Secrets Manager에 대한 IAM 액세스 권한 관리

계정의 사용자에 대한 IBM Cloud® Secrets Manager 서비스 인스턴스에 대한 액세스는 IBM Cloud IAM(Identity and Access Management)으로 제어됩니다. 계정의 Secrets Manager 서비스에 액세스하는 모든 사용자에게 IAM 역할이 있는 액세스 정책이 지정되어야 합니다. 정책에 따라 Secrets Manager의 컨텍스트에서 수행할 수 있는 조치가 결정됩니다.

IAM 액세스 정책을 사용하면 서로 다른 레벨에서 액세스 권한을 부여할 수 있습니다. 일부 옵션에는 다음 조치가 포함됩니다.

사용자 계정의 모든 Secrets Manager 서비스 인스턴스에 대한 액세스
계정의 개별 Secrets Manager 인스턴스에 대한 액세스
Secrets Manager 인스턴스 내의 특정 리소스에 대한 액세스, 해당 유형은 secret-group 입니다

Secrets Manager에 대한 IAM 역할 및 조치

Secrets Manager 서비스 인스턴스에 대한 액세스를 지정하는 데 사용할 수 있는 다음 플랫폼 및 서비스 역할을 검토하십시오. 각 역할은 사용자가 계정 또는 개별 인스턴스에서 완료할 수 있는 특정 Secrets Manager 조치에 맵핑됩니다.

특정 역할 및 해당 조치가 처리하려는 유스 케이스에 맞지 않는 경우 사용자 정의 역할을 작성하고 포함할 조치를 선택할 수 있습니다.

플랫폼 역할 - Secrets Manager
탭 단추를 사용하여 표의 컨텍스트를 변경하십시오. 이 표에는 행과 열 헤더가 있습니다. 행 헤더에서는 플랫폼 역할 이름을 제공하고 열 헤더에서는 각 역할에 사용 가능한 특정 정보를 식별합니다.
역할	설명
뷰어	뷰어는 Secrets Manager 서비스 인스턴스를 볼 수 있지만 수정할 수는 없습니다.
운영자	운영자는 Secrets Manager 서비스 인스턴스를 구성하고 운영하는 데 필요한 플랫폼 조치(예: Secrets Manager 대시보드를 보는 기능)를 완료할 수 있습니다.
편집자	편집자는 Secrets Manager 서비스 인스턴스를 작성, 수정 및 삭제할 수 있지만 다른 사용자에게 액세스 정책을 지정할 수는 없습니다.
관리자	관리자는 다른 사용자에게 액세스 정책을 지정하는 기능을 포함하여 Secrets Manager의 모든 플랫폼 조치를 완료할 수 있습니다.

서비스 역할 - Secrets Manager
탭 단추를 사용하여 표의 컨텍스트를 변경하십시오. 이 표에는 행과 열 헤더가 있습니다. 행 헤더에서는 서비스 역할 이름을 제공하고 열 헤더에서는 역할마다 사용 가능한 특정 정보를 식별합니다.
역할	설명
독자	독자는 Secrets Manager 서비스 인스턴스에서 읽기 전용 조치(예: 시크릿과 시크릿 그룹을 보는 기능)를 완료할 수 있습니다. 독자는 시크릿과 연관된 메타데이터에만 액세스할 수 있습니다.
SecretsReader	시크릿 독자는 읽기 전용 조치를 완료할 수 있으며 시크릿과 연관된 시크릿 데이터에 액세스할 수도 있습니다. 시크릿 리더는 시크릿을 작성하거나 기존 시크릿의 값을 수정할 수 없습니다.
작성자	작성자는 시크릿을 작성하고 편집하는 것을 포함하여 시크릿 독자 역할 이상의 권한을 갖습니다. 작성자는 시크릿 그룹을 작성하거나 시크릿 엔진을 구성할 수 없습니다.
관리자	관리자는 작성자 역할 이상의 권한이 있어 비밀 그룹을 관리하고 비밀 엔진을 구성하는 등의 권한 있는 작업을 수행할 수 있습니다.
SecretTaskUpdater	비밀 작업 업데이터로 비밀 작업을 업데이트할 수 있습니다. 비밀 작업 업데이터는 다른 작업을 수행할 수 없습니다.

탭 단추를 사용하여 표의 컨텍스트를 변경하십시오. 이 표에서는 서비스에 대해 사용 가능한 조치, 각 설명 및 각 조치가 맵핑되는 역할을 제공합니다.
조치	설명	역할
`secrets-manager.dashboard.view`	Secrets Manager 대시보드를 보십시오.	운영자, 편집자, 관리자
`secrets-manager.secret-group.create`	시크릿 그룹을 작성합니다.	관리자
`secrets-manager.secret-group.update`	시크릿 그룹을 업데이트합니다.	관리자
`secrets-manager.secret-group.delete`	시크릿 그룹을 삭제합니다.	관리자
`secrets-manager.secret-group.read`	시크릿 그룹의 세부사항을 봅니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-groups.list`	인스턴스의 시크릿 그룹을 나열합니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret.create`	시크릿을 작성합니다.	작성자, 관리자
`secrets-manager.secret.read`	시크릿의 값을 가져옵니다.	SecretsReader, 작성자, 관리자
`secrets-manager.secret.delete`	시크릿을 삭제합니다.	관리자
`secrets-manager.secrets.list`	인스턴스의 시크릿을 나열합니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-locks.create`	시크릿 잠금을 작성합니다.	작성자, 관리자
`secrets-manager.secret-locks.delete`	시크릿 잠금을 삭제합니다.	관리자
`secrets-manager.secrets-locks.list`	시크릿 잠금을 나열합니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-version-locks.create`	시크릿 버전 잠금을 작성합니다.	관리자, 작성자
`secrets-manager.secret-version-locks.list`	시크릿 버전 잠금을 나열합니다.	관리자, 리더, 작성자, SecretsReader
`secrets-manager.secret-version-locks.delete`	시크릿 버전 잠금을 삭제합니다.	관리자
`secrets-manager.secret-metadata.update`	시크릿의 메타데이터를 업데이트합니다.	작성자, 관리자
`secrets-manager.secret-metadata.read`	시크릿의 메타데이터를 봅니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-action.create`	시크릿 조치를 작성합니다.	관리자, 작성자
`secrets-manager.secret-version.create`	새 보안 버전을 작성합니다.	관리자, 작성자
`secrets-manager.secret-version.read`	시크릿 버전의 세부사항을 봅니다.	관리자, 작성자, SecretsReader
`secrets-manager.secret-version-metadata.read`	시크릿 버전의 메타데이터를 봅니다.	관리자, 리더, 작성자, SecretsReader
`secrets-manager.secret-version-action.create`	시크릿 버전 조치를 작성합니다.	관리자, 작성자
`secrets-manager.configuration.create`	새 구성을 작성합니다.	관리자
`secrets-manager.configuration-action.create`	새 구성 작업을 만듭니다.	관리자
`secrets-manager.configurations.list`	구성을 나열합니다.	관리자, 독자, 작성자
`secrets-manager.configuration.read`	구성의 세부사항을 봅니다.	관리자
`secrets-manager.configuration.update`	구성을 업데이트합니다.	관리자
`secrets-manager.configuration.delete`	구성을 삭제합니다.	관리자
`secrets-manager.secret-versions.list`	시크릿 버전을 나열합니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.endpoints.view`	서비스 인스턴스 엔드포인트를 가져옵니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.notifications-registration.create`	Event Notifications로 등록을 작성합니다.	관리자
`secrets-manager.notifications-registration.read`	Event Notifications 등록 세부사항을 가져옵니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.notifications-registration.delete`	Event Notifications 등록을 삭제합니다.	관리자
`secrets-manager.notifications-registration.test`	테스트 이벤트 전송	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-tasks.list`	비밀 작업을 나열합니다.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-task.read`	비밀의 과제를 받으세요.	독자, SecretsReader, 작성자, 관리자
`secrets-manager.secret-task.update`	비밀의 작업을 업데이트합니다.	SecretTaskUpdater
`secrets-manager.secret-task.delete`	비밀의 작업을 삭제합니다.	관리자

Secrets Manager에 대한 액세스 권한 지정

IBM Cloud 콘솔, CLI 또는 API를 사용하여 계정의 Secrets Manager 리소스에 다른 액세스 레벨을 지정할 수 있습니다. 인스턴스 레벨에서 액세스를 지정하거나 하나 이상의 시크릿을 포함하는 시크릿 그룹에 대한 액세스 권한을 제한할 수 있습니다. 자세한 정보는 Secrets Manager에 대한 액세스 지정을 참조하십시오.