Préparation d'IBM Cloud Object Storage pour son utilisation avec Cloud Pak for Data as a Service
Une instance de service IBM Cloud Object Storage est mise à disposition automatiquement avec un plan gratuit lorsque vous rejoignez Cloud Pak for Data as a Service. Les espaces de travail, tels que les projets, nécessitent IBM Cloud Object Storage pour stocker les fichiers liés aux actifs, y compris les fichiers de données ou les fichiers de bloc-notes téléchargés.
Vous pouvez aussi vous connecter à IBM Cloud Object Storage pour l'utiliser en tant que source de données. Voir Connexion IBM Cloud Object Storage.
Présentation de la configuration de Cloud Object Storage
Pour configurer Cloud Object Storage, procédez comme suit:
- Générer une clé d'administration.
- Vérifiez que l'emplacement global est défini dans le profil de chaque utilisateur.
- Fournissez l'accès à Cloud Object Storage.
- Facultatif: Protégez les données sensibles.
- Facultatif: Chiffrez votre instance IBM Cloud Object Storage avec votre propre clé.
Regardez la vidéo suivante pour voir comment les administrateurs configurent Cloud Object Storage pour une utilisation avec Cloud Pak for Data as a Service.
Cette vidéo fournit une méthode visuelle pour apprendre les concepts et les tâches de cette documentation.
Générer une clé d'administration
Vous générez une clé d'administration pour Cloud Object Storage en créant un projet de test initial. Le projet de test peut être supprimé après sa création. Son seul but est de générer la clé.
Pour générer automatiquement la clé administrative pour votre instance de Cloud Object Storage :
- Dans le menu principal du service Cloud Pak for Data, sélectionnez Projets > Afficher tous les projets, puis cliquez sur Nouveau projet.
- Indiquez que vous souhaitez créer un projet vide.
- Entrez un nom de projet, tel que " Projet test ".
- Sélectionnez votre instance de Cloud Object Storage.
- Cliquez sur Créer. La clé d'administration est générée.
- Supprimez le projet de test.
Vérifiez que l'emplacement global est défini pour Cloud Object Storage dans le profil de chaque utilisateur
Cloud Object Storage requiert que l'emplacement global soit configuré dans le profil de chaque utilisateur. L'emplacement global est configuré automatiquement, mais il peut être modifié par erreur. Une erreur se produit lorsqu'un projet est créé si l'emplacement global n'est pas activé dans le profil de l'utilisateur. Demandez aux utilisateurs de vérifier que l'emplacement global est activé.
Recherchez l'emplacement Global dans le profil de chaque utilisateur.
Fournir l'accès à Cloud Object Storage
Vous pouvez fournir différents niveaux d'accès à Cloud Object Storage pour les personnes qui doivent travailler dans Cloud Pak for Data as a Service. A l'aide du paramètre de délégation de stockage sur l'instance Cloud Object Storage , vous pouvez fournir un accès rapide à la plupart des utilisateurs pour créer des projets et des catalogues. Toutefois, une autre option consiste à fournir un accès ciblé en utilisant des rôles et des groupes d'accès IAM. L'accès basé sur les rôles impose des contrôles plus stricts pour l'affichage direct de l'instance Cloud Object Storage et la création de projets et de catalogues. Si vous décidez de fournir un accès contrôlé avec des rôles et des groupes d'accès IAM, vous devez désactiver la délégation de stockage pour l'instance Cloud Object Storage .
Vous activez la délégation de stockage pour l'instance Cloud Object Storage afin de fournir un accès aux utilisateurs non administrateurs. Les utilisateurs disposant de droits IAM minimaux peuvent créer des projets et des catalogues, qui créent automatiquement des compartiments dans l'instance Cloud Object Storage . Voir Activation de la délégation de stockage pour les utilisateurs non administrateurs.
Vous fournissez un accès plus contrôlé avec des rôles IAM et des groupes d'accès. Par exemple, le rôle Cloud Object Storage Manager fournit des droits permettant de créer des projets et des espaces avec les compartiments correspondants dans l'instance Cloud Object Storage . Il fournit également des droits permettant d'afficher tous les compartiments et les clés racine de chiffrement dans l'instance Cloud Object Storage , d'afficher les métadonnées d'un compartiment et de supprimer des compartiments, et d'effectuer d'autres tâches d'administration liées aux compartiments. Voir Affecter des rôles pour activer l'accès.
Aucune affectation de rôle n'est requise pour les collaborateurs qui travaillent avec les données d'un projet ou d'un catalogue. Les utilisateurs auxquels sont attribués des rôles de collaborateur peuvent travailler dans le projet ou le catalogue sans délégation de stockage ni rôle IAM. Voir Rôles et droits de collaborateur de projet.
Affecter des rôles pour activer l'accès
Le propriétaire ou l'administrateur du compte IBM Cloud affecte les rôles appropriés aux utilisateurs pour leur permettre d'accéder à Cloud Object Storage. La délégation de stockage doit être désactivée lors de l'utilisation de l'accès basé sur les rôles.
Au lieu d'affecter à chaque utilisateur individuel un ensemble de rôles, vous pouvez créer un groupe d'accès. Les groupes d'accès accélèrent les affectations de rôle en regroupant les droits. Pour obtenir des instructions sur la création de groupes d'accès, voir IBM Cloud docs: Setting up access groups. Pour des instructions sur la création d'un ensemble d'exemples de groupes d'accès pour Cloud Pak for Data as a Service, voir Groupes d'accès IAM.
L'exemple de groupe d'accès CPD-COS-Admin fournit l'accès à IBM Cloud Object Storage pour les utilisateurs qui doivent créer et modifier des projets et des catalogues.
Les types de rôle suivants sont affectés pour permettre l'accès à Cloud Object Storage:
- Rôle d'accès à la plateforme IAM (affecté dans IBM Cloud par l'administrateur ou le propriétaire du compte)
- Rôle d'accès IAM Service (affecté dans IBM Cloud par l'administrateur de compte ou le propriétaire)
Le tableau suivant décrit les rôles des utilisateurs qui créent et suppriment des projets et des catalogues:
Emplacement | Rôle requis | Type | Descriptif | Exemple de groupe d'accès |
---|---|---|---|---|
IBM Cloud | Administrateur de la plateforme | Rôle d'accès à la plateforme IAM | Effectuez toutes les actions de plateforme, à l'exception de la gestion du compte et de l'affectation des règles d'accès. | CPD-COS-Admin |
IBM Cloud | Responsable | Rôle d'accès IAM Service pour Cloud Object Storage | Créer, modifier ou supprimer des compartiments. Téléchargez et téléchargez les objets dans le compartiment. Créer et supprimer des projets et des catalogues. | CPD-COS-Admin |
Activer la délégation de stockage
La délégation de stockage pour l'instance Cloud Object Storage permet aux utilisateurs non administrateurs de créer des projets et des catalogues et les compartiments Cloud Object Storage correspondants. La délégation de stockage fournit un accès étendu à Cloud Object Storage et permet aux utilisateurs disposant de droits minimaux de créer des projets et des catalogues. La délégation du stockage pour les projets inclut également les espaces de déploiement.
Pour contrôler plus précisément qui peut créer des projets et des catalogues, créez un groupe d'accès qui affecte le rôle approprié et place les utilisateurs dans le groupe d'accès. Voir Exemple de groupes d'accès IAM.
Pour activer la délégation de stockage pour l'instance Cloud Object Storage :
- Dans le menu de navigation, sélectionnez Administration > Configurations et paramètres > Délégation de stockage.
- Définissez la délégation de stockage pour les projets et les catalogues sur on.
Facultatif: Chiffrez votre instance IBM Cloud Object Storage avec votre propre clé
Le chiffrement protège les données de vos projets et de vos catalogues. Les données au repos dans Cloud Object Storage sont chiffrées par défaut avec des clés générées de manière aléatoire qui sont gérées par IBM. Pour une protection accrue, vous pouvez créer et gérer vos propres clés de chiffrement avec IBM Key Protect. IBM Key Protect for IBM Cloud est un système de gestion centralisée des clés pour la génération, la gestion et la suppression des clés de chiffrement utilisées par les services IBM Cloud .
Pour plus d'informations, voir la documentation IBM Cloud : IBM Key Protect for IBM Cloud.
Les plans de service Watson Studio et IBM Knowledge Catalog ne prennent pas tous en charge l'utilisation de vos propres clés de chiffrement. Vérifiez votre plan spécifique pour plus de détails.
Pour chiffrer votre instance Cloud Object Storage avec votre propre clé, il vous faut une instance du service IBM Key Protect. Bien que Key Protect soit un service payant, chaque compte est autorisé à utiliser cinq clés sans frais.
Dans IBM Cloud, mettez à disposition Key Protect et générez une clé:
- Créez une instance de Key Protect pour votre compte à partir du catalogue IBM Cloud . Voir la documentationIBM Cloud : Mise à disposition du service Key Protect.
- Accordez une autorisation de service entre votre instance Key Protect et votre instance Cloud Object Storage. N'associez pas de clé à un compartiment. Si vous n'accordez pas l'autorisation, les utilisateurs ne peuvent pas créer de projets et de catalogues avec l'instance Cloud Object Storage. Pour plus d'informations, voir la documentationIBM Cloud : Utilisation des autorisations pour accorder l'accès entre les services. Vous pouvez également accorder une autorisation de service pour une clé racine à partir de Watson Studio en choisissant Gérer > Accès (IAM).
- Créez une clé racine pour protéger votre instance Cloud Object Storage . Voir la documentationIBM Cloud : Création de clés racine.
Dans Cloud Pak for Data as a Service, ajoutez la clé à l'instance Cloud Object Storage :
- Sélectionnez Administration > Configurations et paramètres > Délégation de stockage.
- Faites glisser le bouton à bascule pour Projets, Catalogues, ou les deux pour sélectionner les données à chiffrer avec votre clé.
- Cliquez sur Ajouter ... sous Clés de chiffrement pour ajouter une clé de chiffrement.
- Sélectionnez l' instanceKey Protect et la cléKey Protect.
- Cliquez sur OK pour ajouter la clé de chiffrement.
Facultatif: Protégez les données sensibles stockées sur Cloud Object Storage
Lorsque vous rejoignez Cloud Pak for Data as a Service, une seule instance Cloud Object Storage est automatiquement mise à votre disposition. L'instance Cloud Object Storage contient des compartiments distincts pour chaque projet afin de stocker les actifs de données et les fichiers associés. La possibilité de créer des projets et donc d'ajouter des compartiments à Cloud Object Storage est disponible uniquement pour les utilisateurs ayant le rôle Administrateur de la plateforme et le rôle Responsable pour le service Cloud Object Storage . Bien que seuls les utilisateurs ayant ces rôles puissent créer des projets et les compartiments qui les accompagnent, tout utilisateur ayant le rôle Editeur ou Afficheur peut voir les fichiers de données. Pour certaines entreprises, les fichiers de données contiennent des informations sensibles et nécessitent des contrôles d'accès plus stricts.
Contrôle de l'accès à Cloud Object Storage avec plusieurs instances
Pour les plans payants, vous pouvez contrôler l'accès aux fichiers de données sensibles en créant une ou plusieurs instances Cloud Object Storage et en affectant l'accès à des utilisateurs spécifiques. Les créateurs de projet sélectionnent l'instance Cloud Object Storage appropriée lorsqu'ils créent un projet. Les actifs de données et les fichiers du projet sont stockés dans un compartiment de l'instance sélectionnée. Les utilisateurs dotés de rôles Editeur ou Afficheur peuvent travailler dans les projets, mais ils ne peuvent pas voir les actifs directement dans le compartiment Cloud Object Storage associé. Vous pouvez affecter l'accès à une instance Cloud Object Storage spécifique à un utilisateur individuel ou à un groupe d'accès. Vous devez être le propriétaire ou l'administrateur du compte pour créer des instances de service et affecter des droits d'accès.
Des frais supplémentaires ne sont pas encourus lors de la création de plusieurs instances Cloud Object Storage car les frais sont déterminés par l'utilisation globale du stockage. Le nombre d'instances n'est pas un facteur pour les frais Cloud Object Storage .
Une seule instance de Cloud Object Storage est autorisée pour le plan Lite. Vous pouvez modifier votre plan de tarification à partir du catalogue IBM Cloud .
Pour créer une instance Cloud Object Storage et affecter un accès:
- Sélectionnez Services > Catalogue de services dans le menu de navigation.
- Sélectionnez Stockage > Cloud Object Storage.
- Cliquez sur Créer. Un nom de service est généré pour vous sur IBM Cloud.
- Sélectionnez Gérer > Accès (IAM).
- Sélectionnez Utilisateurs ou Groupes d'accès.
- Cliquez sur Affecter un accès.
- Dans la liste Services , choisissez Cloud Object Storage.
- Pour Ressources, choisissez:
- Portée = Ressources spécifiques
- Type d'attribut = Instance de service
- Opérateur = chaîne égale à
- Valeur = nom de Cloud Object Storage
- Pour les rôles et les actions, choisissez:
- Accès au service = Gestionnaire
- Accès à la plateforme = Administrateur
- Cliquez sur Ajouter et Affecter.
L'instance Cloud Object Storage spécifiée est accessible uniquement par l'utilisateur ou le groupe d'accès ayant le rôle de service Gestionnaire et le rôle de plateforme Administrateur. Les autres utilisateurs peuvent travailler dans les projets, mais ils ne peuvent pas créer de projets ou afficher des actifs directement dans le compartiment.
Etape suivante
Terminez les étapes restantes pour la configuration de la plateforme.
En savoir plus
- Stockage d'objets pour les espaces de travail
- Gestion de l'espace de stockage dans Cloud Object Storage
- Sécurité de Cloud Pak for Data as a Service
- Sécurité des données
- Traitement des incidents Cloud Object Storage pour les projets
Rubrique parent: Configuration de la plateforme