IBM - 基本情報

Reading time: 7 minutes

階層

IBM Cloudリソースモデル (from the docs):

プロジェクトを分割する推奨方法:

IAM

ユーザー

ユーザーにはメールアドレスが割り当てられています。彼らはIBMコンソールにアクセスでき、またAPIキーを生成してプログラム的に権限を使用できます。
権限は、アクセスポリシーを使用してユーザーに直接付与することも、アクセスグループを介して付与することもできます。

信頼されたプロファイル

これはAWSのロールやGCPのサービスアカウントのようなものです。VMインスタンスに割り当てることができ、メタデータを介してその資格情報にアクセスしたり、外部プラットフォームからユーザーを認証するためにアイデンティティプロバイダーが使用できるようにすることも可能です。
権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することも、アクセスグループを介して付与することもできます。

サービスID

これは、アプリケーションがIBM Cloudと対話し、アクションを実行するための別のオプションです。この場合、VMやアイデンティティプロバイダーに割り当てる代わりに、APIキーを使用してIBMとプログラム的に対話することができます。
権限は、アクセスポリシーを使用してサービスIDに直接付与することも、アクセスグループを介して付与することもできます。

アイデンティティプロバイダー

外部のアイデンティティプロバイダーは、信頼されたプロファイルにアクセスすることによって、外部プラットフォームからIBM Cloudリソースにアクセスできるように構成できます。

アクセスグループ

同じアクセスグループには複数のユーザー、信頼されたプロファイル、サービスIDが存在できます。アクセスグループ内の各プリンシパルは、アクセスグループの権限を継承します。
権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与できます。
アクセスグループは他のアクセスグループのメンバーになることはできません。

ロール

ロールは細かい権限のセットです。ロールはサービスに専念しており、そのサービスの権限のみを含むことを意味します。
IAMの各サービスには、プリンシパルにそのサービスへのアクセスを付与するためのいくつかの可能なロールがすでに用意されています: Viewer, Operator, Editor, Administrator（ただし、他にもあるかもしれません）。

ロールの権限は、プリンシパルに対してアクセスポリシーを介して付与されるため、例えばViewerとAdministratorのサービスの権限の組み合わせを付与する必要がある場合、これらの2つを付与する代わりに（プリンシパルに過剰権限を与えることなく）、そのサービスのために新しいロールを作成し、その新しいロールに必要な細かい権限を付与することができます。

アクセスポリシー

アクセスポリシーは、1つのプリンシパルに1つのサービスの1つ以上のロールを付与することを可能にします。
ポリシーを作成する際には、次のことを選択する必要があります:

• 権限が付与されるサービス
• 影響を受けるリソース
• 付与されるサービスおよびプラットフォームのアクセス
• これらは、プリンシパルがアクションを実行するために与えられる権限を示します。サービスでカスタムロールが作成されている場合、ここでそれを選択することもできます。
• 権限を付与するための条件（ある場合）

参考文献

• https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises
• https://cloud.ibm.com/docs/account?topic=account-iamoverview