通过 IAM 控制访问权
IBM Cloud® Identity and Access Management(IAM)可让您安全地验证用户身份,并持续控制对IBM Cloud 中所有云资源的访问。 可以通过在帐户中 IBM Cloud Security and Compliance Center Workload Protection 服务上定义的策略来授予许可权。
账户中的用户必须分配一个平台角色,才能管理实例并从IBM Cloud 启动用户界面。 此外,用户必须拥有一个服务角色,该角色定义了使用IBM Cloud Security and Compliance Center Workload Protection 的权限。
该策略确定用户可以在所选服务或实例的上下文中执行的操作。 这些操作是定制的,并定义了允许在服务上执行的操作。 然后,这些操作将映射到 IAM 用户角色。
策略允许在不同级别授予访问权。 部分选项包括:
- 对帐户中所有启用 IAM 的服务的访问权
- 对帐户中单个区域中所有服务实例的访问权
- 对帐户中单个服务实例的访问权
- 对资源组上下文中所有服务实例的访问权
- 对资源组上下文中单个区域中所有服务实例的访问权
- 对资源组上下文中所有启用 IAM 的服务的访问权
角色定义用户或服务标识可以运行的操作。 IBM Cloud 中有不同类型的角色:
- 平台管理角色使用户能够在平台级别执行服务资源任务,例如为服务分配用户访问权限、创建或删除服务 ID、创建实例、为其他用户分配服务策略,以及将实例绑定到应用程序。
- 通过服务访问角色,用户在调用服务的应用程序接口或在监控用户界面中运行操作时,可获得不同级别的权限。
要将一组用户和服务标识组织成单个实体,以便轻松管理 IAM 许可权,请使用访问组。 您可以为组分配一个策略,而不用为每个用户或服务 ID 分配多次相同的访问权限。
使用访问组管理访问权
要管理访问组,您必须是账户中所有身份和访问启用服务的账户所有者、管理员或编辑,或者是 IAM 访问组服务的指定管理员或编辑。
使用以下操作来管理 IBM Cloud中的 IAM 访问组:
通过将策略直接分配给用户来管理访问权
要使用 IAM 策略管理访问权限或为用户分配新的访问权限,您必须是账户所有者、账户中所有服务的管理员或特定服务或服务实例的管理员。
使用以下操作来管理 IBM Cloud中的 IAM 策略:
IBM Cloud 平台角色
必须向用户授予平台角色,以允许他们查看和管理帐户中的 IBM Cloud Security and Compliance Center Workload Protection 服务。 您可以授予许可权以使用 IBM Cloud 帐户中的所有实例,也可以限制对个别实例的访问权。
下表标识可在 IBM Cloud 中授予用户以运行指定平台操作的平台角色:
| 平台操作 | 管理员 | 编辑者 | 运算符 | 查看者 |
|---|---|---|---|---|
Grant other account members access to work with the service |
 |
|||
Provision a service instance |
|
|
||
Delete a service instance |
|
|
||
Create a service ID |
|
|
||
View details of a service instance |
|
|
|
|
View service instances in the Observability Monitoring dashboard |
|
|
|
|
具有 管理员 角色的用户自动具有服务 管理者 角色许可权。
IBM Cloud 服务角色
下表标识可在 IBM Cloud 中授予用户以运行指定操作的服务角色:
| 操作 | 管理者 | 写入者 | 读者 |
|---|---|---|---|
Manage access keys |
|
||
Manage Secure API Tokens |
|
||
Create, configure, and delete teams |
|
||
Configure and remove notifications channels |
|
||
Configure and remove agents |
|
||
Create, delete, and edit content in the UI |
|
|
|
Manage runtime policies |
|
|
|
Manage image scanning policies |
|
|
|
Manage Activity Audit |
|
|
|
Send container images to the scanning queue |
|
|
|
Create, update and remove alerts |
|
|
|
View reports and image scanning results |
|
|
|
View platforms, frameworks, rules and policies |
|
|
|
View events |
|
|
|
IAM 操作
下表标识了分配给 IBM Cloud Security and Compliance Center Workload Protection 服务的平台和服务角色的 IAM 操作:
| 角色类型 | 角色 | IAM 操作 |
|---|---|---|
| 平台 | administrator |
sysdig-secure.launch.admin sysdig-secure.launch.user sysdig-secure.launch.viewer |
| 服务 | manager |
sysdig-secure.launch.admin sysdig-secure.launch.user sysdig-secure.launch.viewer |
| 服务 | writer |
sysdig-secure.launch.user sysdig-secure.launch.viewer |
| 服务 | reader |
sysdig-secure.launch.viewer |
如何知道为我设置了哪些访问策略?
您可以在 IBM Cloud UI 控制台中查看为您设置的访问策略。
- 转至 访问 IAM 用户。
- 单击用户表中您的名称。
- 单击访问策略选项卡以查看您的访问策略。
- 单击 访问组 选项卡以查看您所属的访问组。 检查每个组的策略。