在IBM Cloud中,我有一个用于安全管理员的IAM访问组。我需要授予什么策略以使其成员具有对特定于用户的授权的READ访问权限,即授予用户而不是访问组的访问策略?
帐户所有者可以通过List Policies API看到这些授权。安全管理员在调用该API时会收到一个空列表或仅收到部分列表。安全管理员访问组已经具有IAM身份服务和IAM访问组服务的管理员特权。
答案 0 :(得分:1)
如果策略基于资源组,则可能需要Viewer访问该资源组。在terraform中,应该是这样的:
resource "ibm_iam_access_group_policy" "shared_policy" {
access_group_id = ibm_iam_access_group.shared.id
roles = ["Viewer"]
resources {
resource_type = "resource-group"
resource = ibm_resource_group.shared.id
}
}
将来可以添加新的资源组...
答案 1 :(得分:1)
要查看访问策略,安全管理员及其相关的访问组需要* {Viewer* privilege on all resources and services},这些信息直接得到用户或服务ID的“授权”。在所有 IAM访问组服务,查看器上仅具有 Viewer 甚至 Administrator 角色是不够的>帐户管理以及所有启用IAM的服务都是必需的。
以下内容将给出Viewer on Account Management services when using Terraform:
resource "ibm_iam_access_group_policy" "cloud-security-admins-account_viewer" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
account_management = true
roles = [ "Viewer" ]
}
下一个Terraform代码段可用于为所有启用了IAM的服务提供Viewer:
resource "ibm_iam_access_group_policy" "cloud-security-admins-viewall-resources" {
access_group_id = ibm_iam_access_group.cloud-security-admins.id
roles = [ "Viewer" ]
resources {
resource_type = "resource-group"
}
}