IAM によるアクセス権限の制御
IBM Cloud® Identity and Access Management (IAM) は、ユーザー認証を安全に行い、一貫した方法で IBM Cloud のすべてのクラウド・リソースに対するアクセスを制御することを可能にします。 権限の付与は、アカウントで IBM Cloud Security and Compliance Center Workload Protection サービスに定義したポリシーを介して行います。
アカウントのユーザーには、インスタンスを管理し、IBM CloudからUIを起動するためのプラットフォームロールが割り当てられている必要があります。 加えて、ユーザーはIBM Cloud Security and Compliance Center Workload Protectionを扱う権限を定義するサービス・ロールを持たなければならない。
ポリシーは、選択されたサービスまたはインスタンスのコンテキスト内でユーザーが実行できるアクションを決定します。 アクションは、サービスに対して実行できる操作を指定してカスタマイズおよび定義されます。 その後、操作は IAM ユーザー役割にマップされます。
ポリシー により、さまざまなレベルでアクセス権限を付与できます。 以下に選択肢をいくつか示します。
- アカウント内のすべての IAM 対応サービスに対するアクセス権限
- アカウント内の単一リージョン内のサービスのすべてのインスタンスに対するアクセス権限
- アカウント内の個別のサービス・インスタンスに対するアクセス権限
- リソース・グループのコンテキスト内のサービスのすべてのインスタンスに対するアクセス権限
- リソース・グループのコンテキスト内の単一のリージョンのサービスのすべてのインスタンスに対するアクセス権限
- リソース・グループのコンテキスト内のすべての IAM 対応サービスに対するアクセス権限
役割 によって、ユーザーまたは serviceID が実行できるアクションが定義されます。 IBM Cloud には、以下のようなさまざまなタイプの役割があります。
- プラットフォーム管理ロールは、ユーザがプラットフォーム・レベルでサービス・リソースに対するタスクを実行できるようにします。たとえば、サービスに対するユーザ・アクセスの割り当て、サービスIDの作成または削除、インスタンスの作成、他のユーザへのサービスのポリシーの割り当て、アプリケーションへのインスタンスのバインドなどがあります。
- サービスアクセスロールは、サービスのAPIを呼び出したり、モニタリングUIでアクションを実行したりする際に、ユーザーにさまざまなレベルの権限を割り当てることを可能にします。
IAM 許可を管理しやすくするために一連のユーザーおよびサービス ID を単一のエンティティーとして編成するには、アクセス・グループ を使用してください。 個々のユーザーやサービス ID に同じアクセス権限を何度も割り当てるのではなく、グループに単一のポリシーを割り当てることができます。
アクセス・グループを使用してアクセス権限の管理
アクセスグループを管理するには、アカウント内のすべてのIdentity and Access対応サービスのアカウント所有者、管理者、編集者、またはIAM Access Groupsサービスの割り当てられた管理者または編集者である必要があります。
IBM Cloud で IAM アクセス・グループを管理するには、以下のアクションを使用します。
- アクセス・グループを作成します。
- アクセス権をグループに割り当てます。
ユーザーにポリシーを直接割り当ててアクセス権を管理する
IAM ポリシーを使用して、アクセス権限の管理またはユーザーへの新規アクセス権限の割り当てを行うには、アカウント所有者であるか、アカウント内のすべてのサービスの管理者であるか、または、特定のサービスまたはサービス・インスタンスの管理者である必要があります。
IBM Cloud で IAM ポリシーを管理するには、以下のアクションを使用します。
- ユーザーに権限を付与するには、 リソースへのアクセス権限の割り当て を参照してください。
- 権限を取り消すには、アクセス権限の削除を参照してください。
- ユーザーの権限を確認するには、 割り当てられたアクセス権限の確認 を参照してください。
IBM Cloud プラットフォームの役割
アカウントの IBM Cloud Security and Compliance Center Workload Protection サービスの表示および管理をユーザーに許可するには、ユーザーにプラットフォーム役割を付与する必要があります。 IBM Cloud アカウントのすべてのインスタンスを使用する権限を付与することも、アクセス権限を個々のインスタンスに制限することもできます。
以下の表は、IBM Cloud内のユーザに、指定したプラットフォーム・アクションを実行するために付与できるプラットフォーム・ロールを示しています:
| プラットフォーム・アクション | 管理者 | エディター | オペレーター | ビューアー |
|---|---|---|---|---|
Grant other account members access to work with the service |
 |
|||
Provision a service instance |
|
|
||
Delete a service instance |
|
|
||
Create a service ID |
|
|
||
View details of a service instance |
|
|
|
|
View service instances in the Observability Monitoring dashboard |
|
|
|
|
管理者役割を持つユーザーには、サービス役割のマネージャーの権限が自動的に付与されます。
IBM Cloud サービス役割
以下の表で、特定のアクションを実行するために IBM Cloud のユーザーに付与できるサービス役割を確認してください。
| アクション | マネージャー | ライター | リーダー |
|---|---|---|---|
Manage access keys |
|
||
Manage Secure API Tokens |
|
||
Create, configure, and delete teams |
|
||
Configure and remove notifications channels |
|
||
Configure and remove agents |
|
||
Create, delete, and edit content in the UI |
|
|
|
Manage runtime policies |
|
|
|
Manage image scanning policies |
|
|
|
Manage Activity Audit |
|
|
|
Send container images to the scanning queue |
|
|
|
Create, update and remove alerts |
|
|
|
View reports and image scanning results |
|
|
|
View platforms, frameworks, rules and policies |
|
|
|
View events |
|
|
|
IAM アクション
以下の表で、IBM Cloud Security and Compliance Center Workload Protection サービスのプラットフォーム役割およびサービス役割に割り当てられている IAM アクションを確認してください。
| 役割タイプ | 役割 | IAM アクション |
|---|---|---|
| プラットフォーム | administrator |
sysdig-secure.launch.admin sysdig-secure.launch.user sysdig-secure.launch.viewer |
| サービス | manager |
sysdig-secure.launch.admin sysdig-secure.launch.user sysdig-secure.launch.viewer |
| サービス | writer |
sysdig-secure.launch.user sysdig-secure.launch.viewer |
| サービス | reader |
sysdig-secure.launch.viewer |
自分に設定されているアクセス・ポリシーはどうすればわかりますか?
どのアクセス・ポリシーが設定されているかは、IBM Cloud UIコンソールで確認できる。
- 「IAM ユーザーへのアクセス」に移動します。
- ユーザーのテーブルで自分の名前をクリックします。
- **「アクセス・ポリシー」**タブをクリックすると、自分のアクセス・ポリシーが表示されます。
- **「アクセス・グループ」**タブをクリックすると、自分がメンバーであるアクセス・グループが表示されます。 各グループのポリシーを確認してください。