10. IBM Cloud
IBM Cloud Identity & Access Management < IBM Cloud IAM
• プラットフォームおよびインフラストラクチャー・サービスの両⽅
IBM Cloud 全体で一貫してリソースへのアクセスを制御
• アプリケーションを構成するリソースをグループとして定義
リソースグループごとに誰がアクセスできるのかを制御可能
複数DCを利用した冗長構成に対しても管理可能
※ライトアカウントの方はdefaultのみ。追加作成は出来ません。
• サービスIDをサポート
ユーザーIDがユーザーを特定するのと同じようにサービスやアプリケーションを識別
アプリケーションごとに必要なアクセス情報をユーザーに割り当てるように、サービスIDに割り当てることが可能
サービスIDにはAPI Keyが設定可能
11. IBM Cloud
IAMの管理項目
• ユーザー ID
ユーザーの認証
• サービス ID
サービスおよびアプリケーションに別個の ID を指定するための IBM Cloud IAM の機能
IBM Cloud サービスへのアクセスが必要なアプリケーションで使用されるサービス ID を作成可能
これにより、個人ユーザーの資格情報を使用する必要がなくなる
• API キー
API または CLI を使用して認証するためのプラットフォーム API キー
ユーザーIDとサービスIDどちらでも利用可能
• リソース
クラウド上の資源。サービスごとにその定義は異なるが、現状は
サービスインスタンスが作成されているデータセンター単位、サービスインスタンス単位、
サービスインスタンス内のリソース単位(Object Storage は bucket単位)
12. IBM Cloud
例えば
EC-WebAPP- Dev
リソースグループ
APP
LogsDatabase
EC-WebAPP- Prod
リソースグループ
APP
LogsDatabase
HR-APP- Prod
リソースグループ
APP
LogsDatabase
Read/Write
EC-WebAPP 開発者
監査担当
Writex
o
・開発者は結びつけたリソースグループ内のサービスにのみアクセス可能
・アプリ監査担当者など横断的にチェックする人に対してはリソースグループにかかわらず必要なサー
ビスにアクセス可能とする
DENYx
Reado