Блог

Главная - Вопросы по программированию - IBM Cloud: требуется политика доступа IAM для просмотра пользовательских авторизаций (политик)?

IBM Cloud: требуется политика доступа IAM для просмотра пользовательских авторизаций (политик)?

#security #ibm-cloud #ibm-cloud-iam

#Безопасность #ibm-cloud #ibm-cloud-iam

Вопрос:

В IBM Cloud у меня есть группа доступа IAM для администраторов безопасности. Какую политику мне нужно предоставить, чтобы их участники имели доступ на ЧТЕНИЕ к пользовательским разрешениям, т. Е. политикам доступа, предоставленным пользователю, а не группе доступа?

Владелец учетной записи может просматривать эти авторизации, например, с помощью List Policies API. Администратор безопасности при вызове этого API получает либо пустой список, либо только неполный список. Группа доступа для администраторов безопасности уже имеет права администратора для службы идентификации IAM и службы группы доступа IAM.

Ответ №1:

Если политики основаны на группе ресурсов, вам может потребоваться доступ для просмотра к группе ресурсов. В terraform это было бы что-то вроде этого:

 resource "ibm_iam_access_group_policy" "shared_policy" {
  access_group_id = ibm_iam_access_group.shared.id
  roles           = ["Viewer"]
  resources {
    resource_type = "resource-group"
    resource      = ibm_resource_group.shared.id
  }
}

В будущем могут быть добавлены новые группы ресурсов…

Комментарии:

1. Необязательно на основе группы ресурсов, это может быть что угодно, непосредственно назначенное пользователю (или идентификатор службы).

Ответ №2:

Для просмотра политик доступа администраторам безопасности и, следовательно, связанной с ними группе доступа необходимы привилегии * Viewer* для всех ресурсов и служб, которые напрямую «авторизованы» для пользователей или идентификаторов служб. Недостаточно иметь роль Viewer или даже администратора в службе IAM Access Groups, требуется Viewer для всех служб управления учетными записями, а также для всех служб с поддержкой IAM.

Следующее даст просмотр служб управления учетными записями при использовании Terraform:

 resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
  access_group_id = ibm_iam_access_group.cloud-security-admins.id
  account_management = true
  roles = [ "Viewer" ]
}

И следующий фрагмент Terraform можно использовать для просмотра всех служб с поддержкой IAM:

 resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
  access_group_id = ibm_iam_access_group.cloud-security-admins.id
  roles = [ "Viewer" ]
    resources {
    resource_type = "resource-group"
  }
}