IBM Cloud:需要 IAM 访问策略才能查看特定于用户的授权(策略)吗?
IBM Cloud: Required IAM access policy to see user-specific authorizations (policies)?
在 IBM Cloud 中,我有一个用于安全管理员的 IAM 访问组。我需要授予什么策略才能让其成员读取特定于用户的权限,即授予用户而非访问组的访问策略?
帐户所有者可以通过 List Policies API 等方式查看这些授权。安全管理员在调用 API 时,要么收到一个空列表,要么只收到部分列表。安全管理员的访问组已经拥有 IAM 身份服务和 IAM 访问组服务的管理员权限。
如果策略基于资源组,您可能需要资源组的查看者访问权限。在 terraform 中它会是这样的:
resource "ibm_iam_access_group_policy" "shared_policy" {
access_group_id = ibm_iam_access_group.shared.id
roles = ["Viewer"]
resources {
resource_type = "resource-group"
resource = ibm_resource_group.shared.id
}
}
以后可以添加新的资源组...
要查看访问策略,安全管理员及其相关访问组需要 *Viewer* privilege on all resources and services 直接“授权”给用户或服务 ID。在 IAM Access Groups Service、[=20] 上拥有 Viewer 甚至 Administrator 角色是不够的=]Viewer 需要所有 Account Management 以及所有 IAM-enabled 服务。
以下将给出 Viewer on Account Management services when using Terraform:
resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
account_management = true
roles = [ "Viewer" ]
}
下一个 Terraform 片段可用于为查看器提供所有 IAM-enabled 服务:
resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
roles = [ "Viewer" ]
resources {
resource_type = "resource-group"
}
}
在 IBM Cloud 中,我有一个用于安全管理员的 IAM 访问组。我需要授予什么策略才能让其成员读取特定于用户的权限,即授予用户而非访问组的访问策略?
帐户所有者可以通过 List Policies API 等方式查看这些授权。安全管理员在调用 API 时,要么收到一个空列表,要么只收到部分列表。安全管理员的访问组已经拥有 IAM 身份服务和 IAM 访问组服务的管理员权限。
如果策略基于资源组,您可能需要资源组的查看者访问权限。在 terraform 中它会是这样的:
resource "ibm_iam_access_group_policy" "shared_policy" {
access_group_id = ibm_iam_access_group.shared.id
roles = ["Viewer"]
resources {
resource_type = "resource-group"
resource = ibm_resource_group.shared.id
}
}
以后可以添加新的资源组...
要查看访问策略,安全管理员及其相关访问组需要 *Viewer* privilege on all resources and services 直接“授权”给用户或服务 ID。在 IAM Access Groups Service、[=20] 上拥有 Viewer 甚至 Administrator 角色是不够的=]Viewer 需要所有 Account Management 以及所有 IAM-enabled 服务。
以下将给出 Viewer on Account Management services when using Terraform:
resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
account_management = true
roles = [ "Viewer" ]
}
下一个 Terraform 片段可用于为查看器提供所有 IAM-enabled 服务:
resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
roles = [ "Viewer" ]
resources {
resource_type = "resource-group"
}
}