加入Cloud Pak for Data as a Service 时,IBM Cloud Object Storage服务实例将通过免费计划自动配置。 项目等工作空间需要IBM Cloud Object Storage来存储与资产相关的文件,包括上传的数据文件或笔记本文件。
您还可以作为数据源连接到 IBM Cloud Object Storage。 请参阅 IBM Cloud Object Storage 连接。
设置 Cloud Object Storage 的概述
要设置 Cloud Object Storage,请完成以下任务:
- 生成管理密钥。
- 确保在每个用户的概要文件中设置全局位置。
- 提供对 Cloud Object Storage的访问权。
- 可选: 保护敏感数据。
- 可选:使用自己的密钥加密您的IBM Cloud Object Storage实例。
观看以下视频,了解管理员如何设置 Cloud Object Storage 以用于 Cloud Pak for Data as a Service。
此视频提供了一种可视方法来学习本文档中的概念和任务。
生成管理密钥
您可以通过创建初始测试项目来生成 Cloud Object Storage 的管理密钥。 可以在测试项目创建后将其删除。 其唯一目的是生成密钥。
要为 IBM Cloud Object Storage 实例自动生成管理密钥,请执行以下操作:
- 从 Cloud Pak for Data as a Service 主菜单中,选择 项目> 查看所有项目 ,然后单击 新建项目。
- 指定创建空项目。
- 输入项目名称,例如 "测试项目"。
- 选择 Cloud Object Storage 实例。
- 单击创建。 将生成管理密钥。
- 删除测试项目。
确保在每个用户的概要文件中为 Cloud Object Storage 设置了全局位置
Cloud Object Storage 要求在每个用户的概要文件中配置全局位置。 全局位置是自动配置的,但可能会错误地进行更改。 如果未在用户概要文件中启用全局位置,那么创建项目时将发生错误。 请求用户检查全局位置是否已启用。
提供对 Cloud Object Storage 的访问权
您可以为需要在 Cloud Pak for Data as a Service中工作的人员提供对 Cloud Object Storage 的不同级别的访问权。 通过使用 Cloud Object Storage 实例上的存储器授权设置,您可以向大多数用户提供快速访问权以创建项目和目录。 但是,另一个选项是使用 IAM 角色和访问组提供目标访问权。 基于角色的访问对直接查看 Cloud Object Storage 实例以及创建项目和目录实施更严格的控制。 如果您决定提供具有 IAM 角色和访问组的受控访问权,那么必须禁用 Cloud Object Storage 实例的存储器授权。
您可以为 Cloud Object Storage 实例启用存储器授权,以向非管理用户提供访问权。 具有最低 IAM 许可权的用户可以创建项目和目录,这将自动在 Cloud Object Storage 实例中创建存储区。 请参阅 对非管理用户启用存储器授权。
您可以使用 IAM 角色和访问组提供更受控制的访问权。 例如, Cloud Object Storage 管理者 角色提供许可权以与 Cloud Object Storage 实例中的相应存储区一起创建项目和空间。 它还提供了以下许可权: 查看 Cloud Object Storage 实例中的所有存储区和加密根密钥,查看存储区和删除存储区的元数据以及执行与存储区相关的其他管理任务。 请参阅 分配角色以启用访问权。
对于在项目或目录中处理数据的合作者,不需要分配角色。 被授予合作者角色的用户可以在项目或目录中工作,而无需存储授权或 IAM 角色。 请参阅 项目合作者角色和许可权。
分配角色以启用访问权
IBM Cloud 帐户所有者或管理员向用户分配相应角色,以提供对 Cloud Object Storage的访问权。 使用基于角色的访问时,必须禁用存储器授权。
您可以创建访问组,而不是为每个用户分配一组角色。 访问组通过对许可权进行分组来加速角色分配。 有关创建访问组的说明,请参阅IBM Cloud文档:设置访问组。 有关为 Cloud Pak for Data as a Service创建一组示例访问组的指示信息,请参阅 IAM 访问组。
示例访问组CPD-COS-Admin为需要创建和修改项目和目录的用户提供对IBM Cloud Object Storage的访问。
分配这些类型的角色以提供对 Cloud Object Storage的访问权:
- IAM 平台访问角色 (在 IBM Cloud 中由帐户管理员或所有者分配)
- IAM Service 访问角色 (在 IBM Cloud 中由帐户管理员或所有者分配)
下表描述了创建和删除项目和目录的用户的角色:
| 位置 | 需要角色 | 类型 | 描述 | 访问组示例 |
|---|---|---|---|---|
| IBM Cloud | 平台管理员 | IAM 平台访问角色 | 执行除管理帐户和分配访问策略以外的所有平台操作。 | CPD-COS-管理 |
| IBM Cloud | 经理 | Cloud Object Storage 的 IAM Service 访问角色 | 创建,修改或删除存储区。 上载并下载存储区中的对象。 创建和删除项目和目录。 | CPD-COS-管理 |
启用存储器授权
Cloud Object Storage 实例的存储授权允许非管理用户创建项目和目录以及相应的 Cloud Object Storage 存储区。 存储授权提供对 Cloud Object Storage 的广泛访问,并允许具有最低许可权的用户创建项目和目录。 项目的存储授权还包括部署空间。
要更仔细地控制谁可以创建项目和目录,请创建用于分配相应角色并将用户放入访问组的访问组。 请参阅 IAM 访问组示例。
要对 Cloud Object Storage 实例启用存储器授权,请执行以下操作:
- 从导航菜单中,选择 管理> 配置和设置> 存储器授权。
- 将 "项目" 和 "目录" 的存储授权设置为开启。
可选:使用自己的密钥加密IBM Cloud Object Storage实例
加密可保护项目和目录的数据。 缺省情况下,使用由 IBM管理的随机生成的密钥对 Cloud Object Storage 中的静态数据进行加密。 为了加强保护,您可以使用 IBM Key Protect来创建和管理自己的加密密钥。 IBM Key Protect for IBM Cloud 是一个集中式密钥管理系统,用于生成,管理和删除 IBM Cloud 服务所使用的加密密钥。
有关详细信息,请参阅IBM Cloud文档:Key Protect for IBM Cloud。
并非所有 "watsonx.ai工作室服务计划和 "IBM Knowledge Catalog服务计划都支持使用您自己的加密密钥。 请检查您的特定计划以获取详细信息。
要使用您自己的密钥加密 Cloud Object Storage 实例,您需要 IBM Key Project 服务的实例。 虽然 Key Protect 是付费服务,但允许每个帐户免费使用五个密钥。
在 IBM Cloud中,供应 Key Protect 并生成密钥:
- 从 IBM Cloud 目录为您的帐户创建 Key Protect 实例。 请参阅IBM Cloud文档:调配Key Protect服务。
- 在 Key Protect 实例与 Cloud Object Storage 实例之间授予服务权限。 请勿将密钥与存储区相关联。 如果未授予授权,那么用户无法使用 Cloud Object Storage 实例创建项目和目录。 有关详细信息,请参阅IBM Cloud文档:使用授权在服务之间授予访问权限。 您也可以在watsonx.aiStudio 中选择 "管理"(Manage)>"访问"(Access)(IAM),为根密钥授予服务授权。
- 创建根密钥以保护 Cloud Object Storage 实例。 请参阅IBM Cloud文档:创建根密钥。
在 Cloud Pak for Data as a Service中,将密钥添加到 Cloud Object Storage 实例:
- 选择 管理> 配置和设置> 存储器授权。
- 滑动 项目和/或 目录的切换开关,以选择要使用密钥进行加密的数据。
- 单击 添加 ... 在 加密密钥 下添加加密密钥。
- 选择 Key Protect 实例 和 Key Protect 密钥。
- 单击 确定 以添加加密密钥。
可选: 保护存储在 Cloud Object Storage 上的敏感数据
当您加入 Cloud Pak for Data as a Service时,将自动为您供应单个 Cloud Object Storage 实例。 Cloud Object Storage 实例包含每个项目的单独存储区,用于存储数据资产和相关文件。 只有具有平台 管理员 角色和 Cloud Object Storage 服务的 管理者 角色的用户才能创建项目,从而将存储区添加到 Cloud Object Storage 。 虽然只有具有这些角色的用户才能创建项目及其随附的存储区,但具有 编辑者 或 查看者 角色的任何用户都可以查看数据文件。 对于某些企业,数据文件包含敏感信息,需要更严格的访问控制。
控制对具有多个实例的 Cloud Object Storage 的访问
对于付费套餐,您可以通过创建一个或多个 Cloud Object Storage 实例并将访问权分配给特定用户来控制对敏感数据文件的访问权。 项目创建者在创建项目时选择相应的 Cloud Object Storage 实例。 项目的数据资产和文件存储在所选实例中的存储区中。 具有 编辑者 或 查看者 角色的用户可以在项目中工作,但他们无法直接在相关的 Cloud Object Storage 存储区中查看资产。 您可以将对特定 Cloud Object Storage 实例的访问权分配给单个用户或访问组。 您必须是帐户所有者或管理员才能创建服务实例并分配访问权。
创建多个 Cloud Object Storage 实例不会产生额外费用,因为费用由总体存储器利用率确定。 实例数不是 Cloud Object Storage 费用的一个因素。
轻量套餐仅允许一个 Cloud Object Storage 实例。 您可以从 IBM Cloud 目录更改定价套餐。
要创建 Cloud Object Storage 实例并分配访问权,请执行以下操作:
- 从导航菜单中选择 服务> 服务目录 。
- 选择 存储> Cloud Object Storage。
- 单击创建。 将在 IBM Cloud上为您生成服务名称。
- 选择 管理> 访问权 (IAM)。
- 选择 用户 或 访问组。
- 单击分配访问权。
- 在 服务 列表中,选择 Cloud Object Storage。
- 对于 资源,请选择:
- 作用域 = 特定资源
- 属性类型 = 服务实例
- 运算符 = 字符串等于
- 值 = Cloud Object Storage 的名称
- 对于角色和操作,请选择:
- 服务访问权 = 管理者
- 平台访问权 = 管理员
- 单击 添加 和 分配。
指定的 Cloud Object Storage 实例只能由具有 "管理者" 服务角色和 "管理员" 平台角色的用户或访问组访问。 其他用户可以在项目中工作,但不能直接在存储区中创建项目或查看资产。
下一步
完成设置平台的剩余步骤。
了解更多信息
- 工作空间的对象存储器
- 管理 Cloud Object Storage
- Cloud Pak for Data as a Service 的安全性
- 数据安全性
- 对项目的 Cloud Object Storage 进行故障诊断
父主题: 设置平台