IBM Cloud: Требуется политика доступа IAM для просмотра пользовательских авторизаций (политик)?

Question

IBM Cloud: Требуется политика доступа IAM для просмотра пользовательских авторизаций (политик)?

В IBM Cloud у меня есть группа доступа IAM для администраторов безопасности. Какую политику мне нужно предоставить, чтобы их участники могли читать доступ к пользовательским авторизациям, т. Е. Политики доступа, предоставленные пользователю, а не группе доступа?

Владелец учетной записи может видеть эти авторизации, например, с помощью API политик списка. Администратор безопасности при вызове этого API получает либо пустой список, либо только частичный список. Группа доступа для администраторов безопасности уже имеет права администратора для службы идентификации IAM и службы группы доступа IAM.

0

security ibm-cloud ibm-cloud-iam

Источник

user4923755 31 авг '20 в 13:15

2 ответа

Другие вопросы по тегам security ibm-cloud ibm-cloud-iam

user4923755 01 сен '20 в 11:54 2020-09-01 11:54 · Answer 1 · 2020-09-01 11:54

Для просмотра политик доступа администраторам безопасности и, следовательно, связанной с ними группе доступа необходимы права * Viewer * для всех ресурсов и служб, которые напрямую "авторизованы" для пользователей или идентификаторов служб. Это не достаточно, чтобы иметь средства просмотра или даже администратора роль в IAM Access Service групп, просмотра на все управление учетными записями, а также на всех IAM-услуг требуется.

Следующее может предоставить Viewer в службах управления учетной записью при использовании Terraform:

resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
  access_group_id = ibm_iam_access_group.cloud-security-admins.id
  account_management = true
  roles = [ "Viewer" ]
}

И следующий фрагмент Terraform можно использовать для предоставления Viewer на всех сервисах с поддержкой IAM:

resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
  access_group_id = ibm_iam_access_group.cloud-security-admins.id
  roles = [ "Viewer" ]
    resources {
    resource_type = "resource-group"
  }
}

user4669352 31 авг '20 в 20:28 2020-08-31 20:28 · Answer 2 · 2020-08-31 20:28

Если политики основаны на группе ресурсов, вам может потребоваться доступ Viewer к группе ресурсов. В терраформе это будет примерно так:

resource "ibm_iam_access_group_policy" "shared_policy" {
  access_group_id = ibm_iam_access_group.shared.id
  roles           = ["Viewer"]
  resources {
    resource_type = "resource-group"
    resource      = ibm_resource_group.shared.id
  }
}

В будущем могут быть добавлены новые группы ресурсов...