IBM Cloud Docs
Usando permissões granulares RBAC para imagens customizadas

Usando permissões granulares RBAC para imagens customizadas

O serviço de imagem VPC permite a criação de imagens customizadas. Essas imagens são visíveis e utilizáveis apenas dentro de uma única conta. As imagens customizadas são designadas a um Grupo de recursos quando elas são criadas Os usuários podem ter vários grupos de recursos para hospedar imagens customizadas com diferentes privilégios de controle de acesso ou atribuir permissões diretamente a uma imagem, restringindo seu acesso a usuários específicos. Esses privilégios de acesso são chamados de controle de acesso baseado em função, ou RBAC.

O grupo de recursos customizados que hospeda as imagens pode conter um conjunto de imagens. O grupo de recursos pode controlar uma imagem única ou várias imagens. É comum que uma família de imagens seja hospedada dentro de um grupo de recursos. Essa hospedagem pode tornar o gerenciamento do controle das imagens mais fácil porque as regras de acesso são anexadas ao grupo de recursos.

O processo descrito aqui é para o console. No entanto, essa função também pode ser executada com a API e a partir da CLI.

Criando um grupo de recursos customizados para controles de acesso à imagem

É possível usar um grupo de recursos existente ou criar um novo.

Para criar um novo Grupo de recursos, siga estas etapas:

  1. Acesse Gerenciar> Conta> Recursos da conta> Grupos de recursos.
  2. Insira um nome para o seu grupo de recursos e clique em Criar.

Incluindo o controle de acesso baseado na função no grupo de recursos

Crie um grupo de acesso dentro do grupo de recursos que conceda privilégios para criar imagens em seu grupo de recursos.

  1. Vá para Gerenciar > Acesso (IAM) > Grupos de acesso e clique em Criar.
  2. Insira o nome e a descrição para o seu grupo de acesso e clique em Criar.

Designando permissões

Quando um grupo de acesso é criado, uma política deve ser aplicada para configurar permissões no grupo de recurso..

  1. Na página do grupo de acesso, selecione a guia Políticas de acesso. Clique em Designar acesso.
  2. Selecione Serviços IAM e VPC Infrastructure Services.
  3. Clique em Serviços baseados em atributos.
  4. Em Incluir atributos, clique em Grupo de Recursos
  5. Na lista, selecione o grupo de recursos que você deseja usar.
  6. Selecione Tipo de recurso em Incluir atributos e selecione o tipo de recurso Image Service for VPC. Opcionalmente, é possível escolher um ID de imagem específico para a política.
  7. Selecione uma função de permissão RBAC. As funções são exibidas na Tabela 1.
  8. Clique em Incluir.
  9. Clique em Designar.
Funções RBAC
Função RBAC Permissões de função
Visualizador Um usuário com essa função pode visualizar imagens..
Operador Um usuário com essa função pode utilizar imagens..
Editor Um usuário com essa função pode criar e excluir imagens

Agora você tem permissões do grupo de acesso no grupo de recursos. Para designar os usuários a esse grupo de acesso, clique na guia Usuários do grupo de acesso e em Incluir usuários.

Usando uma imagem com controles de acesso customizados em sua VPC

As instâncias de servidor virtual e as imagens podem estar em grupos de recursos diferentes. Essa diferença permite o controle direto de cada tipo de recurso de forma independente. É possível iniciar instâncias de servidor virtual por meio das imagens customizadas, caso o usuário tenha autoridade apropriada para ambos os grupos de recursos.

Certifique-se de que qualquer usuário que precise implementar uma imagem customizada tenha pelo menos a função Operador ou Editor no grupo de acesso anterior. Se eles tiverem apenas a função Visualizador, não poderão implementar a imagem customizada.