Translation not up to date
Instancja usługi IBM Cloud Object Storage jest udostępniana automatycznie z uproszczonym planem po dołączeniu do Cloud Pak for Data as a Service(Cloud Pak for Data as a Service). Obszary robocze, takie jak projekty, wymagają IBM Cloud Object Storage do przechowywania plików, które są powiązane z zasobami, w tym przesłane pliki danych lub pliki notatnika.
Istnieje również możliwość nawiązania połączenia z IBM Cloud Object Storage jako źródłem danych. Patrz Połączenie IBM Cloud Object Storage.
Przegląd ustawień Cloud Object Storage
Aby skonfigurować Cloud Object Storage, należy wykonać następujące czynności:
- Wygeneruj klucz administracyjny.
- Sprawdź, czy położenie globalne jest ustawione w profilu każdego użytkownika.
- Podaj dostęp do Cloud Object Storage.
- Opcjonalnie: Chroń poufne dane.
- Opcjonalnie: Szyfruj instancję IBM Cloud Object Storage za pomocą własnego klucza.
Obejrzyj poniższy film wideo, aby sprawdzić, w jaki sposób administratorzy mają skonfigurować Cloud Object Storage do użytku z programem Cloud Pak for Data as a Service.
Ten film wideo udostępnia metodę wizualną, która umożliwia poznanie pojęć i zadań w tej dokumentacji.
Wygeneruj klucz administracyjny
Klucz administracyjny dla Cloud Object Storage jest generowany przez utworzenie początkowego projektu testowego. Projekt testu można usunąć po jego utworzeniu. Jego jedynym celem jest wygenerowanie klucza.
Aby automatycznie wygenerować klucz administracyjny dla instancji Cloud Object Storage :
- Z menu głównego Cloud Pak for Data as a Service (Cloud Pak for Data as a Service) wybierz opcję Projekty > Wyświetl wszystkie projekty , a następnie kliknij opcję Nowy projekt.
- Określ, aby utworzyć pusty projekt.
- Wprowadź nazwę projektu, na przykład "Projekt testowy".
- Wybierz instancję Cloud Object Storage .
- Kliknij makro Create. Zostanie wygenerowany klucz administracyjny.
- Usuń projekt testu.
Upewnij się, że dla opcji Cloud Object Storage w profilu każdego użytkownika ustawiona jest wartość Global location.
Cloud Object Storage wymaga, aby w profilu każdego użytkownika była skonfigurowana globalna lokalizacja. Położenie globalne jest konfigurowane automatycznie, ale może zostać zmienione przez pomyłkę. Wystąpił błąd podczas tworzenia projektu, jeśli położenie globalne nie jest włączone w profilu użytkownika. Poproś użytkowników o sprawdzenie, czy włączone jest położenie globalne.
Dostęp do opcji Cloud Object Storage
Istnieje możliwość udostępnienia różnych poziomów dostępu do Cloud Object Storage dla osób, które muszą pracować w usłudze Cloud Pak for Data as a Service(Pak dla danych w chmurze). Korzystając z ustawienia delegowania pamięci masowej w instancji Cloud Object Storage , można zapewnić szybki dostęp do większości użytkowników w celu tworzenia projektów i katalogów. Inną opcją jest jednak udostępnienie docelowego dostępu za pomocą ról IAM i grup dostępowych. Dostęp oparty na rolach to bardziej restrykcyjne elementy sterujące służące do bezpośredniego wyświetlania instancji Cloud Object Storage oraz tworzenia projektów i katalogów. Jeśli użytkownik zdecyduje się zapewnić kontrolowany dostęp do ról IAM i grup dostępowych, należy wyłączyć delegowanie pamięci masowej dla instancji Cloud Object Storage .
Istnieje możliwość włączenia delegowania pamięci masowej dla instancji Cloud Object Storage w celu zapewnienia dostępu użytkownikom bez uprawnień administracyjnych. Użytkownicy z minimalnymi uprawnieniami IAM mogą tworzyć projekty i katalogi, które automatycznie tworzą porcje w instancji Cloud Object Storage . Patrz sekcja Włącz delegowanie pamięci masowej dla użytkowników nieadministracyjnych.
Zapewnia się bardziej kontrolowany dostęp do ról IAM i grup dostępowych. Na przykład rola Cloud Object Storage Menedżer udostępnia uprawnienia do tworzenia projektów i obszarów razem z odpowiednimi zasobami w instancji Cloud Object Storage . Ponadto udostępnia on uprawnienia do wyświetlania wszystkich porcji i kluczy głównych szyfrowania w instancji Cloud Object Storage , do wyświetlania metadanych dla zasobnika i usuwania zasobników, a także do wykonywania innych zadań administracyjnych związanych z porcjami. Więcej informacji zawiera sekcja Przypisywanie ról w celu włączenia dostępu.
Dla współpracowników, którzy pracują z danymi w projekcie lub katalogu, nie są wymagane żadne przypisania ról. Użytkownicy, którym nadano rolę współpracownika, mogą pracować w projekcie lub katalogu bez delegowania pamięci masowej lub roli IAM. Więcej informacji zawiera sekcja Role i uprawnienia współpracowników projektu.
Przypisz role, aby umożliwić dostęp
Właściciel konta IBM Cloud lub administrator przypisuje odpowiednie role użytkownikom w celu zapewnienia dostępu do Cloud Object Storage. Delegowanie pamięci masowej musi być wyłączone podczas korzystania z dostępu opartego na rolach.
Zamiast przypisywać każdemu użytkownikowi zestaw ról, można utworzyć grupę dostępu. Grupy dostępowe przyporządkują przypisania ról przez grupowanie uprawnień. Instrukcje na temat tworzenia grup dostępu można znaleźć w sekcji IBM Cloud docs: Konfigurowanie grup dostępu. Instrukcje dotyczące tworzenia zestawu przykładowych grup dostępu dla produktu Cloud Pak for Data as a Servicemożna znaleźć w sekcji Grupy dostępu IAM.
Przykładowa grupa dostępowa CPD-COS-Admin zapewnia dostęp do IBM Cloud Object Storage dla użytkowników, którzy muszą tworzyć i modyfikować projekty i katalogi.
Te typy ról są przypisywane w celu zapewnienia dostępu do Cloud Object Storage:
- Rola dostępu do platformy IAM (przypisana w IBM Cloud przez administratora lub właściciela konta)
- Rola dostępu IAM Service (przypisana w produkcie IBM Cloud przez administratora lub właściciela konta)
W poniższej tabeli opisano role użytkowników, którzy tworzą i usuwają projekty i katalogi:
Lokalizacja | Wymagana rola | Typ | Opis | Przykładowa grupa dostępu |
---|---|---|---|---|
IBM Cloud | Administrator platformy | Rola dostępu do platformy IAM | Wykonaj wszystkie działania platformy, z wyjątkiem zarządzania kontem i przypisywania strategii dostępu. | CPD-COS-Admin |
IBM Cloud | Menedżer | Rola dostępu do usługi IAM Service dla Cloud Object Storage | Twórz, modyfikuj lub usuwaj zasobniki. Prześlij i pobierz obiekty w zasobniku. Tworzenie i usuwanie projektów i katalogów. | CPD-COS-Admin |
Włącz delegowanie pamięci masowej
Delegacja pamięci masowej dla instancji Cloud Object Storage umożliwia użytkownikom bez uprawnień administratora tworzenie projektów i katalogów oraz odpowiadających im zasobników Cloud Object Storage . Delegacja pamięci masowej zapewnia szeroki dostęp do Cloud Object Storage i umożliwia użytkownikom z minimalnym uprawnieniami do tworzenia projektów i katalogów. Delegowanie pamięci masowej dla projektów obejmuje również obszary wdrażania.
Aby bardziej precyzyjnie sterować tym, kto może tworzyć projekty i katalogi, należy utworzyć grupę dostępową, która przypisuje odpowiednią rolę i umieszczając użytkowników w grupie dostępu. Patrz Przykładowe grupy dostępu IAM.
Aby włączyć delegowanie pamięci masowej dla instancji Cloud Object Storage :
- Z menu nawigacyjnego wybierz opcję Administrowanie > Konfiguracje i ustawienia > Delegowanie pamięci masowej.
- Ustaw delegację pamięci masowej dla obu projektów i katalogów na.
Opcjonalnie: Szyfruj instancję IBM Cloud Object Storage za pomocą własnego klucza
Szyfrowanie chroni dane dla projektów i katalogów. Dane w pozostałej części w Cloud Object Storage są domyślnie szyfrowane przy użyciu losowo wygenerowanych kluczy, którymi zarządza firma IBM. W celu zwiększenia ochrony można tworzyć własne klucze szyfrowania i zarządzać nimi za pomocą programu IBM Key Protect. IBM Key Protect for IBM Cloud to scentralizowany system zarządzania kluczami do generowania kluczy szyfrowania używanych przez usługi IBM Cloud , zarządzania nimi i usuwania tych kluczy.
Więcej informacji na ten temat można znaleźć w sekcji IBM Cloud docs: IBM Key Protect for IBM Cloud.
Nie wszystkie plany usług Watson Studio i Watson Knowledge Catalog obsługują użycie własnych kluczy szyfrowania. Szczegółowe informacje można znaleźć w planie szczegółowym.
Aby zaszyfrować instancję Cloud Object Storage za pomocą własnego klucza, potrzebna jest instancja usługi IBM Key Project. Mimo że Key Protect (Zabezpieczenie klucza) jest płatną usługą, każde konto jest dozwolone za pomocą pięciu kluczy bez opłat.
W programie IBM Cloudnależy udostępnić klucz Key Protect (Chroń klucz) i wygenerować klucz:
- Utwórz instancję Key Protect (Zabezpieczenie klucza) dla konta użytkownika z katalogu IBM Cloud . Patrz IBM Cloud docs: Provisioning the Key Protect service.
- Przydziel autoryzację usługi między instancją Key Protect a instancją Cloud Object Storage . Nie należy kojarzyć klucza z zasobnikiem. Jeśli autoryzacja nie zostanie nadana, użytkownicy nie będą mogli tworzyć projektów ani katalogów za pomocą instancji Cloud Object Storage . Więcej informacji na ten temat zawiera sekcja IBM Cloud docs: Using autoryzacji to grant access between services. Autoryzację usługi dla klucza głównego można również nadać z poziomu produktu Watson Studio, wybierając opcję Zarządzaj > Dostęp (IAM).
- Utwórz klucz główny, aby zabezpieczyć instancję Cloud Object Storage . Patrz: IBM Cloud docs: Tworzenie kluczy głównych.
W polu Cloud Pak for Data as a Service(Pak w chmurze dla danych jako usługa) dodaj klucz do instancji Cloud Object Storage :
- Wybierz opcję Administrowanie > Konfiguracje i ustawienia > Delegowanie pamięci masowej.
- Przesuń przełącznik dla opcji Projekty, Katalogilub obie te opcje, aby wybrać dane do szyfrowania za pomocą klucza.
- Kliknij przycisk Dodaj ... . w sekcji Klucze szyfrowania , aby dodać klucz szyfrowania.
- Wybierz opcje Instancja produktu Key Protect i Klucz Key Protect.
- Kliknij przycisk OK , aby dodać klucz szyfrowania.
Opcjonalnie: Chroń wrażliwe dane przechowywane w Cloud Object Storage
Po dołączeniu do Cloud Pak for Data as a Service, pojedyncza instancja Cloud Object Storage jest automatycznie udostępniana. Instancja Cloud Object Storage zawiera oddzielne wiadra dla każdego projektu, w którym przechowywane są zasoby danych i powiązane pliki. Możliwość tworzenia projektów, a tym samym dodawanie zasobników do Cloud Object Storage , jest dostępna tylko dla użytkowników z rolą Administrator platformy Platform oraz rolą Menedżer dla usługi Cloud Object Storage . Mimo że tylko użytkownicy z tymi rolami mogą tworzyć projekty i towarzyszące im zasobniki, każdy użytkownik z rolą Edytujący lub Przeglądarka może wyświetlać pliki danych. W przypadku niektórych firm pliki danych zawierają poufne informacje i wymagają bardziej rygorystycznych kontroli dostępu.
Kontrola dostępu do Cloud Object Storage z wieloma instancjami
W przypadku płatnych planów dostęp do poufnych plików danych można kontrolować, tworząc jedną lub więcej instancji Cloud Object Storage i przypisując dostęp konkretnym użytkownikom. Twórcy projektu wybierają odpowiednią instancję Cloud Object Storage podczas tworzenia projektu. Zasoby danych i pliki dla projektu są zapisywane w porcji w wybranej instancji. Użytkownicy z rolami Edytujący lub Przeglądarka mogą pracować w projektach, ale nie mogą wyświetlać zasobów bezpośrednio w pokrewnej porcji Cloud Object Storage . Dostęp do konkretnej instancji Cloud Object Storage można przypisać do pojedynczego użytkownika lub do grupy dostępowej. Aby utworzyć instancje usług i przypisać dostęp, użytkownik musi być właścicielem konta lub administratorem.
Dodatkowe opłaty nie są ponoszone przez utworzenie więcej niż jednej instancji obiektu Cloud Object Storage , ponieważ opłaty są ustalane na podstawie ogólnego wykorzystania pamięci masowej. Liczba instancji nie jest czynnikiem dla opłat Cloud Object Storage .
Dla planu uproszczonego dozwolony jest tylko jedna instancja obiektu Cloud Object Storage . Plan cenowy można zmienić z katalogu IBM Cloud .
Aby utworzyć instancję Cloud Object Storage i przypisać dostęp:
- Z menu nawigacyjnego wybierz opcję Usługi > Katalog usług .
- Wybierz opcję Pamięć masowa > Cloud Object Storage.
- Kliknij makro Create. Nazwa usługi jest generowana dla użytkownika w produkcie IBM Cloud.
- Wybierz opcję Zarządzaj > Dostęp (IAM).
- Wybierz opcję Użytkownicy lub Grupy dostępowe.
- Kliknij opcję Przypisz dostęp.
- Z listy Usługi wybierz opcję Cloud Object Storage.
- W polu Zasobywybierz:
- Zasięg = Konkretne zasoby
- Typ atrybutu = Instancja usługi
- Operator = łańcuch jest równy
- Value = nazwa Cloud Object Storage
- Dla ról i działańwybierz:
- Dostęp do usługi = Manager
- Dostęp do platformy = Administrator
- Kliknij przycisk Dodaj i Przypisz.
Do określonej instancji Cloud Object Storage można uzyskać dostęp tylko przez użytkownika lub grupę dostępową z rolą Service Manager (Service) i rolą platformy Administrator (Administrator). Inni użytkownicy mogą pracować w projektach, ale nie mogą tworzyć projektów ani wyświetlać zasobów bezpośrednio w zasobniku.
Następny krok
Zakończ pozostałe kroki dla konfigurowania platformy.
Więcej inform.
Temat nadrzędny: Konfigurowanie platformy