プロジェクトへのアクセス権限の割り当て
プロジェクトは IBM Cloud® Identity and Access Management (IAM)によって管理されます。 プロジェクトの管理者は、プロジェクトの表示と編集、変更の承認、および構成リソースのデプロイまたは破棄を行うためのアクセス権限をユーザーに付与できます。 プロジェクトには、ユーザーが構成を検証およびデプロイするために、他の IBM Cloud サービスとの許可も必要です。
ユーザーにプロジェクトへのアクセス権を割り当てることは、アカウントにプロジェクトを展開する権限を与えることとは異なります。 プロジェクトのデプロイを承認するには、 IBM Cloud Secrets Manager の 信頼できるプロファイル または API キーのいずれかを使用できます。
IBM Cloud プロジェクト・サービスのアクションおよび役割
以下の表に、ユーザーが IBM Cloud プロジェクト・サービスで特定の役割を割り当てられたときに実行できるアクションを示します。 以下の情報を確認し、ユーザーに適切なレベルのアクセス権を割り当てていることを確認してください。
| ロール | 定義 | プロジェクトのアクセス権 |
|---|---|---|
| ビューアー | ビューアーは、プロジェクト内で読み取り専用アクションを実行できます。 | プロジェクトの表示 ( project.jsonを含む)
グローバル検索を使用したプロジェクトの検索 |
| オペレーター | オペレーターは、ビューアーと同じアクションを実行できますが、ビューアーの役割を超える権限 (プロジェクト・デプロイメントの計画など) があります。 | すべてのビューアー・プロジェクトのアクセス権
構成の検証 構成の編集 |
| エディター | 編集者は、オペレーターと同じアクションを実行できます。その際、プロジェクトの作成やリソースのデプロイなど、オペレーター役割以外の追加の権限を使用できます。 | すべてのビューアーおよびオペレーターのプロジェクト・アクセス権
プロジェクトの作成 プロジェクトの編集 プロジェクト設定の編集 プロジェクトの削除 構成の作成 ドラフト構成の破棄 構成変更の承認 構成変更のデプロイ リソースの破棄 環境の作成 環境の編集 環境の削除 |
| 管理者 | 管理者は、編集者と同じアクションを実行できます。編集者の役割以外にも、プロジェクト状況の更新や新規または変更されたプロジェクト・デプロイメントの計画など、より多くのアクセス権を持つことができます。 | すべてのビューアー、オペレーター、およびエディターのプロジェクト権限
検証に失敗した変更の強制承認 |
IBM Cloud プロジェクト・サービスに対するアクセス権限に加えて、アカウント内のプロジェクト・ツール・リソースに対する以下の IAM 特権が割り当てられている必要があります。
- プロジェクトのリソース・グループに対するビューアー役割。これにより、プロジェクトのリソース・グループを選択してツール・サービスをデプロイすることができます。
コンソールでのアクセス権限の割り当て
IBM Cloud プロジェクト・サービスへのアクセス権限を割り当てるには、以下の手順を実行します。
- IBM Cloud コンソールで、 [管理] > [アクセス(IAM) ]をクリックし、 [アクセスグループ] を選択します。
- アクセス権限を割り当てるアクセス・グループを選択し、 「アクセス権限」 > 「アクセス権限の割り当て」 に移動します。
- サービスについては、 IBM Cloud プロジェクトを選択します。 そして、「次へ (Next)」 をクリックします。
- アクセス権限のスコープを 「すべてのリソース」 または 「特定のリソース」 に設定します。 そして、「次へ (Next)」 をクリックします。
- ロールまたは権限の任意の組み合わせを選択し 、「次へ」 をクリックします。
- オプションで、ポリシーに条件を追加します。 次に、 「レビュー」 をクリックします。
- 追加をクリックして、アクセス・サマリーにポリシー構成を追加します。
- 割り当て をクリックします。
ベスト・プラクティスは、ユーザーに 1 つずつアクセス権限を割り当てるのではなく、 アクセス・グループにアクセス権限を割り当ててから 、アクセス・グループにユーザーを追加することです。 ただし、 「管理」 > 「アクセス (IAM)」 > 「ユーザー」 に移動し、アクセス権限を割り当てるユーザーを選択することで、単一ユーザーにアクセス権限を割り当てることができます。 詳細については 、「アクセスグループの設定」 を参照してください。
プロジェクト・サービスと他の IBM Cloud サービスとの間のアクセス権限の付与
プロジェクトが構成を検証またはデプロイする前に、Projectsサービスが他のIBM Cloudサービスと通信できるように、アカウントで認証されている必要があります。 以下の表は、必要な承認を列挙したものです。 この権限が必要なのは 1 回のみです。
IAM 管理者またはそれらのサービスに必要な役割を持つユーザーは、アカウントにプロジェクトを作成することによって許可を自動的に付与することも、 手動でサービス許可を作成する こともできます。
| ロール | ソース | ターゲット | ソース・アカウント |
|---|---|---|---|
| マネージャーおよび管理者 | IBM Cloud プロジェクト・サービス | Schematics サービス | 当該アカウント |
| ビューアー | IBM Cloud プロジェクト・サービス | リソース・グループのみ
アカウント内のすべてのリソース・グループ |
当該アカウント |
| ビューアー | IBM Cloud プロジェクト・サービス | カタログ管理サービス | 当該アカウント |
| ビューアーおよび SecretsReader | IBM Cloud プロジェクト・サービス | Secrets Manager サービス | 当該アカウント |