IBM Cloud Object Storageサービス・インスタンスは、Cloud Pak for Data as a Service に参加すると、無償プランで自動的にプロビジョニングされます。 プロジェクトなどのワークスペースは、アップロードされたデータ・ファイルやノートブック・ファイルなど、アセットに関連するファイルを保存するためにIBM Cloud Object Storageを必要とする。
IBM Cloud Object Storage にデータ・ソースとして接続することもできます。 IBM Cloud Object Storage 接続を参照してください。
Cloud Object Storage のセットアップの概要
Cloud Object Storageをセットアップするには、以下のタスクを実行します。
- 管理キーの生成。
- 各ユーザーのプロファイルにグローバル・ロケーションが設定されていることを確認します。
- Cloud Object Storageへのアクセスを提供します。
- オプション: 機密データの保護。
- オプションです:IBM Cloud Object Storageインスタンスを独自のキーで暗号化します。
次のビデオを視聴して、管理者が Cloud Pak for Data as a Serviceで使用するために Cloud Object Storage をセットアップする方法を確認してください。
このビデオは、本書の概念とタスクを学習するためのビジュアル・メソッドを提供します。
管理キーの生成
Cloud Object Storage の管理キーを生成するには、初期テスト・プロジェクトを作成します。 テスト・プロジェクトは、作成後に削除できます。 その唯一の目的は、鍵を生成することです。
Cloud Object Storage インスタンスの管理キーを自動的に生成するには:
- Cloud Pak for Data as a Service のメインメニューから、 「プロジェクト」>「すべてのプロジェクトの表示」 を選択し、 新規プロジェクトをクリックしてください。
- 空のプロジェクトを作成するように指定します。
- プロジェクト名 を入力します。例えば、「Test Project」など。
- Cloud Object Storage インスタンスを選択してください。
- 「作成」 をクリックします。 管理キーが生成されます。
- テスト・プロジェクトを削除します。
各ユーザーのプロファイルで Cloud Object Storage のグローバル・ロケーションが設定されていることを確認します。
Cloud Object Storage では、各ユーザーのプロファイルでグローバル・ロケーションを構成する必要があります。 グローバル・ロケーションは自動的に構成されますが、誤って変更される可能性があります。 ユーザーのプロファイルでグローバル・ロケーションが有効になっていない場合、プロジェクトの作成時にエラーが発生します。 グローバル・ロケーションが有効になっていることを確認するようにユーザーに依頼します。
Cloud Object Storage へのアクセスの提供
Cloud Pak for Data as a Serviceで作業する必要があるユーザーに対して、 Cloud Object Storage へのさまざまなレベルのアクセス権限を提供できます。 Cloud Object Storage インスタンスでストレージ委任設定を使用すると、プロジェクトおよびカタログを作成するためのクイック・アクセスをほとんどのユーザーに提供できます。 ただし、もう 1 つのオプションは、IAM 役割とアクセス・グループを使用してターゲット・アクセスを提供することです。 役割ベースのアクセスは、 Cloud Object Storage インスタンスを直接表示するため、およびプロジェクトとカタログを作成するための、より厳密な制御を行います。 IAM 役割とアクセス・グループを使用して制御されたアクセス権限を付与する場合は、 Cloud Object Storage インスタンスのストレージ委任を無効にする必要があります。
Cloud Object Storage インスタンスのストレージ委任を有効にして、非管理ユーザーにアクセス権限を付与します。 最小限の IAM 権限を持つユーザーは、プロジェクトとカタログを作成できます。これにより、 Cloud Object Storage インスタンス内にバケットが自動的に作成されます。 非管理ユーザーのストレージ委任の有効化を参照してください。
IAM 役割とアクセス・グループを使用して、より制御されたアクセス権限を提供します。 例えば、 Cloud Object Storage Manager 役割は、 Cloud Object Storage インスタンス内の対応するバケットとともにプロジェクトおよびスペースを作成する権限を提供します。 また、 Cloud Object Storage インスタンス内のすべてのバケットと暗号化ルート鍵を表示する権限、バケットのメタデータを表示してバケットを削除する権限、およびバケットに関連するその他の管理タスクを実行する権限も提供します。 アクセスを有効にするための役割の割り当てを参照してください。
プロジェクトまたはカタログ内のデータを処理するコラボレーターには、役割の割り当ては必要ありません。 コラボレーター役割を付与されたユーザーは、ストレージ委任や IAM 役割を使用せずに、プロジェクトまたはカタログで作業できます。 プロジェクト・コラボレーターの役割と権限を参照してください。
アクセスを有効にするための役割の割り当て
IBM Cloud アカウント所有者または管理者は、 Cloud Object Storageへのアクセス権限を付与するために、適切な役割をユーザーに割り当てます。 役割ベースのアクセスを使用する場合は、ストレージ委任を無効にする必要があります。
個々のユーザーに一連の役割を割り当てる代わりに、アクセス・グループを作成できます。 アクセス・グループは、許可をグループ化することによって役割の割り当てを迅速化します。 アクセスグループの作成方法については、「IBM Cloudドキュメント:アクセスグループの設定参照のこと。 Cloud Pak for Data as a Service用のサンプル・アクセス・グループのセットを作成する手順については、 IAM アクセス・グループを参照してください。
アクセス・グループの例CPD-COS-Adminは、プロジェクトとカタログを作成および変更する必要があるユーザーに、IBM Cloud Object Storageへのアクセスを提供します。
Cloud Object Storageへのアクセスを提供するために、以下のタイプの役割が割り当てられます。
- IAM プラットフォーム・アクセス役割 (アカウント管理者または所有者により IBM Cloud で割り当てられます)
- IAM Service のアクセス役割 (アカウント管理者または所有者により IBM Cloud で割り当てられます)
以下の表では、プロジェクトおよびカタログを作成および削除するユーザーの役割について説明します。
場所 | 役割が必要 | タイプ | 説明 | アクセス・グループの例 |
---|---|---|---|---|
IBM Cloud | プラットフォーム管理者 | IAM プラットフォーム・アクセス役割 | アカウントの管理とアクセス・ポリシーの割り当てを除き、すべてのプラットフォーム・アクションを実行します。 | CPD-COS-管理者 |
IBM Cloud | マネージャー | Cloud Object Storage の IAM Service のアクセス役割 | バケットを作成、変更、または削除します。 バケット内のオブジェクトをアップロードしてダウンロードします。 プロジェクトおよびカタログを作成および削除します。 | CPD-COS-管理者 |
ストレージ委任を有効にする
Cloud Object Storage インスタンスのストレージ委任により、非管理ユーザーは、プロジェクトとカタログ、および対応する Cloud Object Storage バケットを作成できます。 ストレージ委任により、 Cloud Object Storage への幅広いアクセスが可能になり、最小限のアクセス権を持つユーザーがプロジェクトとカタログを作成できるようになります。 プロジェクトのストレージ委任には、デプロイメント・スペースも含まれます。
プロジェクトおよびカタログを作成できるユーザーをより慎重に制御するには、適切な役割を割り当て、ユーザーをアクセス・グループに配置するアクセス・グループを作成します。 IAM アクセス・グループの例を参照してください。
Cloud Object Storage インスタンスのストレージ委任を有効にするには、以下のようにします。
- ナビゲーション・メニューから、 「管理」>「構成と設定」>「ストレージの委任」を選択します。
- プロジェクトとカタログの両方のストレージ委任をオンに設定します。
オプション:IBM Cloud Object Storageインスタンスを独自のキーで暗号化する
暗号化は、プロジェクトおよびカタログのデータを保護します。 Cloud Object Storage に保存されているデータは、 IBMによって管理されるランダムに生成された鍵を使用してデフォルトで暗号化されます。 保護を強化するために、 IBM Key Protectを使用して独自の暗号鍵を作成および管理できます。 IBM Key Protect for IBM Cloud は、 IBM Cloud サービスで使用される暗号鍵を生成、管理、および削除するための一元化された鍵管理システムです。
詳細は「IBM Clouddocs: IBM'Key Protect for IBM Cloud参照。
すべてのwatsonx.aiStudio サービス・プランおよびIBM Knowledge Catalogサービス・プランが、独自の暗号化キーの使用をサポートしているわけではありません。 詳細については、ご使用のプランを確認してください。
各自の鍵を使用して Cloud Object Storage インスタンスを暗号化するには、IBM Key Project サービスのインスタンスが必要です。 Key Protect は有料サービスですが、各アカウントには 5 つの鍵が無料で許可されています。
IBM Cloudで、 Key Protect をプロビジョンし、鍵を生成します。
- IBM Cloud カタログから、アカウントの Key Protect のインスタンスを作成します。 IBM CloudドキュメントKey Protectサービスのプロビジョニング を参照。
- Key Protect インスタンスと Cloud Object Storage インスタンスの間のサービス許可を付与します。 鍵をバケットに関連付けないでください。 権限を付与しないと、ユーザーは Cloud Object Storage インスタンスを使用してプロジェクトおよびカタログを作成できません。 詳細は「IBM Cloudドキュメント認可を使用してサービス間のアクセスを許可する参照。 また、watsonx.aiStudio からManage > Access (IAM) を選択することで、ルートキーのサービス認可を付与することもできます。
- Cloud Object Storage インスタンスを保護するためのルート鍵を作成します。 IBM Cloudドキュメント:ルート・キーの作成 を参照。
Cloud Pak for Data as a Serviceで、 Cloud Object Storage インスタンスにキーを追加します。
- 「管理」>「構成と設定」>「ストレージの委任」を選択します。
- 「プロジェクト」、 「カタログ」、またはその両方のトグルをスライドさせて、鍵を使用して暗号化するデータを選択します。
- 「追加 ...」 をクリックします。 「暗号鍵」 の下に、暗号鍵を追加します。
- Key Protect インスタンス および Key Protect 鍵を選択します。
- 「OK」 をクリックして、暗号鍵を追加します。
オプション: Cloud Object Storage に保管された機密データの保護
Cloud Pak for Data as a Serviceに参加すると、単一の Cloud Object Storage インスタンスが自動的にプロビジョンされます。 Cloud Object Storage インスタンスには、データ資産および関連ファイルを保管するために、プロジェクトごとに別個のバケットが含まれています。 プロジェクトを作成して、 Cloud Object Storage にバケットを追加する機能は、プラットフォーム・ 管理者 役割と、 Cloud Object Storage サービスの 管理者 役割を持つユーザーのみが使用できます。 これらの役割を持つユーザーのみがプロジェクトとそれに付随するバケットを作成できますが、 エディター または ビューアー の役割を持つユーザーはデータ・ファイルを表示できます。 一部の企業では、データ・ファイルに機密情報が含まれており、より厳格なアクセス制御が必要です。
複数インスタンスによる Cloud Object Storage へのアクセスの制御
有料プランの場合、1 つ以上の Cloud Object Storage インスタンスを作成し、特定のユーザーにアクセス権限を割り当てることで、機密データ・ファイルへのアクセスを制御できます。 プロジェクト作成者は、プロジェクトの作成時に適切な Cloud Object Storage インスタンスを選択します。 プロジェクトのデータ資産およびファイルは、選択したインスタンスのバケットに保管されます。 「エディター」 または 「ビューアー」 の役割を持つユーザーは、プロジェクトで作業できますが、関連する Cloud Object Storage バケット内の資産を直接表示することはできません。 特定の Cloud Object Storage インスタンスへのアクセス権限を、個々のユーザーまたはアクセス・グループに割り当てることができます。 サービス・インスタンスを作成してアクセス権限を割り当てるには、アカウント所有者または管理者である必要があります。
複数の Cloud Object Storage インスタンスを作成しても追加料金は発生しません。ストレージ全体の使用量によって料金が決定されるためです。 インスタンス数は、 Cloud Object Storage 料金の要因ではありません。
ライト・プランでは、 Cloud Object Storage の 1 つのインスタンスのみが許可されます。 IBM Cloud カタログから料金プランを変更できます。
Cloud Object Storage インスタンスを作成し、アクセス権限を割り当てるには、以下のようにします。
- ナビゲーション・メニューから 「サービス」>「サービス・カタログ」 を選択します。
- 「ストレージ」> Cloud Object Storageを選択します。
- 「作成」 をクリックします。 IBM Cloud上にサービス名が生成されます。
- 「管理」>「アクセス (IAM)」を選択します。
- 「ユーザー」 または 「アクセス・グループ」を選択します。
- 「アクセス権限の割り当て」 をクリックします。
- 「サービス」 リストで、 Cloud Object Storageを選択します。
- 「リソース」では、以下を選択します。
- 有効範囲 = 特定のリソース
- 属性タイプ = サービス・インスタンス
- 演算子 = ストリングの等号
- 値 = Cloud Object Storage の名前
- 役割とアクションの場合、以下を選択します。
- サービス・アクセス = マネージャー
- プラットフォーム・アクセス = 管理者
- 「追加」 をクリックし、 「割り当て」をクリックします。
指定された Cloud Object Storage インスタンスには、マネージャーのサービス役割と管理者のプラットフォーム役割を持つユーザーまたはアクセス・グループのみがアクセスできます。 他のユーザーはプロジェクトで作業できますが、バケットでプロジェクトを作成したり資産を直接表示したりすることはできません。
次のステップ
プラットフォームのセットアップの残りのステップを完了してください。
もっと見る
- ワークスペースのオブジェクト・ストレージ
- Cloud Object Storage
- Cloud Pak for Data as a Service のセキュリティー
- データ・セキュリティー
- プロジェクトの Cloud Object Storage のトラブルシューティング
親トピック: プラットフォームのセットアップ