0 / 0
Zurück zur englischen Version der Dokumentation
IBM Cloud Object Storage für die Verwendung mit Cloud Pak for Data as a Service einrichten

IBM Cloud Object Storage für die Verwendung mit Cloud Pak for Data as a Service einrichten

Eine IBM Cloud Object Storage -Serviceinstanz wird automatisch mit einem Lite-Plan bereitgestellt, wenn Sie Cloud Pak for Data as a Servicebeitreten. Für Arbeitsbereiche wie Projekte ist IBM Cloud Object Storage erforderlich, um Dateien zu speichern, die sich auf Assets beziehen, einschließlich hochgeladener Datendateien oder Notebookdateien.

Sie können auch eine Verbindung zu IBM Cloud Object Storage als Datenquelle herstellen. Weitere Informationen finden Sie unter IBM Cloud Object Storage-Verbindung.

Übersicht über die Einrichtung von Cloud Object Storage

Führen Sie die folgenden Tasks aus, um Cloud Object Storageeinzurichten:

  1. Verwaltungsschlüssel generieren.
  2. Stellen Sie sicher, dass die globale Position im Profil jedes Benutzers festgelegt ist
  3. Zugriff auf Cloud Object Storagebereitstellen.
  4. Optional: Schützen Sie sensible Daten.
  5. Optional: Verschlüsseln Sie Ihre IBM Cloud Object Storage -Instanz mit Ihrem eigenen Schlüssel.

Das folgende Video zeigt, wie Administratoren Cloud Object Storage für die Nutzung mit Cloud Pak for Data as a Serviceeinrichten.

Dieses Video bietet eine visuelle Methode zum Erlernen der Konzepte und Tasks in dieser Dokumentation.

Verwaltungsschlüssel generieren

Sie generieren einen Verwaltungsschlüssel für Cloud Object Storage , indem Sie ein erstes Testprojekt erstellen. Das Testprojekt kann nach seiner Erstellung gelöscht werden. Der einzige Zweck besteht darin, den Schlüssel zu generieren.

So generieren Sie automatisch den Verwaltungsschlüssel für Ihre Cloud Object Storage-Instanz:

  1. Wählen Sie im Hauptmenü von Cloud Pak for Data as a Service Projekte > Alle Projekte anzeigen aus und klicken Sie anschließend auf Neues Projekt.
  2. Geben Sie an, dass Sie ein leeres Projekt erstellen wollen.
  3. Geben Sie einen Projektnamen ein, z. B. 'Test Project'.
  4. Wählen Sie Ihre Cloud Object Storage-Instanz aus.
  5. Klicken Sie auf Erstellen. Der Verwaltungsschlüssel wird generiert.
  6. Löschen Sie das Testprojekt.

Stellen Sie sicher, dass die globale Position für Cloud Object Storage im Profil jedes Benutzers festgelegt ist.

Für Cloud Object Storage muss die globale Position im Profil jedes Benutzers konfiguriert sein. Die globale Position wird automatisch konfiguriert, aber sie kann versehentlich geändert werden. Wenn die globale Position im Profil des Benutzers nicht aktiviert ist, tritt beim Erstellen eines Projekts ein Fehler auf. Bitten Sie Benutzer zu prüfen, ob der globale Standort aktiviert ist.

Suchen Sie im Profil jedes Benutzers nach der Position Global.

Zugriff auf Cloud Object Storage bereitstellen

Sie können verschiedene Ebenen des Zugriffs auf Cloud Object Storage für Personen bereitstellen, die in Cloud Pak for Data as a Servicearbeiten müssen. Mit der Einstellung für die Speicherdelegierung in der Cloud Object Storage -Instanz können Sie den meisten Benutzern einen schnellen Zugriff zum Erstellen von Projekten und Katalogen ermöglichen. Eine weitere Option besteht jedoch darin, zielgruppenspezifischen Zugriff mithilfe von IAM-Rollen und -Zugriffsgruppen bereitzustellen. Der rollenbasierte Zugriff bewirkt strengere Steuerelemente für die direkte Anzeige der Cloud Object Storage -Instanz und für die Erstellung von Projekten und Katalogen. Wenn Sie einen kontrollierten Zugriff mit IAM-Rollen und -Zugriffsgruppen bereitstellen möchten, müssen Sie die Speicherdelegierung für die Cloud Object Storage -Instanz inaktivieren.

Sie aktivieren die Speicherdelegierung für die Cloud Object Storage -Instanz, um Benutzern ohne Verwaltungsaufgaben den Zugriff zu ermöglichen. Benutzer mit minimalen IAM-Berechtigungen können Projekte und Kataloge erstellen, die automatisch Buckets in der Cloud Object Storage -Instanz erstellen. Siehe Speicherdelegierung für Benutzer ohne Verwaltungsaufgaben aktivieren.

Sie stellen kontrollierten Zugriff mit IAM-Rollen und -Zugriffsgruppen bereit. Die Rolle Cloud Object Storage Manager stellt beispielsweise Berechtigungen zum Erstellen von Projekten und Bereichen zusammen mit den entsprechenden Buckets in der Cloud Object Storage -Instanz bereit. Außerdem werden Berechtigungen zum Anzeigen aller Buckets und Verschlüsselungsrootschlüssel in der Cloud Object Storage -Instanz, zum Anzeigen der Metadaten für ein Bucket und zum Löschen von Buckets sowie zum Ausführen anderer Verwaltungstasks bereitgestellt, die sich auf Buckets beziehen. Siehe Rollen zum Aktivieren des Zugriffs zuweisen.

Für Mitarbeiter, die mit den Daten in einem Projekt oder Katalog arbeiten, sind keine Rollenzuordnungen erforderlich. Benutzer, denen Mitarbeiterrollen zugewiesen sind, können ohne Speicherdelegierung oder IAM-Rolle im Projekt oder Katalog arbeiten. Siehe Projektmitarbeiterrollen und -berechtigungen.

Rollen zum Aktivieren des Zugriffs zuweisen

Der IBM Cloud -Kontoeigner oder -Administrator weist Benutzern die entsprechenden Rollen zu, um Zugriff auf Cloud Object Storagebereitzustellen. Die Speicherdelegierung muss inaktiviert werden, wenn rollenbasierter Zugriff verwendet wird.

Anstatt jedem einzelnen Benutzer eine Gruppe von Rollen zuzuordnen, können Sie eine Zugriffsgruppe erstellen. Zugriffsgruppen beschleunigen Rollenzuordnungen durch Gruppieren von Berechtigungen. Anweisungen zum Erstellen von Zugriffsgruppen finden Sie in der IBM Cloud -Dokumentation: Zugriffsgruppen einrichten. Anweisungen zum Erstellen einer Gruppe von Beispielzugriffsgruppen für Cloud Pak for Data as a Servicefinden Sie unter IAM-Zugriffsgruppen.

Die Beispielzugriffsgruppe CPD-COS-Admin bietet Zugriff auf IBM Cloud Object Storage für Benutzer, die Projekte und Kataloge erstellen und ändern müssen.

Die folgenden Typen von Rollen werden zugeordnet, um Zugriff auf Cloud Object Storagebereitzustellen:

  • IAM-Plattformzugriffsrolle (in IBM Cloud vom Kontoadministrator oder Kontoeigner zugewiesen)
  • Zugriffsrolle IAM Service (in IBM Cloud vom Kontoadministrator oder Kontoeigner zugewiesen)

Die folgende Tabelle beschreibt die Rollen für Benutzer, die Projekte und Kataloge erstellen und löschen:

Tabelle 1. Rollenzuordnungen für Cloud Object Storage für Projekte und Kataloge
Standort Erforderliche Rolle Typ Beschreibung Beispiel für Zugriffsgruppe
IBM Cloud Plattformadministrator IAM-Plattformzugriffsrolle Führen Sie alle Plattformaktionen mit Ausnahme der Verwaltung des Kontos und der Zuweisung von Zugriffsrichtlinien aus. CPD-COS-Administrator
IBM Cloud Manager Zugriffsrolle IAM Service für Cloud Object Storage Buckets erstellen, ändern oder löschen. Laden Sie die Objekte im Bucket hoch und herunter. Projekte und Kataloge erstellen und löschen. CPD-COS-Administrator


Speicherdelegierung aktivieren

Die Speicherdelegierung für die Cloud Object Storage -Instanz ermöglicht es Benutzern ohne Verwaltungsaufgaben, Projekte und Kataloge sowie die entsprechenden Cloud Object Storage -Buckets zu erstellen. Die Speicherdelegierung bietet umfassenden Zugriff auf Cloud Object Storage und ermöglicht Benutzern mit minimalen Berechtigungen, Projekte und Kataloge zu erstellen. Die Speicherdelegierung für Projekte umfasst auch Implementierungsbereiche.

Um genauer zu steuern, wer Projekte und Kataloge erstellen kann, erstellen Sie eine Zugriffsgruppe, die die entsprechende Rolle zuordnet und Benutzer in die Zugriffsgruppe einteilt. Siehe Beispiel für IAM-Zugriffsgruppen.

Gehen Sie wie folgt vor, um die Speicherdelegierung für die Cloud Object Storage -Instanz zu aktivieren:

  1. Wählen Sie im Navigationsmenü Verwaltung > Konfigurationen und Einstellungen > Speicherdelegierungaus.
  2. Speicherdelegierung für Projekte und Kataloge auf 'ein' setzen.

Speicherdelegierung

Optional: Verschlüsseln Sie Ihre IBM Cloud Object Storage -Instanz mit Ihrem eigenen Schlüssel

Die Verschlüsselung schützt die Daten für Ihre Projekte und Kataloge. Ruhende Daten in Cloud Object Storage werden standardmäßig mit zufällig generierten Schlüsseln verschlüsselt, die von IBMverwaltet werden. Für einen besseren Schutz können Sie eigene Verschlüsselungsschlüssel mit IBM Key Protecterstellen und verwalten. IBM Key Protect for IBM Cloud ist ein zentrales Schlüsselmanagementsystem zum Generieren, Verwalten und Löschen von Verschlüsselungsschlüsseln, die von IBM Cloud -Services verwendet werden.

Weitere Informationen finden Sie in der IBM Cloud -Dokumentation: IBM Key Protect for IBM Cloud.

Nicht alle Servicepläne von Watson Studio und IBM Knowledge Catalog Servicepläne unterstützen die Verwendung eigener Verschlüsselungsschlüssel. Überprüfen Sie Ihren spezifischen Plan auf Details.

Sie benötigen eine Instanz des IBM Key Project-Service, um Ihre Cloud Object Storage-Instanz mit Ihrem eigenen Schlüssel zu verschlüsseln. Obwohl Key Protect ein gebührenpflichtiger Service ist, sind für jedes Konto fünf Schlüssel gebührenfrei zulässig.

Stellen Sie in IBM Cloud Key Protect bereit und generieren Sie einen Schlüssel:

  1. Erstellen Sie eine Instanz von Key Protect für Ihr Konto aus dem IBM Cloud -Katalog. Siehe IBM Cloud -Dokumentation: Key Protect -Service bereitstellen.
  2. Erteilen Sie eine Serviceberechtigung zwischen Ihrer Key Protect-Instanz und Ihrer Cloud Object Storage-Instanz. Ordnen Sie einen Schlüssel nicht einem Bucket zu. Wenn Sie diese Berechtigung nicht erteilen, können Benutzer keine Projekte und Kataloge mit der Cloud Object Storage-Instanz erstellen. Weitere Informationen finden Sie in der IBM Cloud -Dokumentation: Berechtigungen zum Erteilen von Zugriff zwischen Services verwenden. Sie können auch eine Serviceberechtigung für einen Rootschlüssel aus Watson Studio erteilen, wenn Sie Verwalten > Zugriff (IAM) auswählen.
  3. Erstellen Sie einen Rootschlüssel zum Schutz Ihrer Cloud Object Storage -Instanz. Weitere Informationen finden Sie unter IBM Cloud docs: Rootschlüssel erstellen.

Fügen Sie in Cloud Pak for Data as a Serviceden Schlüssel zur Cloud Object Storage -Instanz hinzu:

  1. Wählen Sie Administration > Konfigurationen und Einstellungen > Speicherdelegierung.
  2. Verschieben Sie die Umschaltfläche für Projekteund/oder Kataloge, um Daten für die Verschlüsselung mit Ihrem Schlüssel auszuwählen.
  3. Klicken Sie auf Hinzufügen ... . unter Chiffrierschlüssel , um einen Chiffrierschlüssel hinzuzufügen.
  4. Wählen Sie die Key Protect -Instanz und den SchlüsselKey Protectaus.
  5. Klicken Sie auf OK , um den Chiffrierschlüssel hinzuzufügen.
Wichtig: Wenn Sie den Schlüssel ändern oder entfernen, verlieren Sie den Zugriff auf vorhandene verschlüsselte Daten in der Cloud Object Storage -Instanz.

Optional: Schützen Sie sensible Daten, die in Cloud Object Storage gespeichert sind.

Wenn Sie Cloud Pak for Data as a Servicebeitreten, wird eine einzelne Cloud Object Storage -Instanz automatisch für Sie bereitgestellt. Die Cloud Object Storage -Instanz enthält separate Buckets für jedes Projekt zum Speichern von Datenassets und zugehörigen Dateien. Die Möglichkeit, Projekte zu erstellen und Buckets zu Cloud Object Storage hinzuzufügen, steht nur Benutzern mit der Plattformrolle Administrator und der Rolle Manager für den Cloud Object Storage -Service zur Verfügung. Obwohl nur Benutzer mit diesen Rollen Projekte und ihre zugehörigen Buckets erstellen können, kann jeder Benutzer mit der Rolle Editor oder Anzeigeberechtigter die Datendateien anzeigen. Für einige Unternehmen enthalten die Datendateien sensible Informationen und erfordern strengere Zugriffskontrollen.

Steuerung des Zugriffs auf Cloud Object Storage mit mehreren Instanzen

Bei kostenpflichtigen Plänen können Sie den Zugriff auf Dateien mit sensiblen Daten steuern, indem Sie eine oder mehrere Cloud Object Storage -Instanzen erstellen und bestimmten Benutzern Zugriff zuweisen. Projektersteller wählen beim Erstellen eines Projekts die entsprechende Cloud Object Storage -Instanz aus. Die Datenassets und Dateien für das Projekt werden in einem Bucket in der ausgewählten Instanz gespeichert. Benutzer mit der Rolle Editor oder Anzeigeberechtigter können in den Projekten arbeiten, aber sie können die Assets nicht direkt im zugehörigen Cloud Object Storage -Bucket sehen. Sie können einem einzelnen Benutzer oder einer Zugriffsgruppe Zugriff auf eine bestimmte Cloud Object Storage -Instanz erteilen. Sie müssen der Kontoeigner oder Administrator sein, um Serviceinstanzen erstellen und Zugriff zuweisen zu können.

Es fallen keine zusätzlichen Gebühren an, wenn mehrere Cloud Object Storage -Instanzen erstellt werden, da die Gebühren durch die Gesamtspeichernutzung bestimmt werden. Die Anzahl der Instanzen ist kein Faktor für Cloud Object Storage -Gebühren.

Für den Lite-Plan ist nur eine Instanz von Cloud Object Storage zulässig. Sie können Ihren Preistarif über den IBM Cloud -Katalog ändern.

Gehen Sie wie folgt vor, um eine Cloud Object Storage -Instanz zu erstellen und Zugriff zuzuweisen:

  1. Wählen Sie im Navigationsmenü Services > Servicekatalog aus.
  2. Wählen Sie Speicher > Cloud Object Storageaus.
  3. Klicken Sie auf Erstellen. In IBM Cloudwird ein Servicename generiert.
  4. Wählen Sie Verwalten > Zugriff (IAM).
  5. Wählen Sie Benutzer oder Zugriffsgruppenaus.
  6. Klicken Sie auf Zugriff zuweisen.
  7. Wählen Sie in der Liste Services die Option Cloud Object Storageaus.
  8. Wählen Sie für RessourcenFolgendes aus:
    • Bereich = Bestimmte Ressourcen
    • Attributtyp = Serviceinstanz
    • Operator = Zeichenfolge ist gleich
    • Wert = Name von Cloud Object Storage
  9. Wählen Sie für Rollen und AktionenFolgendes aus:
    • Servicezugriff = Manager
    • Plattformzugriff = Administrator
  10. Klicken Sie auf Add und auf Assign.

Auf die angegebene Cloud Object Storage -Instanz kann nur der Benutzer oder die Zugriffsgruppe mit der Servicerolle 'Manager' und der Plattformrolle 'Administrator' zugreifen. Andere Benutzer können in den Projekten arbeiten, jedoch keine Projekte erstellen oder Assets direkt im Bucket anzeigen.

Nächster Schritt

Schließen Sie die übrigen Schritte zum Einrichten der Plattform ab.

Weitere Informationen

Übergeordnetes Thema: Plattform einrichten

Generative KI-Suche und -Antwort
Diese Antworten werden von einem großen Sprachmodell in watsonx.ai basierend auf dem Inhalt der Produktdokumentation generiert. Weitere Informationen