管理 VMware Solutions的 IAM 访问权限
帐户中用户对 IBM Cloud® for VMware Solutions 服务实例的访问权通过 IBM Cloud Identity and Access Management (IAM) 进行控制。 对于访问帐户中 IBM Cloud for VMware Solutions 服务的每个用户,必须为其分配定义了 IAM 用户角色的访问策略。
访问策略确定用户可在所选服务或实例的上下文中执行的操作。 允许的操作由 IBM Cloud 服务作为可以应用于该服务的操作进行定制和定义。 然后,这些操作将映射到 IAM 用户角色。
策略支持在不同级别授予访问权。 其中一些选项包括以下访问权:
- 对帐户中所有服务实例的访问权
- 对帐户中单个服务实例的访问权
- 对实例中特定资源的访问权
- 对帐户中所有启用 IAM 的服务的访问权
在定义访问策略的作用域后,可以分配角色。
查看以下信息,其中概述了在 IBM Cloud for VMware Solutions 服务中每个角色允许的操作。
VMware Solutions的平台管理角色和权限
平台管理角色支持用户在平台级别对服务资源完成任务。 例如,分配对服务的用户访问权,创建或删除服务标识,创建实例以及将实例绑定到应用程序。
要使用较小的权限集,请使用以下角色:
- 用阅读器代替查看器或操作器
- 作家代替编辑
- 经理代替行政长官
VMware Solutions的平台管理角色
下表提供了有关映射到 VMware Solutions 平台管理角色的操作的信息。
| 平台管理角色 | 操作 |
|---|---|
| 读者 | 只读操作,用于查看特定服务资源。 |
| 写入者 | 创建和编辑特定服务资源。 |
| 管理者 | 除创建和编辑特定服务资源外,还可执行服务定义的权限操作。 |
| 查看者 | 只读操作,用于查看实例的摘要和详细信息。 |
| 运算符 | 只读操作。 例如,列出实例和查看实例详细信息。 |
| 编辑者 | 更新特定实例。 例如,添加或删除 VMware ESXi™ 服务器、群集和服务;将实例升级到更高版本。 |
| 管理员 | 全面的管理权限。 例如,创建新实例、删除实例以及向其他用户授予平台访问权限。 |
对于 VMware Solutions,存在以下操作:
| 操作 | 服务上的操作 | 角色 |
|---|---|---|
vmware-solutions.instances.create |
创建新实例 | 管理员 |
vmware-solutions.instances.delete |
删除实例 | 管理员 |
vmware-solutions.instances.view |
列出实例 查看实例的详细信息 |
查看者、操作员、编辑者和管理员 |
vmware-solutions.instances.update |
添加或删除 ESXi 服务器 添加或删除群集 添加或删除服务 将实例升级到更高版本 |
编辑者和管理员 |
vmware-solutions.account.update |
更新帐户设置 | 管理员 |
分配资源访问权限
分配资源访问权限时,您可以选择以下选项。
- 分配所有资源访问权限,允许用户访问账户内所有资源组中创建的所有服务资源。
- 特定资源访问可授予用户对特定资源组或 VMware® 实例的访问权限。
授予用户访问权限的程序
- 在控制台中,转到 Manage > Access (IAM)。
- 从左侧导航面板点击用户。
- 在要分配访问权限的用户行中,选择“操作”菜单,然后单击“分配访问权限”。
- 单击 访问策略,然后从 VMware Solutions 表中选择 服务。 然后,单击下一步。
- 选择要接受访问的资源,然后单击 下一步。
- 单击 All resources 以授予对所有服务资源的访问权限。
- 单击 特定资源,然后选择属性类型、运算符和值。
- 选择任意角色组合,然后单击 Review 查看所有选择。
- 可选择单击 Edit 图标
更新您的任何选择。 - 单击添加,然后单击分配。
要授予用户为 VMware 共享 创建新实例的权限,还必须分配资源组访问策略。 有关更多信息,请参阅 在资源组中提供资源访问权限。
管理用户的访问权
可以将新用户添加到 IBM Cloud 帐户,以便这些用户可以共享为帐户供应的服务和资源。 有关更多信息,请参阅邀请用户访问服务和资源。
您还可以管理现有用户的访问权,包括修改现有访问权、分配新访问权以及复查分配的访问权。 要管理用户的访问权,您必须是帐户所有者,或者必须具有管理员平台管理角色。 有关更多信息,请参阅管理对资源的访问权。
在控制台中为 VMware Solutions分配访问权限
您可以通过以下方式之一在控制台中分配访问权限:
- 每个用户的访问策略 您可以通过控制台中的 Manage > Access (IAM) > Users 页面管理每个用户的访问策略。 有关分配 IAM 访问权限步骤的更多信息,请参阅 在控制台中分配资源访问权限。
- 访问组。 访问组用于简化访问管理,只需向一个组分配一次访问权限。 之后,你可以根据需要添加或删除该组中的用户,以控制他们的访问权限。 您可以通过控制台中的 Manage > Access (IAM) > Access groups 页面管理访问组及其访问权限。 有关更多信息,请参阅 在控制台中为组指定访问权限。
使用 API 为 VMware Solutions分配访问权限
有关分配、删除和审查访问权限的逐步说明,请参阅 使用 API 分配资源访问权限 或 创建策略 API 文档。 下表中的角色云资源名称 (CRN) 用于分配 API 的访问权限。
| 角色名称 | 角色描述 | 角色 CRN |
|---|---|---|
| 查看者 | 作为查看者,您可以查看服务实例,但是您无法修改它们。 | crn:v1:bluemix:public:iam::::role:Viewer |
| 管理员 | 作为管理员,您可以基于分配给此角色的资源,执行所有平台操作,包括向其他用户分配访问策略。 | crn:v1:bluemix:public:iam::::role:Administrator |
| 运算符 | 作为操作员,您可以执行配置和操作服务实例所需的平台操作,例如查看服务的仪表板。 | crn:v1:bluemix:public:iam::::role:Operator |
| 编辑者 | 作为编辑者,您可以执行所有平台操作,但管理帐户和分配访问策略除外。 | crn:v1:bluemix:public:iam::::role:Editor |
下面的示例是为 <vmware-solutions> 分配 <Viewer> 角色:
使用 programmatic_service_name 作为服务名称,并参考角色 ID 值表,确保您使用的 CRN 值正确无误。
curl -X POST 'https://iam.cloud.ibm.com/v1/policies' -H 'Authorization: Bearer $TOKEN' -H 'Content-Type: application/json'
-d '{
"type": "access",
"description": "Viewer role for vmware solutions service instance",
"subjects": [
{
"attributes": [
{
"name": "iam_id",
"value": "IBMid-123453user"
}
]
}'
],
"roles":[
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources":[
{
"attributes": [
{
"name": "accountId",
"value": "$ACCOUNT_ID"
},
{
"name": "serviceName",
"value": "vmware-solutions"
}
]
}
]
}