Translation not up to date
Instance služby produktu IBM Cloud Object Storage je při připojení k produktu Cloud Pak for Data as a Serviceautomaticky zajišťována s lehkém plánem. Pracovní prostory, jako např. projekty, vyžadují produkt IBM Cloud Object Storage k ukládání souborů souvisejících s aktivy, včetně odeslaných datových souborů nebo notebooků.
Také se můžete připojit k produktu IBM Cloud Object Storage jako zdroj dat. Viz připojení IBM Cloud Object Storage.
Přehled nastavení prostředí Cloud Object Storage
Chcete-li nastavit produkt Cloud Object Storage, proveďte tyto úlohy:
- Generovat administrativní klíč.
- Zkontrolujte, zda je v profilu každého uživatele nastaveno Globální umístění.
- Poskytněte přístup k produktu Cloud Object Storage.
- Volitelné: Chránit citlivá data.
- Volitelné: Zašifrujte instanci IBM Cloud Object Storage pomocí svého vlastního klíče.
Podívejte se na následující video a uvidíte, jak administrátoři nastavují produkt Cloud Object Storage pro použití s produktem Cloud Pak for Data as a Service.
Toto video poskytuje vizuální metodu pro seznámení se s koncepty a úlohami v této dokumentaci.
Generovat administrativní klíč
Vygenerujete administrativní klíč pro produkt Cloud Object Storage vytvořením počátečního testovacího projektu. Testovací projekt lze odstranit po jeho vytvoření. Jejím jediným účelem je generovat klíč.
Chcete-li automaticky generovat administrativní klíč pro instanci Cloud Object Storage , postupujte takto:
- Z hlavní nabídky Cloud Pak for Data as a Service vyberte volbu Projekty > Zobrazit všechny projekty a poté klepněte na volbu Nový projekt.
- Uveďte, chcete-li vytvořit prázdný projekt.
- Zadejte název projektu, jako např. "Testovací projekt".
- Vyberte instanci Cloud Object Storage .
- Klepněte na volbu Vytvořit. Vygeneruje se administrativní klíč.
- Odstraňte testovací projekt.
Ujistěte se, že je globální umístění nastaveno pro Cloud Object Storage v profilu každého uživatele
Cloud Object Storage vyžaduje, aby globální umístění bylo konfigurováno v profilu každého uživatele. Globální umístění je konfigurováno automaticky, ale může být změněno omylem. K chybě dojde, když je projekt vytvořen, pokud není globální umístění v profilu uživatele povoleno. Požádejte uživatele, aby zkontrolli, zda je globální umístění povoleno.
Poskytuje přístup k produktu Cloud Object Storage
Pro osoby, které potřebují pracovat v produktu Cloud Pak for Data as a Service, můžete poskytnout různé úrovně přístupu k produktu Cloud Object Storage . Pomocí nastavení delegování úložiště na instanci Cloud Object Storage můžete poskytnout rychlý přístup k většině uživatelů k vytvoření projektů a katalogů. Další možností je poskytnout cílený přístup pomocí rolí IAM a přístupových skupin. Přístup na základě rolí je přísnějším řízením pro zobrazení instance Cloud Object Storage přímo a pro vytváření projektů a katalogů. Pokud se rozhodnete poskytnout řízený přístup k rolím IAM a skupinám přístupů, musíte zakázat delegování úložiště pro instanci Cloud Object Storage .
Povolíte delegování úložiště pro instanci produktu Cloud Object Storage , abyste poskytli přístup neadministrativním uživatelům. Uživatelé s minimálními oprávněními IAM mohou vytvářet projekty a katalogy, které automaticky vytvářejí sektory v instanci Cloud Object Storage . Viz téma Povolit delegování úložiště pro neadministrativní uživatele.
Poskytujete kontrolovanější přístup k rolím IAM a k skupinám přístupů. Role Cloud Object Storage Manager například poskytuje oprávnění k vytvoření projektů a prostorů spolu s odpovídajícími sektory v instanci Cloud Object Storage . Poskytuje také oprávnění k zobrazení všech sektorů a kořenových klíčů šifrování v instanci Cloud Object Storage , k zobrazení metadat sektoru a k odstranění sektorů a k provedení dalších administrativních úloh, které souvisejí s sektory. Viz téma Přiřazení rolí pro povolení přístupu.
Pro spolupracovníky, kteří pracují s daty v projektu nebo katalogu, nejsou žádná přiřazení role. Uživatelé, kteří jsou přiřazovaní spolupracujícím rolím, mohou pracovat v projektu nebo katalogu bez delegování úložiště nebo role IAM. Viz téma Role spolupracovníka projektu a oprávnění.
Přiřadit role pro povolení přístupu
Vlastník účtu nebo administrátor produktu IBM Cloud přiřadí uživatelům příslušné role, aby poskytli přístup k produktu Cloud Object Storage. Delegování úložiště musí být zakázáno, když používáte přístup na základě role.
Místo přiřazení sady rolí jednotlivým uživatelům můžete vytvořit skupinu přístupů. Skupiny přístupů urychlují přiřazení rolí pomocí seskupení oprávnění. Pokyny pro vytváření skupin přístupů naleznete v tématu Dokumenty produktuIBM Cloud : Nastavení skupin přístupu. Pokyny pro vytvoření sady ukázkových skupin přístupů pro Cloud Pak for Data as a Servicenajdete v tématu Skupiny přístupů IAM.
Příklad přístupové skupiny CPD-COS-Admin poskytuje přístup k produktu IBM Cloud Object Storage pro uživatele, kteří potřebují vytvářet a upravovat projekty a katalogy.
Tyto typy rolí jsou přiřazeny k poskytnutí přístupu k produktu Cloud Object Storage:
- Role přístupu k platformě IAM (přiřazená v produktu IBM Cloud prostřednictvím administrátora nebo vlastníka účtu)
- Přístupová role IAM Service (přiřazená v produktu IBM Cloud administrátorem nebo vlastníkem účtu)
Následující tabulka popisuje role uživatelů, kteří vytvářejí a odstraňují projekty a katalogy:
| Lokalita | Potřebná role | Typ | Popis | Příklad přístupové skupiny |
|---|---|---|---|---|
| IBM Cloud | Administrátor platformy | Přístupová role platformy IAM | Provádět všechny akce platformy kromě správy účtu a přiřazení zásad přístupu. | CPD-COS-Admin |
| IBM Cloud | Správce | Přístupová role IAM Service pro produkt Cloud Object Storage | Vytvořit, upravit nebo odstranit sektory. Odešlete a stáhněte objekty v sektoru. Vytvořit a odstranit projekty a katalogy. | CPD-COS-Admin |
Povolit delegování úložiště
Delegování úložiště pro instanci produktu Cloud Object Storage umožňuje neadministrativním uživatelům vytvářet projekty a katalogy a odpovídající sektory Cloud Object Storage . Delegování úložiště poskytuje široký přístup k produktu Cloud Object Storage a umožňuje uživatelům s minimálními oprávněními vytvářet projekty a katalogy. Delegování úložiště pro projekty také zahrnuje prostory implementace.
Chcete-li lépe řídit, kdo může vytvářet projekty a katalogy, vytvořte skupinu přístupů, která přiřadí příslušnou roli a umístí uživatele do skupiny přístupů. Viz Příklad skupin přístupu IAM.
Chcete-li povolit delegování úložiště pro instanci Cloud Object Storage , postupujte takto:
- V navigační nabídce vyberte volbu Administrace > Konfigurace a nastavení > Delegování úložiště.
- Nastavte delegování úložiště pro projekty i Katalogy na zapnuto.
Volitelné: Zašifrujte instanci IBM Cloud Object Storage pomocí svého vlastního klíče
Šifrování chrání data pro vaše projekty a katalogy. Data ve zbytku v produktu Cloud Object Storage jsou standardně šifrována pomocí náhodně generovaných klíčů, které jsou spravovány společností IBM. Pro zvýšenou ochranu můžete vytvořit a spravovat své vlastní šifrovací klíče pomocí IBM Key Protect. Produkt IBM Key Protect for IBM Cloud je centralizovaný systém pro správu klíčů pro generování, správu a odstraňování šifrovacích klíčů používaných službami IBM Cloud .
Další informace naleznete v tématu Dokumenty produktuIBM Cloud : IBM Key Protect for IBM Cloud.
Ne všechny všechny plány služeb Watson Studio a Plány služebWatson Knowledge Catalog podporují použití vašich vlastních šifrovacích klíčů. Podrobnosti naleznete ve specifickém plánu.
Chcete-li zašifrovat instanci Cloud Object Storage svým vlastním klíčem, musíte mít instanci produktu IBM Key Project. Ačkoli je služba Key Protect placenou službou, každý účet má povoleno pět klíčů bez poplatku.
V produktu IBM Cloudzajistěte volbu Key Protect a vygenerujte klíč:
- Vytvořte instanci Key Protect pro váš účet z katalogu IBM Cloud . Viz dokumenty IBM Cloud : Zajištění služby Key Protect.
- Udělte autorizaci služby mezi vaší instancí Key Protect a instancí Cloud Object Storage . Nepřiřazujte klíč k sektoru. Pokud neudělíte autorizaci, uživatelé nemohou vytvářet projekty a katalogy s instancí Cloud Object Storage . Další informace naleznete v dokumentu IBM Cloud docs: Použití autorizací pro udělení přístupu mezi službami. Autorizaci služby pro kořenový klíč můžete také udělit z produktu Watson Studiovýběrem volby Spravovat > Přístup (IAM).
- Vytvořte kořenový klíč pro ochranu vaší instance Cloud Object Storage . Viz dokumenty IBM Cloud docs: Vytvoření kořenových klíčů.
V produktu Cloud Pak for Data as a Servicepřidejte klíč do instance Cloud Object Storage :
- Vyberte volbu Administrace > Konfigurace a nastavení > Delegování úložiště.
- Posuňte přepínač pro Projekty, Katalogynebo obojí, abyste vybrali data pro šifrování pomocí klíče.
- Klepněte na tlačítko Přidat ... pod Šifrovací klíče pro přidání šifrovacího klíče.
- Vyberte instanci Key Protect a KlíčKey Protect.
- Klepnutím na tlačítko OK přidejte šifrovací klíč.
Volitelné: Chránit citlivá data uložená v úložišti Cloud Object Storage
Když se připojíte k produktu Cloud Pak for Data as a Service, je pro vás automaticky zajišťováno jediné instance Cloud Object Storage . Instance Cloud Object Storage obsahuje oddělené sektory pro každý projekt k uložení datových aktiv a souvisejících souborů. Schopnost vytvářet projekty a přidávat sektory do úložiště Cloud Object Storage je k dispozici pouze pro uživatele s rolí Administrátor platformy a roli Správce pro službu Cloud Object Storage Service. Ačkoli pouze uživatelé s těmito rolemi mohou vytvářet projekty a jejich doprovodné sektory, může všechny uživatele s rolí Editor nebo Prohlížeč vidět datové soubory. Pro některé podniky obsahují datové soubory citlivé informace a vyžadují přísnější řízení přístupu.
Řízení přístupu k produktu Cloud Object Storage s více instancemi
Pro placené plány můžete řídit přístup k citlivým datovým souborům vytvořením jedné nebo více instancí Cloud Object Storage a přiřazením přístupu ke specifickým uživatelům. Tvůrci projektu vyberou při vytváření projektu odpovídající instanci Cloud Object Storage . Datová aktiva a soubory pro projekt jsou uloženy v sektoru ve vybrané instanci. Uživatelé s rolemi Editor nebo Prohlížeč mohou pracovat v projektech, ale nemohou si prohlédnout aktiva přímo v souvisejícím sektoru Cloud Object Storage . Můžete přiřadit přístup ke specifické instanci Cloud Object Storage buď pro jednotlivého uživatele, nebo pro skupinu přístupů. Chcete-li vytvořit instance služby a přiřadit přístup, musíte být vlastníkem účtu nebo administrátorem.
Přebytečné poplatky se nevzniknou vytvořením více než jedné instance Cloud Object Storage , protože poplatky jsou určovány celkovým využitím úložiště. Počet instancí není faktorem pro poplatky Cloud Object Storage .
Pouze jedna instance produktu Cloud Object Storage je povolena pro jednoduchý plán. Cenový plán můžete změnit z katalogu IBM Cloud .
Chcete-li vytvořit instanci Cloud Object Storage a přiřadit přístup, postupujte takto:
- V navigační nabídce vyberte volbu Služby > Katalog služeb .
- Vyberte volbu Úložiště > Cloud Object Storage.
- Klepněte na volbu Vytvořit. Název služby pro vás je vygenerován v prostředí IBM Cloud.
- Vyberte volbu Spravovat > Přístup (IAM).
- Vyberte volbu Uživatelé nebo Skupiny přístupů.
- Klepněte na volbu Přiřadit přístup.
- V seznamu Služby vyberte volbu Cloud Object Storage.
- Pro volbu Prostředkyvyberte:
- Rozsah = Specifické prostředky
- Typ atributu = Instance služby
- Operátor = řetězec je roven
- Hodnota = název Cloud Object Storage
- Pro role a akcevyberte:
- Přístup ke službě = Správce
- Přístup k platformě = Administrátor
- Klepněte na tlačítko Přidat a Přiřadit.
K určené instanci Cloud Object Storage může přistupovat pouze uživatel nebo skupina přístupů s rolí Správce a Platforma administrátora. Ostatní uživatelé mohou pracovat v projektech, ale nemohou vytvářet projekty ani zobrazovat aktiva přímo v sektoru.
Další krok
Dokončete zbývající kroky pro nastavení platformy.
Další informace
Nadřízené téma: Nastavení platformy