管理 VCF as a Service 的 IAM 访问权
您账户中用户对 IBM Cloud® for VMware Cloud Foundation as a Service 实例的访问由 IBM Cloud Identity and Access Management (IAM) 控制。 在您的账户中访问 VMware Cloud Foundation (VCF) as a Service 的每个用户都必须分配一个具有 IAM 角色的访问策略。 查看以下角色,操作和更多信息,以帮助确定分配对 VCF as a Service的访问权的最佳方法。
您在帐户中为用户分配的访问策略确定用户可以在所选服务或特定实例的上下文中完成的操作。 允许的操作由 VCF as a Service 定制并定义为允许在服务上进行的操作。 每个操作都映射到可以分配给用户的 IAM 平台或服务角色。
如果特定角色及其操作不符合您要处理的用例,那么可以 创建定制角色 并选取要包含的操作。
IAM 访问策略可在不同级别授予访问权限。 其中一些选项包括以下访问权:
- 对帐户中所有服务实例的访问权
- 对帐户中单个服务实例的访问权
- 对实例中特定资源的访问权
查看以下各表,其中概述了在使用 VCF as a Service时每个角色允许的任务类型。 平台管理角色支持用户在平台级别对服务资源完成任务。 例如,为服务分配用户访问权限,创建、删除或扩展实例,以及将实例与应用程序绑定。 服务访问角色使用户能够访问 VCF as a Service。 有关映射到每个角色的确切操作的更多信息,请参阅 IAM 角色和操作。
| 平台角色 | 操作描述 |
|---|---|
| 查看者 | 按 Broadcom 实例、集群、主机、存储、服务、虚拟数据中心和仪表板查看 VMware®。 |
| 运算符 | 查看或更新 VMware by Broadcom 实例,添加和删除主机、存储和集群,安装 VMware by Broadcom 服务。 |
| 编辑者 | 除所有操作员权限外,还可创建和删除 VMware by Broadcom 实例。 |
| 管理员 | 除所有操作员权限外,重置 VMware by Broadcom 实例的管理员凭证。 |
| 服务角色 | 操作描述 |
|---|---|
| 读者 | 按 Broadcom 和 Usage Meter 实例、虚拟数据中心和仪表板查看 VMware。 |
| 写入者 | 查看 VMware by Broadcom 和 Usage Meter 实例,还可添加和删除虚拟数据中心的服务。 |
| 管理者 | 除所有 Writer 权限外,还可创建和删除虚拟数据中心,并重置 VMware by Broadcom 实例的管理凭据。 |
| VCFaaS 主任 完整查看器 | VMware Cloud Director™ 中每个组件的所有视图访问权限。 |
| VCFaaS 主任 作者 vApp | 在 VMware Cloud Director 中使用目录并创建 vApps。 |
| VCFaaS 主任 用户 vApp | 使用 VMware Cloud Director 中的现有 vApps。 |
| VCFaaS 导演目录作者 | 在 VMware Cloud Director 中创建和发布目录。 |
| VCFaaS 网络管理主任 | 在 VMware Cloud Director 中创建,查看,编辑,删除子网,静态路由以及对路由进行故障诊断。 |
| VCFaaS 主任控制台用户 | 在 VMware Cloud Director 中查看虚拟机状态,属性和使用访客操作系统。 |
| VCFaaS 主任备份用户 | 在 VMware Cloud Director 中管理 Veeam ® 备份作业。 |
| VCFaaS 安全管理主任 | 在 VMware Cloud Director 中查看和编辑边缘防火墙和分布式防火墙。 |
资源组考虑因素
对于访问控制,IAM策略是在Cloud Director站点而非VDC上测试的。
尽管您可以将您的 VCF as a Service VDC放入不同的资源组,但资源组的区分仅用于计费目的。
对于单租户虚拟数据中心,请选择云总监站点的资源组。
对于多租户虚拟数据中心,您的云总监站点与任何区域中的第一个虚拟数据中心位于同一资源组中。
因为 IBM Cloud 检查的是云总监网站资源组,而不是VDC资源组,所以有权创建VDC的用户可以在任何资源组中创建VDC。
当您使用资源组进行IAM访问时,请将Cloud Director站点和Cloud Director站点中的所有VDC保存在同一个资源组中。
在控制台中分配对 VCF as a Service 的访问权
您可以通过以下方式之一在控制台中分配访问权限:
- 每个用户的访问策略。 您可以从控制台中的“管理 > 访问权 (IAM) > 用户”页面管理每个用户的访问策略。 有关分配 IAM 访问权的步骤的更多信息,请参阅 管理对资源的访问权。
- 访问组。 访问组用于通过一次分配对组的访问权来简化访问管理。 然后,您可以根据需要在组中添加或除去用户以控制其访问权。 您可以从控制台中的“管理 > 访问权 (IAM) > 访问组”页面管理访问组及其访问权。 有关更多信息,请参阅 在控制台中分配对组的访问权。