红帽全球峰会2.4. IBM Cloud IAM 策略和 API 密钥
要将 OpenShift Container Platform 安装到 IBM Cloud® 帐户中,安装程序需要一个 IAM API 密钥,它提供访问 IBM Cloud® 服务 API 的身份验证和授权。您可以使用包含所需策略的现有 IAM API 密钥或创建新策略。
有关 IBM Cloud® IAM 概述,请参阅 IBM Cloud® 文档。
2.4.1. 所需的访问策略
您必须为 IBM Cloud® 帐户分配所需的访问策略。
| 服务类型 | service | 访问策略范围 | 平台访问 | 服务访问 |
|---|---|---|---|---|
| 帐户管理 | IAM Identity Service | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | 服务 ID 创建者 |
| 帐户管理 [2] | 身份和访问权限管理 | 所有资源 | Editor, Operator, Viewer, Administrator | |
| 帐户管理 | 仅限资源组 | 帐户中的所有资源组 | Administrator | |
| IAM 服务 | 云对象存储 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader, Writer, Manager, Content Reader, Object Reader, Object Writer |
| IAM 服务 | Internet 服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
| IAM 服务 | DNS 服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
| IAM 服务 | VPC 基础架构服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
- 应根据您要分配访问权限的粒度来设置策略访问范围。范围可以设置为 All resources 或 基于所选属性的资源。
- 可选:只有安装程序创建资源组时才需要此访问策略。有关资源组的更多信息,请参阅 IBM® 文档。
2.4.2. 访问策略分配
在 IBM Cloud® IAM 中,可以将访问策略附加到不同的主题:
- 访问组(推荐)
- 服务 ID
- 用户
建议的方法是在访问组中定义 IAM 访问策略。这有助于组织 OpenShift Container Platform 所需的所有访问权限,并可让您向这个组注册用户和服务 ID。如果需要,您还可以为 用户和服务 ID 分配访问权限。
2.4.3. 创建 API 密钥
您必须为 IBM Cloud® 帐户创建用户 API 密钥或服务 ID API 密钥。
先决条件
- 您已为 IBM Cloud® 帐户分配了所需的访问策略。
- 您已将 IAM 访问策略附加到访问组或其他适当的资源。
