスタンスおよびそれに含まれているシークレットまたはシークレット・グループにアクセス権限を割り当てるには、IBM Cloud コンソールの 「アクセス権限 (IAM)」 セクションを使用します。
-
アクセス権限を付与したいユーザーおよびサービス ID にアクセス・グループを作成して、これらのユーザーをそのアクセス・グループに追加します。
例えば、同じレベルのアクセス権限を必要とするセキュリティー管理者のグループがある場合があります。
-
グループを作成してユーザーを追加したら、**「管理」 > 「アクセス権限 (IAM)」 > 「アクセス・グループ」**に移動します。
-
表の行を選択し、**「アクション」**メニュー
をクリックして、そのアクセス・グループのオプションのリストを開きます。
-
「アクセス権限の割り当て」 をクリックします。
-
サービスのリストから Secrets Manager を選択し、 「次へ」 をクリックします。
-
「リソース」セクションで、 「特定のリソース」 を選択します。 リージョンと Secrets Manager サービス・インスタンスを選択します。 そして、「次へ (Next)」 をクリックします。
特定のインスタンスを指定しないことにした場合は、選択したリージョン内のすべてのサービス・インスタンスに対するアクセス権限が割り当てられます。 リージョンを選択しないことにした場合は、アカウント内のすべてのサービス・インスタンスに対するアクセス権限が付与されます。
-
アクセス・グループにアクセス権限を割り当てるには、「プラットフォーム・ロールおよびサービス・アクセス・ロール」の組み合わせを選択します。
-
選択した内容を確認し 、「追加」 をクリックします。
-
割り当て をクリックします。
これで、ユーザーおよびサービス ID をアクセス・グループに追加できました。単一のアクセス・ポリシーを使用して、Secrets Manager にアクセス権限を割り当てることができます。 詳細については、アクセス・グループのセットアップを参照してください。
シークレット・グループに対するアクセス権限の割り当て
秘密グループインスタンス内に含まれているシークレットが準拠する必要のある環境と制約。 ユーザーをシークレット・グループに関連付けることで、アクセス権限とコラボレーションを有効にできます。 を作成して管理することで、インスタンス内の秘密へのアクセス範囲をさらに絞り込むことができます。
1つは、サービスインスタンスを表示できるようにするための Viewer プラットフォームの役割 で、もう1つは、サービスUIまたはIAM UIのいずれかを使用して、必要なアクセスグループへのアクセスをさらにスコープするためのアクセスポリシーです。
サービスインスタンスへのビューアアクセスの割り当て
- コンソールで、**「管理」 > 「アクセス権限 (IAM)」 > 「アクセス・グループ」**に移動します。
- 管理するアクセス・グループの行で、**「アクション」**メニュー
**>「アクセス権限の割り当て」**をクリックします。
- 「アクセス権限の割り当て」 をクリックします。
- サービスのリストから Secrets Manager を選択し、 「次へ」 をクリックします。
- 「リソース」セクションで、 「特定のリソース」 を選択します。
- **「インスタンス ID」**フィールドで、Secrets Manager インスタンスを選択します。
- 次へ をクリックします。
- 選択内容を確認して、 「追加」 をクリックします。
- 割り当て をクリックします。
サービス UI でのシークレット・グループに対するアクセス権限の割り当て
インスタンスにシークレット・グループを作成すると、Secrets Manager UI の シークレット・グループセクションを使用して、そのアクセス権限を管理できます。
- コンソールで**「メニュー」**アイコン
**>「リソース・リスト」**をクリックして、リソースのリストを表示します。
- Secrets Manager のインスタンスを選択します。
- ナビゲーションで**「シークレット・グループ」**をクリックします。
- **「シークレット・グループ」**テーブルを使用して、インスタンスのグループを参照します。
- 管理するグループの行で、**「アクション」**メニュー
**>「アクセス権限の管理」**をクリックします。
- 含まれるユーザーとサービス ID にシークレット・グループへのアクセス権限を付与するアクセス・グループを選択します。
- 割り当てるアクセス・ロールの組み合わせを選択してください。
- **「レビュー」**をクリックします。
- 選択を確認して、**「割り当てる」**をクリックします。
コンソールでのシークレット・グループに対するアクセス権限の割り当て
IBM Cloud コンソールの**「アクセス権限 (IAM)」** セクションを使用して、シークレット・グループのアクセス権限を管理することもできます。
IBM Cloud コンソールにアクセス権限を割り当てるには、管理したいシークレット・グループの ID が必ず必要です。 シークレット・グループの ID は、Secrets Manager サービス・インスタンスの シークレット・グループテーブルからコピーできます。
- コンソールで、**「管理」 > 「アクセス権限 (IAM)」 > 「アクセス・グループ」**に移動します。
- 管理するアクセス・グループの行で、**「アクション」**メニュー
**>「アクセス権限の割り当て」**をクリックします。
- 「アクセス権限の割り当て」 をクリックします。
- サービスのリストから Secrets Manager を選択し、 「次へ」 をクリックします。
- 「リソース」セクションで、 「特定のリソース」 を選択します。
- **「インスタンス ID」**フィールドで、Secrets Manager インスタンスを選択します。 **「条件の追加」**をクリックします。
- リソースタイプフィールドに、
secret-group
と入力します。 **「条件の追加」**をクリックします。 - **「リソース」**フィールドに、Secrets Manager サービスによってシークレット・グループに割り当てられた ID を入力します。
- 次へ をクリックします。
- 割り当てるアクセス・ロールの組み合わせを選択してください。
- 選択内容を確認して、 「追加」 をクリックします。
- 割り当て をクリックします。