ユーザーの役割と権限
IAM IBM Cloud Pak for Data サービス・アクセス役割は、ユーザーが Watson Knowledge Catalogで実行する権限を持つアクションを決定します。
一部の役割と権限は、すべてのサービス計画で使用できるわけではありません:
- Watson Studio サービス・プラン
- Watson Knowledge Catalog サービス・プラン
- Watson Machine Learning のプランとコンピュート・リソースの使用
アカウント管理者は、 IBM Cloud Pak for Data カテゴリーの IAM サービス・アクセス役割を割り当てることによって、 IBM Cloud アカウントにユーザーを追加し、それらのユーザーに Watson Knowledge Catalog へのアクセス権限を付与します。
任意の事前定義の役割を割り当てることも、カスタム役割を作成して割り当てることもできます。
詳しくは、以下の該当するセクションを参照してください。
必要な許可 以下のアカウント管理権限が必要です:
-
アクセス権限を管理するには、以下のユーザー管理役割のいずれかが必要です。
- Editor
- 管理者
-
カスタム役割を作成、更新、または削除するには、以下のアカウント役割が必要です:
- 管理者
事前定義の役割
役割は、ユーザーまたはアクセス・グループの権限を定義します。
役割のデフォルトの権限セットがビジネス・ニーズに合わない場合は、新しい役割を作成できます。 アクセス権限について詳しくは、カスタム役割の作成を参照してください。 デフォルトの役割を編集することはできません。
各権限の定義は、権限に示されています。 事前定義された役割には、現在使用されていない権限を含めることができます。
| 役割 | 権限 | IAM サービス・アクション・ラベル |
|---|---|---|
| マネージャー | アクセス・カタログ カタログの管理 データ保護ルールの管理 ガバナンス・カテゴリーの管理 グロッサリーの管理 ガバナンス・ワークフローの管理 グローバル検索とタグ付け検索 API を使用したリソースの検索 IAM サービス・アクセス・ポリシーを参照 |
cp4d.catalog.access cp4d.catalog.manage cp4d.data-protection-rules.manage cp4d.governance-categories.manage cp4d.glossary.manage cp4d.governance-workflow.manage global-search-tagging.resource.read iam.policy.read |
| レポート管理者 | レポートの管理 | cp4d.wkc.reporting.manage |
| CloudPak データ・スチュワード | アクセス・カタログ ガバナンス成果物のアクセス データ保護ルールの管理 |
cp4d.catalog.access cp4d.governance-artifacts.access cp4d.data-protection-rules.manage |
| CloudPak データ・エンジニア | ガバナンス成果物へのアクセス データ保護ルールの管理 |
cp4d.governance-artifacts.access cp4d.data-protection-rules.manage |
| CloudPak データ・サイエンティスト | アクセス・カタログ ガバナンス成果物のアクセス データ保護ルールの管理 |
cp4d.catalog.access cp4d.governance-artifacts.access cp4d.data-protection-rules.manage |
権限
次の表では、各権限に関連付けられたアクションについて説明します。
| 権限 | アクション |
|---|---|
| アクセス・カタログ (cp4d.catalog.access) |
|
| ガバナンス成果物へのアクセス (cp4d.governance-artifacts.access) |
|
| カタログの管理 (cp4d.catalog.manage) |
|
| データ保護ルールの管理 (cp4d.data-protection-rules.manage) |
|
| ガバナンス・カテゴリーの管理 (cp4d.governance-categories.manage) |
|
| グロッサリーの管理 (cp4d.glossary.manage) |
|
| ガバナンス・ワークフローの管理 (cp4d.governance-workflow.manage) |
|
| レポートの管理 (cp4d.wkc.reporting.manage) |
|
カスタム役割の作成
事前定義された役割では、お客様のビジネス・ニーズが正確にカバーされないことがあります。 その場合、カスタム役割を作成できます。
- 「管理」> 「アクセス (IAM)」に移動します。 次に、 IBM Cloud コンソールで 役割 を選択してください。
- 「作成」をクリックします。
- 役割の名前を入力します。 この名前はアカウント内で固有である必要があります。 この役割の名前が、ユーザーがサービスに対するアクセス権限を割り当てるときに、コンソールに表示されます。
- 役割の ID を入力します。 この ID は CRN の中で使用されます。API を使用してアクセス権限を割り当てるときには、CRN が使用されます。 役割 ID は、先頭を大文字にして、英数字のみを使用する必要があります。
- オプション: この役割の割り当てによってどのようなレベルのアクセス権限が付与されるかが、アクセス権限を割り当てるユーザーにわかるように、簡潔で役立つ説明を入力します。 この説明も、ユーザーがサービスに対するアクセス権限を割り当てるときに、コンソールに表示されます。
- IBM Cloud Pak for Data as the service を選択してください。
- 使用可能なアクションを確認し、新しい役割に必要なすべてのアクションに対して 追加 をクリックしてください。 新しい役割の作成に成功するには、アクションを少なくとも 1 つ追加する必要があります。 サービス定義のアクションがどれかわからない場合は、「タイプ」列を見てください。
- アクションの追加が完了したら、「作成」をクリックします。
カスタム役割を削除すると、そのカスタム役割は、それを使用しているすべてのアクセス・ポリシーから自動的に削除されます。
アクセス権限の割り当て
単一の招待で 1 人以上のユーザーを招待できます。 1 回の招待で複数のユーザーを招待する場合、各ユーザーに同じアクセス権限が割り当てられます。 ただし、アクセス権限なしでユーザーをアカウントに招待し、後でアクセス権限を割り当てることができます。
- 「管理」> 「アクセス (IAM)」に移動します。 次に、 IBM Cloud コンソールで ユーザー を選択してください。
- 「ユーザーの招待」をクリックします。
- ユーザーの E メール・アドレスを指定します。 1 つの招待で複数のユーザーを招待すると、すべてのユーザーに同じアクセス権限が割り当てられます。
- ユーザーへの追加アクセス権限の割り当て セクションを展開します。
- IAM サービスを選択してから、アクセスのタイプとして IBM Cloud Pak for Data を選択してください。
- 適用するすべての役割を選択します。 各役割にマップされているアクションを表示するには、役割名の横にある数字をクリックします。
- 追加 をクリックして、招待へのアクセス権限の割り当てを保存します。
- 必要なすべてのアクセス権限割り当てを追加したら、「招待」をクリックします。
既存のユーザーおよびアクセス・グループのアクセス権限の管理
ユーザーまたはアクセス・グループにより多くのアクセスを割り当てたり、既存のアクセス権限を編集したりして、アカウントのすべてのメンバーが正しいレベルのアクセス権限を持つようにすることができます。
アクセス権限を割り当てるには、 ステップ 2: ユーザーおよびアクセス・グループへの Watson Knowledge Catalog 役割の割り当てを参照してください。
既存のポリシーを編集するには、以下のようにします。
- 役割列の項目をクリックします。
- 追加するものを選択するか、ポリシーから削除するものを選択解除します。
- 変更内容を保存します。
アクセス・ポリシーを削除して、アクセス権限を削除することもできます。