Eine IBM Cloud Object Storage Service-Instanz wird automatisch mit einem kostenlosen Plan bereitgestellt, wenn Sie Cloud Pak for Data as a Service beitreten. Arbeitsbereiche, wie z. B. Projekte, benötigen IBM Cloud Object Storage, um Dateien zu speichern, die sich auf Assets beziehen, einschließlich hochgeladener Datendateien oder Notizbuchdateien.
Sie können auch eine Verbindung zu IBM Cloud Object Storage als Datenquelle herstellen. Weitere Informationen finden Sie unter IBM Cloud Object Storage-Verbindung.
Übersicht über die Einrichtung von Cloud Object Storage
Führen Sie die folgenden Tasks aus, um Cloud Object Storageeinzurichten:
- Verwaltungsschlüssel generieren.
- Stellen Sie sicher, dass die globale Position im Profil jedes Benutzers festgelegt ist
- Zugriff auf Cloud Object Storagebereitstellen.
- Optional: Schützen Sie sensible Daten.
- Optional: Verschlüsseln Sie Ihre IBM Cloud Object Storage mit Ihrem eigenen Schlüssel.
Das folgende Video zeigt, wie Administratoren Cloud Object Storage für die Nutzung mit Cloud Pak for Data as a Serviceeinrichten.
Dieses Video bietet eine visuelle Methode zum Erlernen der Konzepte und Tasks in dieser Dokumentation.
Verwaltungsschlüssel generieren
Sie generieren einen Verwaltungsschlüssel für Cloud Object Storage , indem Sie ein erstes Testprojekt erstellen. Das Testprojekt kann nach seiner Erstellung gelöscht werden. Der einzige Zweck besteht darin, den Schlüssel zu generieren.
So generieren Sie automatisch den Verwaltungsschlüssel für Ihre Cloud Object Storage-Instanz:
- Wählen Sie im Hauptmenü von Cloud Pak for Data as a Service Projekte > Alle Projekte anzeigen aus und klicken Sie anschließend auf Neues Projekt.
- Geben Sie an, dass Sie ein leeres Projekt erstellen wollen.
- Geben Sie einen Projektnamen ein, z. B. 'Test Project'.
- Wählen Sie Ihre Cloud Object Storage-Instanz aus.
- Klicken Sie auf Erstellen. Der Verwaltungsschlüssel wird generiert.
- Löschen Sie das Testprojekt.
Stellen Sie sicher, dass die globale Position für Cloud Object Storage im Profil jedes Benutzers festgelegt ist.
Für Cloud Object Storage muss die globale Position im Profil jedes Benutzers konfiguriert sein. Die globale Position wird automatisch konfiguriert, aber sie kann versehentlich geändert werden. Wenn die globale Position im Profil des Benutzers nicht aktiviert ist, tritt beim Erstellen eines Projekts ein Fehler auf. Bitten Sie Benutzer zu prüfen, ob der globale Standort aktiviert ist.
Suchen Sie im Profil jedes Benutzers nach der Position Global.
Zugriff auf Cloud Object Storage bereitstellen
Sie können verschiedene Ebenen des Zugriffs auf Cloud Object Storage für Personen bereitstellen, die in Cloud Pak for Data as a Servicearbeiten müssen. Mit der Einstellung für die Speicherdelegierung in der Cloud Object Storage -Instanz können Sie den meisten Benutzern einen schnellen Zugriff zum Erstellen von Projekten und Katalogen ermöglichen. Eine weitere Option besteht jedoch darin, zielgruppenspezifischen Zugriff mithilfe von IAM-Rollen und -Zugriffsgruppen bereitzustellen. Der rollenbasierte Zugriff bewirkt strengere Steuerelemente für die direkte Anzeige der Cloud Object Storage -Instanz und für die Erstellung von Projekten und Katalogen. Wenn Sie einen kontrollierten Zugriff mit IAM-Rollen und -Zugriffsgruppen bereitstellen möchten, müssen Sie die Speicherdelegierung für die Cloud Object Storage -Instanz inaktivieren.
Sie aktivieren die Speicherdelegierung für die Cloud Object Storage -Instanz, um Benutzern ohne Verwaltungsaufgaben den Zugriff zu ermöglichen. Benutzer mit minimalen IAM-Berechtigungen können Projekte und Kataloge erstellen, die automatisch Buckets in der Cloud Object Storage -Instanz erstellen. Siehe Speicherdelegierung für Benutzer ohne Verwaltungsaufgaben aktivieren.
Sie stellen kontrollierten Zugriff mit IAM-Rollen und -Zugriffsgruppen bereit. Die Rolle Cloud Object Storage Manager stellt beispielsweise Berechtigungen zum Erstellen von Projekten und Bereichen zusammen mit den entsprechenden Buckets in der Cloud Object Storage -Instanz bereit. Außerdem werden Berechtigungen zum Anzeigen aller Buckets und Verschlüsselungsrootschlüssel in der Cloud Object Storage -Instanz, zum Anzeigen der Metadaten für ein Bucket und zum Löschen von Buckets sowie zum Ausführen anderer Verwaltungstasks bereitgestellt, die sich auf Buckets beziehen. Siehe Rollen zum Aktivieren des Zugriffs zuweisen.
Für Mitarbeiter, die mit den Daten in einem Projekt oder Katalog arbeiten, sind keine Rollenzuordnungen erforderlich. Benutzer, denen Mitarbeiterrollen zugewiesen sind, können ohne Speicherdelegierung oder IAM-Rolle im Projekt oder Katalog arbeiten. Siehe Projektmitarbeiterrollen und -berechtigungen.
Rollen zum Aktivieren des Zugriffs zuweisen
Der IBM Cloud -Kontoeigner oder -Administrator weist Benutzern die entsprechenden Rollen zu, um Zugriff auf Cloud Object Storagebereitzustellen. Die Speicherdelegierung muss inaktiviert werden, wenn rollenbasierter Zugriff verwendet wird.
Anstatt jedem einzelnen Benutzer eine Gruppe von Rollen zuzuordnen, können Sie eine Zugriffsgruppe erstellen. Zugriffsgruppen beschleunigen Rollenzuordnungen durch Gruppieren von Berechtigungen. Eine Anleitung zum Erstellen von Zugriffsgruppen finden Sie in den IBM Cloud: Einrichten von Zugriffsgruppen. Anweisungen zum Erstellen einer Gruppe von Beispielzugriffsgruppen für Cloud Pak for Data as a Servicefinden Sie unter IAM-Zugriffsgruppen.
Die Beispiel-Zugangsgruppe CPD-COS-Admin bietet Benutzern, die Projekte und Kataloge erstellen und ändern müssen, Zugriff auf IBM Cloud Object Storage.
Die folgenden Typen von Rollen werden zugeordnet, um Zugriff auf Cloud Object Storagebereitzustellen:
- IAM-Plattformzugriffsrolle (in IBM Cloud vom Kontoadministrator oder Kontoeigner zugewiesen)
- Zugriffsrolle IAM Service (in IBM Cloud vom Kontoadministrator oder Kontoeigner zugewiesen)
Die folgende Tabelle beschreibt die Rollen für Benutzer, die Projekte und Kataloge erstellen und löschen:
Standort | Erforderliche Rolle | Typ | Beschreibung | Beispiel für Zugriffsgruppe |
---|---|---|---|---|
IBM Cloud | Plattformadministrator | IAM-Plattformzugriffsrolle | Führen Sie alle Plattformaktionen mit Ausnahme der Verwaltung des Kontos und der Zuweisung von Zugriffsrichtlinien aus. | CPD-COS-Administrator |
IBM Cloud | Manager | Zugriffsrolle IAM Service für Cloud Object Storage | Buckets erstellen, ändern oder löschen. Laden Sie die Objekte im Bucket hoch und herunter. Projekte und Kataloge erstellen und löschen. | CPD-COS-Administrator |
Speicherdelegierung aktivieren
Die Speicherdelegierung für die Cloud Object Storage -Instanz ermöglicht es Benutzern ohne Verwaltungsaufgaben, Projekte und Kataloge sowie die entsprechenden Cloud Object Storage -Buckets zu erstellen. Die Speicherdelegierung bietet umfassenden Zugriff auf Cloud Object Storage und ermöglicht Benutzern mit minimalen Berechtigungen, Projekte und Kataloge zu erstellen. Die Speicherdelegierung für Projekte umfasst auch Implementierungsbereiche.
Um genauer zu steuern, wer Projekte und Kataloge erstellen kann, erstellen Sie eine Zugriffsgruppe, die die entsprechende Rolle zuordnet und Benutzer in die Zugriffsgruppe einteilt. Siehe Beispiel für IAM-Zugriffsgruppen.
Gehen Sie wie folgt vor, um die Speicherdelegierung für die Cloud Object Storage -Instanz zu aktivieren:
- Wählen Sie im Navigationsmenü Verwaltung > Konfigurationen und Einstellungen > Speicherdelegierungaus.
- Speicherdelegierung für Projekte und Kataloge auf 'ein' setzen.
Optional: Verschlüsseln Sie Ihre IBM Cloud Object Storage mit Ihrem eigenen Schlüssel
Die Verschlüsselung schützt die Daten für Ihre Projekte und Kataloge. Ruhende Daten in Cloud Object Storage werden standardmäßig mit zufällig generierten Schlüsseln verschlüsselt, die von IBMverwaltet werden. Für einen besseren Schutz können Sie eigene Verschlüsselungsschlüssel mit IBM Key Protecterstellen und verwalten. IBM Key Protect for IBM Cloud ist ein zentrales Schlüsselmanagementsystem zum Generieren, Verwalten und Löschen von Verschlüsselungsschlüsseln, die von IBM Cloud -Services verwendet werden.
Weitere Informationen finden Sie in den IBM Cloud: IBM Key Protect for IBM Cloud.
Nicht alle watsonx.ai Studio Servicepläne und IBM Knowledge Catalog Servicepläne unterstützen die Verwendung eigener Verschlüsselungsschlüssel. Überprüfen Sie Ihren spezifischen Plan auf Details.
Sie benötigen eine Instanz des IBM Key Project-Service, um Ihre Cloud Object Storage-Instanz mit Ihrem eigenen Schlüssel zu verschlüsseln. Obwohl Key Protect ein gebührenpflichtiger Service ist, sind für jedes Konto fünf Schlüssel gebührenfrei zulässig.
Stellen Sie in IBM Cloud Key Protect bereit und generieren Sie einen Schlüssel:
- Erstellen Sie eine Instanz von Key Protect für Ihr Konto aus dem IBM Cloud -Katalog. Siehe IBM Cloud: Bereitstellung des Key Protect.
- Erteilen Sie eine Serviceberechtigung zwischen Ihrer Key Protect-Instanz und Ihrer Cloud Object Storage-Instanz. Ordnen Sie einen Schlüssel nicht einem Bucket zu. Wenn Sie diese Berechtigung nicht erteilen, können Benutzer keine Projekte und Kataloge mit der Cloud Object Storage-Instanz erstellen. Weitere Informationen finden Sie in den IBM Cloud: Verwendung von Berechtigungen zur Gewährung von Zugriff zwischen Services. Sie können auch eine Dienstautorisierung für einen Root Key von watsonx.ai Studio aus erteilen, indem Sie Verwalten > Zugriff (IAM) wählen.
- Erstellen Sie einen Rootschlüssel zum Schutz Ihrer Cloud Object Storage -Instanz. Siehe IBM Cloud: Erstellen von Stammschlüsseln.
Fügen Sie in Cloud Pak for Data as a Serviceden Schlüssel zur Cloud Object Storage -Instanz hinzu:
- Wählen Sie Administration > Konfigurationen und Einstellungen > Speicherdelegierung.
- Verschieben Sie die Umschaltfläche für Projekteund/oder Kataloge, um Daten für die Verschlüsselung mit Ihrem Schlüssel auszuwählen.
- Klicken Sie auf Hinzufügen ... . unter Chiffrierschlüssel , um einen Chiffrierschlüssel hinzuzufügen.
- Wählen Sie die Key Protect -Instanz und den SchlüsselKey Protectaus.
- Klicken Sie auf OK , um den Chiffrierschlüssel hinzuzufügen.
Optional: Schützen Sie sensible Daten, die in Cloud Object Storage gespeichert sind.
Wenn Sie Cloud Pak for Data as a Servicebeitreten, wird eine einzelne Cloud Object Storage -Instanz automatisch für Sie bereitgestellt. Die Cloud Object Storage -Instanz enthält separate Buckets für jedes Projekt zum Speichern von Datenassets und zugehörigen Dateien. Die Möglichkeit, Projekte zu erstellen und Buckets zu Cloud Object Storage hinzuzufügen, steht nur Benutzern mit der Plattformrolle Administrator und der Rolle Manager für den Cloud Object Storage -Service zur Verfügung. Obwohl nur Benutzer mit diesen Rollen Projekte und ihre zugehörigen Buckets erstellen können, kann jeder Benutzer mit der Rolle Editor oder Anzeigeberechtigter die Datendateien anzeigen. Für einige Unternehmen enthalten die Datendateien sensible Informationen und erfordern strengere Zugriffskontrollen.
Steuerung des Zugriffs auf Cloud Object Storage mit mehreren Instanzen
Bei kostenpflichtigen Plänen können Sie den Zugriff auf Dateien mit sensiblen Daten steuern, indem Sie eine oder mehrere Cloud Object Storage -Instanzen erstellen und bestimmten Benutzern Zugriff zuweisen. Projektersteller wählen beim Erstellen eines Projekts die entsprechende Cloud Object Storage -Instanz aus. Die Datenassets und Dateien für das Projekt werden in einem Bucket in der ausgewählten Instanz gespeichert. Benutzer mit der Rolle Editor oder Anzeigeberechtigter können in den Projekten arbeiten, aber sie können die Assets nicht direkt im zugehörigen Cloud Object Storage -Bucket sehen. Sie können einem einzelnen Benutzer oder einer Zugriffsgruppe Zugriff auf eine bestimmte Cloud Object Storage -Instanz erteilen. Sie müssen der Kontoeigner oder Administrator sein, um Serviceinstanzen erstellen und Zugriff zuweisen zu können.
Es fallen keine zusätzlichen Gebühren an, wenn mehrere Cloud Object Storage -Instanzen erstellt werden, da die Gebühren durch die Gesamtspeichernutzung bestimmt werden. Die Anzahl der Instanzen ist kein Faktor für Cloud Object Storage -Gebühren.
Für den Lite-Plan ist nur eine Instanz von Cloud Object Storage zulässig. Sie können Ihren Preistarif über den IBM Cloud -Katalog ändern.
Gehen Sie wie folgt vor, um eine Cloud Object Storage -Instanz zu erstellen und Zugriff zuzuweisen:
- Wählen Sie im Navigationsmenü Services > Servicekatalog aus.
- Wählen Sie Speicher > Cloud Object Storageaus.
- Klicken Sie auf Erstellen. In IBM Cloudwird ein Servicename generiert.
- Wählen Sie Verwalten > Zugriff (IAM).
- Wählen Sie Benutzer oder Zugriffsgruppenaus.
- Klicken Sie auf Zugriff zuweisen.
- Wählen Sie in der Liste Services die Option Cloud Object Storageaus.
- Wählen Sie für RessourcenFolgendes aus:
- Bereich = Bestimmte Ressourcen
- Attributtyp = Serviceinstanz
- Operator = Zeichenfolge ist gleich
- Wert = Name von Cloud Object Storage
- Wählen Sie für Rollen und AktionenFolgendes aus:
- Servicezugriff = Manager
- Plattformzugriff = Administrator
- Klicken Sie auf Add und auf Assign.
Auf die angegebene Cloud Object Storage -Instanz kann nur der Benutzer oder die Zugriffsgruppe mit der Servicerolle 'Manager' und der Plattformrolle 'Administrator' zugreifen. Andere Benutzer können in den Projekten arbeiten, jedoch keine Projekte erstellen oder Assets direkt im Bucket anzeigen.
Nächster Schritt
Schließen Sie die übrigen Schritte zum Einrichten der Plattform ab.
Weitere Informationen
- Objektspeicher für Arbeitsbereiche
- Speicherbereich in Cloud Object Storage
- Security for Cloud Pak for Data as a Service
- Datensicherheit
- Fehlerbehebung bei Cloud Object Storage für Projekte
Übergeordnetes Thema: Plattform einrichten