Un'istanza del servizio IBM Cloud Object Storage viene fornita automaticamente con un piano gratuito quando ci si iscrive a Cloud Pak for Data as a Service. Gli spazi di lavoro, come i progetti, richiedono IBM Cloud Object Storage per archiviare i file relativi alle risorse, compresi i file di dati caricati o i file di blocco note.
È anche possibile connettersi a IBM Cloud Object Storage come fonte di dati. Vedere Connessione aIBM Cloud Object Storage.
Panoramica sull'impostazione di Cloud Object Storage
Per configurare Cloud Object Storage, completa queste attività:
- Generare una chiave amministrativa.
- Assicurarsi che l'ubicazione globale sia impostata in ciascun profilo utente.
- Fornire l'accesso a Cloud Object Storage.
- Facoltativo: proteggere i dati sensibili.
- Opzionale: Crittografare l'istanza di IBM Cloud Object Storage con la propria chiave.
Guarda il seguente video per vedere come gli amministratori configurano Cloud Object Storage per l'utilizzo con Cloud Pak for Data as a Service.
Questo video fornisce un metodo visivo per apprendere i concetti e le attività in questa documentazione.
Genera una chiave di gestione
Si genera una chiave amministrativa per Cloud Object Storage creando un progetto di test iniziale. Il progetto di test può essere eliminato dopo la sua creazione. Il suo unico scopo è generare la chiave.
Per generare automaticamente la chiave di gestione per la tua istanza Cloud Object Storage :
- Dal menu principale di Cloud Pak for Data as a Service , selezionare Progetti> Visualizza tutti i progetti e fare clic su Nuovo progetto.
- Specificare per creare un progetto vuoto.
- Immettere un nome progetto, ad esempio "Progetto di test".
- Seleziona la tua istanza Cloud Object Storage .
- Fare clic su Crea. Viene generata la chiave amministrativa.
- Elimina progetto di test.
Assicurarsi che l'Ubicazione globale sia impostata per Cloud Object Storage in ogni profilo utente
Cloud Object Storage richiede la configurazione dell'ubicazione globale in ogni profilo utente. L'ubicazione globale viene configurata automaticamente, ma potrebbe essere modificata per errore. Si verifica un errore quando viene creato un progetto se l'ubicazione globale non è abilitata nel profilo dell'utente. Chiedere agli utenti di controllare che l'ubicazione globale sia abilitata.
Controllare la posizione Globale nel profilo di ciascun utente.
Fornisci l'accesso a Cloud Object Storage .
Puoi fornire diversi livelli di accesso a Cloud Object Storage per le persone che devono lavorare in Cloud Pak for Data as a Service. Utilizzando l'impostazione di delega dell'archivio sull'istanza Cloud Object Storage , puoi fornire un accesso rapido alla maggior parte degli utenti per creare progetti e cataloghi. Tuttavia, un'altra opzione è quella di fornire l'accesso mirato utilizzando i gruppi di accesso e i ruoli IAM. L'accesso basato sui ruoli attiva controlli più severi per visualizzare direttamente l'istanza Cloud Object Storage e per creare progetti e cataloghi. Se decidi di fornire l'accesso controllato con i ruoli e i gruppi di accesso IAM, devi disabilitare la delega di archiviazione per l'istanza Cloud Object Storage .
È possibile abilitare la delega di memoria per l'istanza Cloud Object Storage per fornire l'accesso agli utenti non amministrativi. Gli utenti con autorizzazioni IAM minime possono creare progetti e cataloghi, che creano automaticamente i bucket nell'istanza Cloud Object Storage . Consultare Abilitazione della delega di memoria per utenti non amministrativi.
Fornisci un accesso più controllato con i ruoli IAM e i gruppi di accesso. Ad esempio, il ruolo Cloud Object Storage Manager fornisce le autorizzazioni per creare progetti e spazi insieme ai bucket corrispondenti nell'istanza Cloud Object Storage . Fornisce anche le autorizzazioni per visualizzare tutti i bucket e le chiavi root di crittografia nell'istanza Cloud Object Storage , per visualizzare i metadati per un bucket ed eliminare i bucket e per eseguire altre attività di amministrazione correlate ai bucket. Vedi Assegna ruoli per abilitare l'accesso.
Non sono necessarie assegnazioni di ruoli per i collaboratori che lavorano con i dati in un progetto o catalogo. Gli utenti a cui vengono assegnati i ruoli di collaboratore possono lavorare nel progetto o nel catalogo senza una delega di archiviazione o un ruolo IAM. Vedere Ruoli e autorizzazioni dei collaboratori del progetto.
Assegna ruoli per abilitare l'accesso
Il proprietario o l'amministratore dell'account IBM Cloud assegna i ruoli appropriati agli utenti per fornire l'accesso a Cloud Object Storage. La delega della memoria deve essere disabilitata quando si utilizza l'accesso basato sul ruolo.
Invece di assegnare a ciascun utente una serie di ruoli, è possibile creare un gruppo di accesso. I gruppi di accesso accelerano le assegnazioni dei ruoli raggruppando le autorizzazioni. Per istruzioni sulla creazione di gruppi di accesso, vedere i documenti diIBM Cloud: Impostazione dei gruppi di accesso. Per istruzioni sulla creazione di un insieme di gruppi di accesso di esempio per Cloud Pak for Data as a Service, vedi Gruppi di accesso IAM.
Il gruppo di accesso di esempio CPD-COS-Admin fornisce l'accesso a IBM Cloud Object Storage agli utenti che devono creare e modificare progetti e cataloghi.
Questi tipi di ruolo sono assegnati per fornire l'accesso a Cloud Object Storage:
- Ruolo di accesso della piattaforma IAM (assegnato in IBM Cloud dall'amministratore o dal proprietario dell'account)
- Ruolo di accesso del IAM Service (assegnato in IBM Cloud dall'amministratore dell'account o dal proprietario)
La seguente tabella descrive i ruoli per gli utenti che creano ed eliminano progetti e cataloghi:
Ubicazione | Ruolo necessario | Tipo | Descrizione | Gruppo di accesso di esempio |
---|---|---|---|---|
IBM Cloud | Amministratore piattaforma | Ruolo di accesso della piattaforma IAM | Eseguire tutte le azioni della piattaforma tranne la gestione dell'account e l'assegnazione delle politiche di accesso. | CPD - COS - Admin |
IBM Cloud | Responsabile | Ruolo di accesso IAM Service per Cloud Object Storage | Creare, modificare o eliminare i bucket. Caricare e scaricare gli oggetti nel bucket. Creare ed eliminare progetti e cataloghi. | CPD - COS - Admin |
Abilita delega memoria
La delega di memoria per l'istanza Cloud Object Storage consente agli utenti non amministrativi di creare progetti e cataloghi e i corrispondenti bucket Cloud Object Storage . La delega di archiviazione fornisce un ampio accesso a Cloud Object Storage e consente agli utenti con autorizzazioni minime di creare progetti e cataloghi. La delega di memoria per i progetti include anche gli spazi di distribuzione.
Per controllare più attentamente chi può creare progetti e cataloghi, creare un gruppo di accesso che assegna il ruolo appropriato e collocare gli utenti nel gruppo di accesso. Vedi Gruppi di accesso IAM di esempio.
Per abilitare la delegazione di archiviazione per l'istanza Cloud Object Storage :
- Dal menu di navigazione, selezionare Amministrazione> Configurazioni e impostazioni> Delega memoria.
- Impostare la delega di memoria per i progetti e i cataloghi su on.
Opzionale: Crittografare l'istanza di IBM Cloud Object Storage con la propria chiave
La crittografia protegge i dati per i progetti e i cataloghi. I dati inattivi in Cloud Object Storage sono crittografati per impostazione predefinita con chiavi generate casualmente gestite da IBM. Per una maggiore protezione, puoi creare e gestire le tue proprie chiavi di crittografia con IBM Key Protect. IBM Key Protect for IBM Cloud è un sistema di gestione delle chiavi centralizzato per generare, gestire ed eliminare le chiavi di crittografia utilizzate dai servizi IBM Cloud .
Per ulteriori informazioni, vedere i documenti diIBM Cloud: IBM Key Protect for IBM Cloud.
Non tutti i piani di serviziowatsonx.ai Studio e IBM Knowledge Catalog supportano l'uso di chiavi di crittografia personalizzate. Controllare il piano specifico per i dettagli.
Per crittografare la tua istanza Cloud Object Storage con la tua propria chiave, hai bisogno di un'istanza del servizio IBM Key Project. Anche se Key Protect è un servizio a pagamento, a ciascun account sono consentite cinque chiavi senza addebito.
In IBM Cloud, esegui il provisioning di Key Protect e genera una chiave:
- Crea un'istanza di Key Protect per il tuo account nel catalogo IBM Cloud . Vedere i documenti diIBM Cloud: Provisioning del servizio Key Protect.
- Concedi un'autorizzazione del servizio tra l'istanza Key Protect e la tua istanza Cloud Object Storage . Non associare una chiave a un bucket. Se non concedi l'autorizzazione, gli utenti non possono creare progetti e cataloghi con l'istanza Cloud Object Storage . Per ulteriori informazioni, consultare i documenti diIBM Cloud: Uso delle autorizzazioni per garantire l'accesso tra i servizi. È inoltre possibile concedere l'autorizzazione a un servizio per una chiave root da watsonx.ai Studio, scegliendo Gestione > Accesso (IAM).
- Crea una chiave root per proteggere la tua istanza Cloud Object Storage . Vedere i documenti diIBM Cloud: Creazione di chiavi di accesso.
In Cloud Pak for Data as a Service, aggiungi la chiave all'istanza Cloud Object Storage :
- Selezionare Amministrazione> Configurazioni e impostazioni> Delega di archiviazione.
- Scorri l'interruttore per Progetti, Cataloghio entrambi per selezionare i dati per la crittografia con la tua chiave.
- Fare clic su Aggiungi ... in Chiavi di crittografia per aggiungere una chiave di crittografia.
- Seleziona l'istanza Key Protect e la chiave Key Protect.
- Fare clic su OK per aggiungere la chiave di cifratura.
Facoltativo: proteggere i dati sensibili archiviati in Cloud Object Storage
Quando ti unisci a Cloud Pak for Data as a Service, viene automaticamente eseguito il provisioning di una singola istanza Cloud Object Storage . L'istanza Cloud Object Storage contiene bucket separati per ogni progetto per memorizzare gli asset di dati e i relativi file. La possibilità di creare progetti e quindi aggiungere bucket a Cloud Object Storage è disponibile soltanto per utenti con il ruolo Amministratore della piattaforma e il ruolo Gestore per il servizio Cloud Object Storage . Anche se solo gli utenti con questi ruoli possono creare progetti e i relativi bucket, qualsiasi utente con il ruolo Editor o Visualizzatore può visualizzare i file di dati. Per alcune aziende, i file di dati contengono informazioni sensibili e richiedono controlli di accesso più rigorosi.
Controlla l'accesso a Cloud Object Storage con più istanze
Per i piani a pagamento, puoi controllare l'accesso ai file di dati sensibili creando una o più istanze di Cloud Object Storage e assegnando l'accesso a utenti specifici. I creatori del progetto selezionano l'istanza di Cloud Object Storage appropriata quando creano un progetto. Gli asset di dati e i file del progetto sono archiviati in un bucket nell'istanza selezionata. Gli utenti con i ruoli di Editor o Visualizzatore possono lavorare nei progetti, ma non possono visualizzare gli asset direttamente nel bucket Cloud Object Storage correlato. Puoi assegnare l'accesso a una specifica istanza di Cloud Object Storage a un singolo utente o a un gruppo di accesso. Devi essere il proprietario dell'account o l'amministratore per creare le istanze del servizio e assegnare l'accesso.
Le tariffe aggiuntive non vengono applicate quando si creano più di un'istanza di Cloud Object Storage perché le tariffe sono determinate dall'utilizzo dell'archiviazione generale. Il numero di istanze non è un fattore per le tariffe di Cloud Object Storage .
Solo un'istanza di Cloud Object Storage è consentita per il piano Lite. Puoi modificare il tuo piano dei prezzi dal catalogo IBM Cloud .
Per creare un'istanza Cloud Object Storage e assegnare l'accesso:
- Seleziona Services> Services catalog dal menu di navigazione.
- Seleziona Storage> Cloud Object Storage.
- Fare clic su Crea. Viene generato un nome servizio per te su IBM Cloud.
- Seleziona Gestisci> Accesso (IAM).
- Selezionare Utenti o Gruppi di accesso.
- Fai clic su Assegna accesso.
- Nell'elenco Servizi , scegliere Cloud Object Storage.
- Per Risorse, scegliere:
- Ambito = Risorse specifiche
- Tipo di attributo = Istanza servizio
- Operatore = stringa uguale a
- Valore = nome di Cloud Object Storage
- Per Ruoli e azioni, scegliere:
- Accesso al servizio = Manager
- Accesso piattaforma = Amministratore
- Fare clic su Aggiungi e Assegna.
L'istanza Cloud Object Storage specificata può essere acceduta solo dall'utente o dal gruppo di accesso con il ruolo Service di Manager e il ruolo Platform di Amministratore. Altri utenti possono lavorare nei progetti ma non possono creare progetti o visualizzare gli asset direttamente nel bucket.
Passo successivo
Completare i passi rimanenti per configurare la piattaforma.
Ulteriori informazioni
- Archiviazione oggetti per aree di lavoro
- Gestione dello spazio di archiviazione in Cloud Object Storage
- Sicurezza per Cloud Pak for Data as a Service
- Sicurezza dei dati
- Risoluzione dei problemi di Cloud Object Storage per progetti
Argomento principale Configurazione della piattaforma