Cloud Pak for Data as a Service 가입하면 무료 요금제로 IBM Cloud Object Storage 서비스 인스턴스가 자동으로 프로비저닝됩니다. 프로젝트와 같은 작업 공간에는 업로드된 데이터 파일이나 노트북 파일 등 자산과 관련된 파일을 저장하기 위해 IBM Cloud Object Storage 필요합니다.
IBM Cloud Object Storage를 데이터 소스로서 연결해야 할 수도 있습니다. IBM Cloud Object Storage 연결을 참조하십시오.
Cloud Object Storage 설정 개요
Cloud Object Storage를 설정하려면 다음 태스크를 완료하십시오.
- 관리 키 생성.
- 각 사용자의 프로파일에 글로벌 위치가 설정되어 있는지 확인하십시오.
- Cloud Object Storage에 대한 액세스를 제공하십시오.
- 선택사항: 민감한 데이터를 보호하십시오.
- 선택 사항입니다: 고유 키로 IBM Cloud Object Storage 인스턴스를 암호화합니다.
다음 비디오를 보고 관리자가 Cloud Pak for Data as a Service와 함께 사용하도록 Cloud Object Storage 를 설정하는 방법을 확인하십시오.
이 비디오는 이 문서의 개념 및 태스크를 학습하기 위한 시각적 방법을 제공합니다.
관리 키 생성
초기 테스트 프로젝트를 작성하여 Cloud Object Storage 에 대한 관리 키를 생성합니다. 테스트 프로젝트는 작성 후에 삭제할 수 있습니다. 이는 키를 생성하기 위한 것입니다.
Cloud Object Storage 인스턴스의 관리 키를 자동으로 생성하려면 다음을 수행하십시오.
- Cloud Pak for Data as a Service 기본 메뉴에서 프로젝트 > 모든 프로젝트 보기를 선택하고 새 프로젝트를 클릭하십시오.
- 빈 프로젝트를 작성하도록 지정하십시오.
- 프로젝트 이름(예: "테스트 프로젝트")을 입력하십시오.
- Cloud Object Storage 인스턴스를 선택하십시오.
- 작성을 클릭하십시오. 관리 키가 생성됩니다.
- 테스트 프로젝트를 삭제하십시오.
각 사용자의 프로파일에서 Cloud Object Storage 에 대해 글로벌 위치가 설정되어 있는지 확인하십시오.
Cloud Object Storage 를 사용하려면 각 사용자의 프로파일에 글로벌 위치가 구성되어 있어야 합니다. 글로벌 위치는 자동으로 구성되지만 실수로 변경될 수 있습니다. 사용자 프로파일에서 글로벌 위치를 사용하지 않는 경우 프로젝트를 작성할 때 오류가 발생합니다. 사용자에게 글로벌 위치가 사용 가능한지 확인하도록 요청하십시오.
Cloud Object Storage 에 대한 액세스 제공
Cloud Pak for Data as a Service에서 작업해야 하는 사용자를 위해 Cloud Object Storage 에 대한 다양한 레벨의 액세스를 제공할 수 있습니다. Cloud Object Storage 인스턴스에서 스토리지 위임 설정을 사용하여 대부분의 사용자에게 프로젝트 및 카탈로그를 작성하기 위한 빠른 액세스를 제공할 수 있습니다. 그러나 다른 옵션은 IAM 역할 및 액세스 그룹을 사용하여 대상으로 지정된 액세스를 제공하는 것입니다. 역할 기반 액세스는 Cloud Object Storage 인스턴스를 직접 보고 프로젝트 및 카탈로그를 작성하기 위한 보다 엄격한 제어를 수행합니다. IAM 역할 및 액세스 그룹에 제어된 액세스를 제공하기로 결정한 경우 Cloud Object Storage 인스턴스에 대한 스토리지 위임을 사용 안함으로 설정해야 합니다.
Cloud Object Storage 인스턴스에 대한 스토리지 위임을 사용으로 설정하여 비관리 사용자에게 액세스를 제공합니다. 최소 IAM 권한을 가진 사용자는 Cloud Object Storage 인스턴스에서 버킷을 자동으로 작성하는 프로젝트 및 카탈로그를 작성할 수 있습니다. 비관리 사용자에 대해 스토리지 위임 사용을 참조하십시오.
IAM 역할 및 액세스 그룹을 사용하여 더 제어된 액세스를 제공합니다. 예를 들어, Cloud Object Storage 관리자 역할은 Cloud Object Storage 인스턴스의 해당 버킷과 함께 프로젝트 및 영역을 작성할 수 있는 권한을 제공합니다. 또한 Cloud Object Storage 인스턴스의 모든 버킷 및 암호화 루트 키를 보고 버킷의 메타데이터를 보고 버킷을 삭제하며 버킷과 관련된 기타 관리 태스크를 수행할 수 있는 권한을 제공합니다. 액세스를 사용하도록 역할 지정을 참조하십시오.
프로젝트 또는 카탈로그의 데이터에 대해 작업하는 협업자에게는 역할 지정이 필요하지 않습니다. 협업자 역할이 부여된 사용자는 스토리지 위임 또는 IAM 역할 없이 프로젝트 또는 카탈로그에서 작업할 수 있습니다. 프로젝트 협업자 역할 및 권한을 참조하십시오.
액세스를 사용하도록 역할 지정
IBM Cloud 계정 소유자 또는 관리자는 Cloud Object Storage에 대한 액세스를 제공하기 위해 사용자에게 적절한 역할을 지정합니다. 역할 기반 액세스를 사용할 때 스토리지 위임을 사용 안함으로 설정해야 합니다.
각 개별 사용자에게 역할 세트를 지정하는 대신 액세스 그룹을 작성할 수 있습니다. 액세스 그룹은 권한을 그룹화하여 역할 지정을 신속하게 처리합니다. 액세스 그룹 생성에 대한 지침은 ' IBM Cloud 문서: 액세스 그룹 설정하기 을 참조하세요. Cloud Pak for Data as a Service에 대한 예제 액세스 그룹 세트 작성에 대한 지시사항은 IAM 액세스 그룹을 참조하십시오.
예제 액세스 그룹 CPD-COS-Admin은 프로젝트와 카탈로그를 생성하고 수정해야 하는 사용자에게 IBM Cloud Object Storage 대한 액세스 권한을 제공합니다.
Cloud Object Storage에 대한 액세스를 제공하기 위해 다음 유형의 역할이 지정됩니다.
- IAM 플랫폼 액세스 역할 (계정 관리자 또는 소유자가 IBM Cloud 에서 지정함)
- IAM Service 액세스 역할 (계정 관리자 또는 소유자가 IBM Cloud 에서 지정)
다음 표에서는 프로젝트 및 카탈로그를 작성하고 삭제하는 사용자의 역할을 설명합니다.
위치 | 역할 필요 | 유형 | 설명 | 액세스 그룹 예제 |
---|---|---|---|---|
IBM Cloud | 플랫폼 관리자 | IAM 플랫폼 액세스 역할 | 계정 관리 및 액세스 정책 지정을 제외한 모든 플랫폼 조치를 수행하십시오. | CPD-COS-관리 |
IBM Cloud | 관리자 | Cloud Object Storage 에 대한 IAM Service 액세스 역할 | 버킷을 작성, 수정 또는 삭제하십시오. 버킷의 오브젝트를 업로드하고 다운로드하십시오. 프로젝트 및 카탈로그를 작성하고 삭제합니다. | CPD-COS-관리 |
스토리지 위임 사용
Cloud Object Storage 인스턴스의 스토리지 위임을 사용하면 비관리 사용자가 프로젝트 및 카탈로그와 해당 Cloud Object Storage 버킷을 작성할 수 있습니다. 스토리지 위임은 Cloud Object Storage 에 대한 광범위한 액세스를 제공하며 최소한의 권한을 가진 사용자가 프로젝트 및 카탈로그를 작성할 수 있도록 허용합니다. 프로젝트를 위한 스토리지 위임은 배치 영역도 포함합니다.
프로젝트 및 카탈로그를 작성할 수 있는 사용자를 보다 신중하게 제어하려면 적절한 역할을 지정하고 사용자를 액세스 그룹에 배치하는 액세스 그룹을 작성하십시오. IAM 액세스 그룹 예제를 참조하십시오.
Cloud Object Storage 인스턴스에 대해 스토리지 위임을 사용하려면 다음을 수행하십시오.
- 탐색 메뉴에서 관리 > 구성 및 설정 > 스토리지 위임을 선택하십시오.
- 프로젝트 및 카탈로그 모두에 대한 스토리지 위임을 설정합니다.
선택 사항입니다: 자체 키로 IBM Cloud Object Storage 인스턴스를 암호화합니다
암호화는 프로젝트 및 카탈로그의 데이터를 보호합니다. Cloud Object Storage 의 저장 데이터는 기본적으로 IBM에서 관리하는 무작위로 생성된 키로 암호화됩니다. 보호를 강화하기 위해 IBM Key Protect를 사용하여 사용자 고유의 암호화 키를 작성하고 관리할 수 있습니다. IBM Key Protect for IBM Cloud 는 IBM Cloud 서비스에서 사용하는 암호화 키를 생성, 관리 및 삭제하기 위한 중앙 집중식 키 관리 시스템입니다.
자세한 내용은 ' IBM Cloud 문서: IBM ' Key Protect for IBM Cloud 을 참조하세요.
모든 watsonx.ai Studio 서비스 플랜 과 IBM Knowledge Catalog 서비스 플랜이 자체 암호화 키 사용을 지원하는 것은 아닙니다. 자세한 내용은 특정 플랜을 확인하십시오.
사용자 고유의 키로 Cloud Object Storage 인스턴스를 암호화하려면 IBM Key Project 서비스의 인스턴스가 필요합니다. Key Protect 가 유료 서비스이지만 각 계정에는 무료로 5개의 키가 허용됩니다.
IBM Cloud에서 Key Protect 를 프로비저닝하고 키를 생성하십시오.
- IBM Cloud 카탈로그에서 사용자 계정에 대한 Key Protect 의 인스턴스를 작성하십시오. ' IBM Cloud 문서: ' Key Protect 서비스 프로비저닝하기 참조.
- Key Protect 인스턴스와 Cloud Object Storage 인스턴스 간에 서비스 권한을 부여하십시오. 키를 버킷과 연관시키지 마십시오. 권한을 부여하지 않으면 사용자가 Cloud Object Storage 인스턴스를 사용하여 프로젝트 및 카탈로그를 작성할 수 없습니다. 자세한 내용은 ' IBM Cloud 문서: 권한 부여를 사용하여 서비스 간 액세스 권한 부여하기 을 참조하세요. 관리 > 액세스(IAM)를 선택하여 watsonx.ai Studio에서 루트 키에 대한 서비스 권한을 부여할 수도 있습니다.
- Cloud Object Storage 인스턴스를 보호하기 위한 루트 키를 작성하십시오. ' IBM Cloud 문서: 루트 키 만들기 참조.
Cloud Pak for Data as a Service에서 Cloud Object Storage 인스턴스에 키를 추가하십시오.
- 관리 > 구성 및 설정 > 스토리지 위임을 선택하십시오.
- 프로젝트, 카탈로그또는 둘 다에 대한 토글을 밀어 키로 암호화할 데이터를 선택하십시오.
- 추가 ... 를 클릭하십시오. 암호화 키 아래에서 암호화 키를 추가하십시오.
- Key Protect 인스턴스 및 Key Protect 키를 선택하십시오.
- 확인 을 클릭하여 암호화 키를 추가하십시오.
선택사항: Cloud Object Storage 에 저장된 민감한 데이터 보호
Cloud Pak for Data as a Service에 가입하면 단일 Cloud Object Storage 인스턴스가 자동으로 프로비저닝됩니다. Cloud Object Storage 인스턴스에는 데이터 자산 및 관련 파일을 저장하기 위한 각 프로젝트에 대한 별도의 버킷이 포함되어 있습니다. 프로젝트를 작성하여 버킷을 Cloud Object Storage 에 추가하는 기능은 Cloud Object Storage 서비스에 대한 플랫폼 관리자 역할 및 관리자 역할을 가진 사용자만 사용할 수 있습니다. 이러한 역할을 가진 사용자만 프로젝트 및 해당되는 버킷을 작성할 수 있지만 편집자 또는 뷰어 역할을 가진 사용자는 데이터 파일을 볼 수 있습니다. 일부 비즈니스의 경우 데이터 파일에 민감한 정보가 포함되어 있으며 보다 엄격한 액세스 제어가 필요합니다.
다중 인스턴스를 사용하여 Cloud Object Storage 에 대한 액세스 제어
유료 플랜의 경우 하나 이상의 Cloud Object Storage 인스턴스를 작성하고 특정 사용자에게 액세스를 지정하여 민감한 데이터 파일에 대한 액세스를 제어할 수 있습니다. 프로젝트 작성자는 프로젝트를 작성할 때 적절한 Cloud Object Storage 인스턴스를 선택합니다. 프로젝트의 데이터 자산 및 파일은 선택된 인스턴스의 버킷에 저장됩니다. 편집자 또는 뷰어 역할의 사용자는 프로젝트에서 작업할 수 있지만 관련 Cloud Object Storage 버킷에서 직접 자산을 볼 수는 없습니다. 특정 Cloud Object Storage 인스턴스에 대한 액세스를 개별 사용자 또는 액세스 그룹에 지정할 수 있습니다. 서비스 인스턴스를 작성하고 액세스 권한을 지정하려면 계정 소유자 또는 관리자여야 합니다.
전체 스토리지 활용도에 따라 비용이 결정되므로 둘 이상의 Cloud Object Storage 인스턴스를 작성하는 경우 추가 요금이 발생하지 않습니다. 인스턴스 수는 Cloud Object Storage 요금의 요인이 아닙니다.
Lite 플랜에는 Cloud Object Storage 의 인스턴스가 하나만 허용됩니다. IBM Cloud 카탈로그에서 가격 플랜을 변경할 수 있습니다.
Cloud Object Storage 인스턴스를 작성하고 액세스 권한을 지정하려면 다음을 수행하십시오.
- 탐색 메뉴에서 서비스 > 서비스 카탈로그 를 선택하십시오.
- 스토리지 > Cloud Object Storage를 선택하십시오.
- 작성을 클릭하십시오. IBM Cloud에서 사용자를 위해 서비스 이름이 생성됩니다.
- 관리 > 액세스 (IAM)를 선택하십시오.
- 사용자 또는 액세스 그룹을 선택하십시오.
- 액세스 권한 지정 을 클릭하십시오.
- 서비스 목록에서 Cloud Object Storage를 선택하십시오.
- 자원에 대해 다음을 선택하십시오.
- 범위 = 특정 자원
- 속성 유형 = 서비스 인스턴스
- 연산자 = 문자열 같음
- 값 = Cloud Object Storage 의 이름
- 역할 및 조치에 대해 다음을 선택하십시오.
- 서비스 액세스 = 관리자
- 플랫폼 액세스 = 관리자
- 추가 및 지정을 클릭하십시오.
지정된 Cloud Object Storage 인스턴스는 관리자의 서비스 역할 및 관리자의 플랫폼 역할을 가진 사용자 또는 액세스 그룹만 액세스할 수 있습니다. 다른 사용자는 프로젝트에서 작업할 수 있지만 버킷에서 직접 프로젝트를 작성하거나 자산을 볼 수 없습니다.
다음 단계
플랫폼 설정하기의 나머지 단계를 완료하십시오.
자세한 정보
- 작업공간의 오브젝트 스토리지
- Cloud Object Storage에서 스토리지 공간 관리
- Cloud Pak for Data as a Service 보안
- 데이터 보안
- 프로젝트에 대한 Cloud Object Storage 문제점 해결
상위 주제: 플랫폼 설정