在 IBM Cloud 中,我有一个用于安全管理员的 IAM 访问组。我需要授予哪些策略以使其成员对特定于用户的授权进行 READ 访问,即授予用户而不是访问组的访问策略?
帐户所有者可以通过例如List Policies API查看这些授权。安全管理员在调用该 API 时,要么收到一个空列表,要么只收到部分列表。安全管理员的访问组已经拥有 IAM 身份服务和 IAM 访问组服务的管理员权限。
问问题
101 次
2 回答
1
如果策略基于资源组,您可能需要对资源组的查看者访问权限。在 terraform 中,它会是这样的:
resource "ibm_iam_access_group_policy" "shared_policy" {
access_group_id = ibm_iam_access_group.shared.id
roles = ["Viewer"]
resources {
resource_type = "resource-group"
resource = ibm_resource_group.shared.id
}
}
将来可能会添加新的资源组...
于 2020-08-31T17:28:57.110 回答
1
要查看访问策略,安全管理员以及他们相关的访问组需要对所有直接“授权”给用户或服务 ID 的资源和服务具有 *查看者 * 权限。在IAM Access Groups Service上拥有Viewer甚至管理员角色是不够的,还需要在所有Account Management以及所有启用 IAM 的服务上拥有Viewer 。
使用 Terraform 时,以下内容将为查看器提供帐户管理服务:
resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
account_management = true
roles = [ "Viewer" ]
}
下一个 Terraform 片段可用于在所有启用 IAM 的服务上提供查看器:
resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
roles = [ "Viewer" ]
resources {
resource_type = "resource-group"
}
}
于 2020-09-01T08:54:45.887 回答