法人のお客さま
お問い合わせ
ビジネスブログ

IBM Cloud  IAMの全体像を解説

舩木 紳也

プロダクト技術課
舩木 紳也

2023年2月27日掲載

キービジュアル

IBM Cloudを複数人で利用したり、商用サービスの展開などを考慮し始めると、IBM Cloud Identity and Access Management (IAM)によりユーザー認証や、リソースに対する権限を適切に管理する必要に迫られます。

本記事では、IBM CloudのIAMの全体像を理解できる解説をします。

目次

  • IBM CloudのIAMの基礎を説明します
  • 誰(ユーザー)・何(リソース)にどのようなポリシーを、どのように適用するかの概要が理解できます

IAMとは?

IBM Cloudに備わっているIAMによる管理機構を見ていきます。

iam

図1:What is an access policy

複雑に見えますが、順番に丁寧に追いかけていけば難しくありません(図1内にある、rusted policies、federated usersは本記事では割愛します)。

 

■ アクセスポリシー
図1の最上段のアクセスポリシーから知りたくなるかも知れませんが、アクセスポリシーを理解するには、下記の定義を理解しておく必要があります。

 ・アクセスグループ(サービスID、ユーザ)
 ・ターゲット(サービス、リソース)
 ・ロール(サービスロール、プラットフォームロール)

遠回りですがそれらの用語を明確にしてから、最後に再びアクセスポリシーについて振り返ります。

 

■ アクセスグループ
図1の右上の部分、アクセスポリシーが付与されるアクセスグループとは何かをひも解いていきましょう。

英語の説明に沿って読んでみます。
 access policy grants subjects
 subjects consist of access groups
 access groups contain service Ids, users

アクセスグループとはservice Idsとusersのことのようです。

実際のアクセスグループの設定画面で確認してみます。

iam

最左タブのusersは、”xxx@example.com”のような人にひもづくアイデンティティです。このアクセスグループ内にメールアドレスでユーザを招待できます。

その隣にはService Idsが見えます。アプリケーションやプログラムなどで利用する非インタラクティブなIDをサービスIDと呼びます。

 

■ ターゲット
アクセスポリシーの適用先であるターゲットとは何でしょうか。図1の右下の部分を英語でたどっていきましょう。
 access policy grants subjects
 subjects access to targets
 targets consist of  set of resources in a resource group, all instances of a service, all services

サービスやリソース、それをまとめたリソースグループがターゲットです。

サービスとリソースの違いがわかりにくいかもしれません。サービスはサービスカタログに表示される、IBM Cloudが提供するサービスです。例えば、Watson Assistantです。
リソースは、サービスをインスタンス化した実体です。先の例で言えば、Watson Assistantを新規に作成して、myAssistantを作った場合、これがリソースとなります。

アクセスポリシーを設定する実際の画面を見てみましょう。ターゲットに、サービスやリソースを選択できます。

iam

 

■ ロール
図1の左側に目を移しましょう。
 roles consist of service roles, platform roles

WatsonサービスのAssistantであれば、シナリオを編集するにはCreate権限が、作成されたシナリオを読みとるにはRead権限が必要です。

プラットフォームロールは、IBM Cloudプラットフォームを操作する管理権限です。Watson Assistantのインスタンスを作成、削除などを行う権限です。
これらの権限集合がロールです。

iam

アクセスポリシーの作成

IAMの全体像が見えたところで、実際のアクセスポリシー作成の流れを見てみます。

1.アクセスグループからポリシーの作成
アクセスポリシーは、既出のユーザとサービスをまとめたアクセスグループの画面から、Assign accessを選択し、アクセスポリシーを作成します。

iam

 

2.サービス・リソースを選択し、ロールを付与
サービスとリソースを指定し、そこへロールを適用させます。言葉の定義が頭に入っていると何をしているか明確に理解できるかと思います。

詳細な設定画面は用語の定義時に出しましたので、完成状態のポリシーを掲載します。

UIも綺麗で動線も分かりやすくなっています。

iam

まとめ

IBM CloudでのIAMの概要が理解できたでしょうか。
あまり意識したことがない、使ったことがない方はぜひ試してみてください。

IBM Cloud以外の大手クラウドベンダAlibaba Cloud、Amazon Web Services、Microsoft Azure、Google CloudにもIAMサービスが存在します。各種クラウドのIAMサービスは類似点が多いです。IBM CloudのIAMと比較してみてもおもしろいかもしれません。

関連サービス

IBM Cloud Watson

IBM Watsonの導入は、ソフトバンクにご相談ください。お客さまと共に課題を明確にしIBM Watsonの最適な活用方法をご提案します。

サービスをみる

 \ 業務課題をデジタルで支援 /

デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。

中小規模のお客さま向けサイトをみる

メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。

おすすめの記事

条件に該当するページがございません

法人のお客さま向け イベント

イベント・セミナー

ビジネスに役立つ 資料ダウンロード

資料ダウンロード

「今」と「未来」を発信 ソフトバンクのビジネスブログ

ビジネスブログ

クラウドテクノロジーブログ

クラウドテクノロジーブログ