Configuración de IBM Cloud Object Storage para su uso con Cloud Pak for Data as a Service

Una instancia de servicio de IBM Cloud Object Storage se suministra automáticamente con un plan Lite cuando se une a Cloud Pak for Data as a Service. Los espacios de trabajo, como los proyectos, requieren IBM Cloud Object Storage para almacenar archivos relacionados con activos, incluidos los archivos de datos cargados o los archivos de cuaderno.

También puede conectarse a IBM Cloud Object Storage como un origen de datos. Consulte Conexión de IBM Cloud Object Storage.

Visión general de la configuración de Cloud Object Storage

Para configurar Cloud Object Storage, realice estas tareas:

1. Generar una clave administrativa.
2. Asegúrese de que la ubicación global esté establecida en cada perfil de usuario.
3. Proporcione acceso a Cloud Object Storage.
   • Asignar roles para habilitar el acceso.
   • Habilitar delegación de almacenamiento.
4. Opcional: Proteger datos confidenciales.
5. Opcional: cifre la instancia de IBM Cloud Object Storage con su propia clave.

Vea el siguiente vídeo para ver cómo los administradores configuran Cloud Object Storage para su uso con Cloud Pak for Data as a Service.

Generar una clave administrativa

Puede generar una clave administrativa para Cloud Object Storage creando un proyecto de prueba inicial. El proyecto de prueba se puede suprimir después de su creación. Su único propósito es generar la clave.

Para generar automáticamente la clave administrativa para la instancia de Cloud Object Storage:

1. En el menú principal de Cloud Pak for Data as a Service, seleccione Proyectos > Ver todos los proyectos y, a continuación, pulse Nuevo proyecto.
2. Especifíquelo para crear un proyecto vacío.
3. Especifique un nombre de proyecto como, por ejemplo, "Proyecto de prueba".
4. Seleccione la instancia de almacenamiento de Cloud Object Storage
5. Pulse Crear. Se genera la clave administrativa.
6. Suprima el proyecto de prueba.

Asegúrese de que la ubicación global esté establecida para Cloud Object Storage en el perfil de cada usuario

Cloud Object Storage requiere que la ubicación global se configure en cada perfil de usuario. La ubicación global se configura automáticamente, pero puede cambiarse por error. Se produce un error cuando se crea un proyecto si la ubicación global no está habilitada en el perfil del usuario. Solicite a los usuarios que comprueben que la ubicación global está habilitada.

Compruebe la ubicación Global en el perfil de cada usuario.

Proporcionar acceso a Cloud Object Storage

Puede proporcionar distintos niveles de acceso a Cloud Object Storage para las personas que necesitan trabajar en Cloud Pak for Data as a Service. Utilizando el valor de delegación de almacenamiento en la instancia de Cloud Object Storage , puede proporcionar acceso rápido a la mayoría de los usuarios para crear proyectos y catálogos. Sin embargo, otra opción es proporcionar acceso de destino utilizando roles y grupos de acceso de IAM. El acceso basado en roles promulga controles más estrictos para ver la instancia de Cloud Object Storage directamente y para crear proyectos y catálogos. Si decide proporcionar acceso controlado con roles y grupos de acceso de IAM, debe inhabilitar la delegación de almacenamiento para la instancia de Cloud Object Storage .

Habilite la delegación de almacenamiento para la instancia de Cloud Object Storage para proporcionar acceso a usuarios no administrativos. Los usuarios con permisos mínimos de IAM pueden crear proyectos y catálogos, que crean automáticamente grupos en la instancia de Cloud Object Storage . Consulte Habilitar delegación de almacenamiento para usuarios no administrativos.

Proporciona un acceso más controlado con roles y grupos de acceso de IAM. Por ejemplo, el rol Cloud Object Storage Manager proporciona permisos para crear proyectos y espacios junto con los grupos correspondientes en la instancia de Cloud Object Storage . También proporciona permisos para ver todos los grupos y claves raíz de cifrado en la instancia de Cloud Object Storage , para ver los metadatos de un grupo y suprimir grupos, y para realizar otras tareas administrativas relacionadas con los grupos. Consulte Asignar roles para habilitar el acceso.

No se necesitan asignaciones de roles para los colaboradores que trabajan con los datos en un proyecto o catálogo. Los usuarios a los que se les asignan roles de colaborador pueden trabajar en el proyecto o catálogo sin delegación de almacenamiento o un rol de IAM. Consulte Permisos y roles de colaborador de proyecto.

Asignar roles para habilitar el acceso

El propietario o administrador de la cuenta de IBM Cloud asigna los roles adecuados a los usuarios para proporcionar acceso a Cloud Object Storage. La delegación de almacenamiento debe estar inhabilitada cuando se utiliza el acceso basado en roles.

En lugar de asignar a cada usuario individual un conjunto de roles, puede crear un grupo de acceso. Los grupos de acceso agilizan las asignaciones de roles agrupando permisos. Para obtener instrucciones sobre cómo crear grupos de acceso, consulte la documentación de IBM Cloud : Configuración de grupos de acceso. Para obtener instrucciones sobre cómo crear un conjunto de grupos de acceso de ejemplo para Cloud Pak for Data as a Service, consulte Grupos de acceso de IAM.

El grupo de acceso de ejemplo CPD-COS-Admin proporciona acceso a IBM Cloud Object Storage para los usuarios que necesitan crear y modificar proyectos y catálogos.

Estos tipos de roles se asignan para proporcionar acceso a Cloud Object Storage:

• Rol de acceso de IAM Platform (asignado en IBM Cloud por el administrador o el propietario de la cuenta)
• Rol de acceso de IAM Service (asignado en IBM Cloud por el administrador o el propietario de la cuenta)

La tabla siguiente describe los roles para los usuarios que crean y suprimen proyectos y catálogos:

Habilitar delegación de almacenamiento

La delegación de almacenamiento para la instancia de Cloud Object Storage permite a los usuarios no administrativos crear proyectos y catálogos y los correspondientes grupos de Cloud Object Storage . La delegación de almacenamiento proporciona un amplio acceso a Cloud Object Storage y permite a los usuarios con permisos mínimos crear proyectos y catálogos. La delegación de almacenamiento para proyectos también incluye espacios de despliegue.

Para controlar con más cuidado quién puede crear proyectos y catálogos, cree un grupo de acceso que asigne el rol adecuado y coloque los usuarios en el grupo de acceso. Consulte Ejemplo de grupos de acceso de IAM.

Para habilitar la delegación de almacenamiento para la instancia de Cloud Object Storage :

1. En el menú de navegación, seleccione Administración > Configuraciones y valores > Delegación de almacenamiento.
2. Establezca la delegación de almacenamiento para proyectos y catálogos en activado.

Opcional: Cifrar la instancia de IBM Cloud Object Storage con su propia clave

El cifrado protege los datos para los proyectos y catálogos. Los datos en reposo en Cloud Object Storage se cifran de forma predeterminada con claves generadas aleatoriamente gestionadas por IBM. Para aumentar la protección, puede crear y gestionar sus propias claves de cifrado con IBM Key Protect. IBM Key Protect for IBM Cloud es un sistema de gestión de claves centralizado para generar, gestionar y suprimir claves de cifrado utilizadas por los servicios de IBM Cloud .

Para obtener más información, consulte la documentación de IBM Cloud : IBM Key Protect for IBM Cloud.

No todos los planes de servicio deWatson Studio y los planes de servicio deIBM Knowledge Catalog dan soporte al uso de sus propias claves de cifrado. Consulte el plan específico para obtener más detalles.

Para cifrar su instancia de Cloud Object Storage con su propia clave, necesita un instancia de servicio de IBM Key Project. Aunque Key Protect es un servicio de pago, a cada cuenta se le permiten cinco claves sin cargo.

En IBM Cloud, suministre Key Protect y genere una clave:

1. Cree una instancia de Key Protect para su cuenta desde el catálogo de IBM Cloud . Consulte la documentación de IBM Cloud : Suministro del servicio Key Protect.
2. Asigne una autorización de servicio entre su instancia de Key Protect y su instancia de Cloud Object Storage. No asocie una clave a un grupo. Si no otorga la autorización, los usuarios no pueden crear proyectos y catálogos con la instancia de Cloud Object Storage. Para obtener más información, consulte Documentos deIBM Cloud : Utilización de autorizaciones para otorgar acceso entre servicios. También puede otorgar una autorización de servicio para una clave raíz de Watson Studio eligiendo Gestionar > Acceso (IAM).
3. Cree una clave raíz para proteger la instancia de Cloud Object Storage . Consulte la documentación de IBM Cloud : Creación de claves raíz.

En Cloud Pak for Data as a Service, añada la clave a la instancia de Cloud Object Storage :

1. Seleccione Administración > Configuraciones y valores > Delegación de almacenamiento.
2. Deslice el conmutador para Proyectos, Catálogoso ambos para seleccionar datos para el cifrado con la clave.
3. Pulse Añadir ... en Claves de cifrado para añadir una clave de cifrado.
4. Seleccione la instancia de Key Protect y la clave de Key Protect.
5. Pulse Aceptar para añadir la clave de cifrado.

Opcional: proteja los datos confidenciales almacenados en Cloud Object Storage

Cuando se une a Cloud Pak for Data as a Service, se suministra automáticamente una única instancia de Cloud Object Storage . La instancia de Cloud Object Storage contiene grupos separados para cada proyecto para almacenar activos de datos y archivos relacionados. La capacidad de crear proyectos y, por lo tanto, de añadir grupos a Cloud Object Storage solo está disponible para los usuarios con el rol Administrador de plataforma y el rol Gestor para el servicio Cloud Object Storage . Aunque sólo los usuarios con estos roles pueden crear proyectos y sus grupos adjuntos, cualquier usuario con el rol de Editor o Visor puede ver los archivos de datos. Para algunas empresas, los archivos de datos contienen información confidencial y requieren controles de acceso más estrictos.

Controlar el acceso a Cloud Object Storage con varias instancias

Para los planes de pago, puede controlar el acceso a archivos de datos confidenciales creando una o más instancias de Cloud Object Storage y asignando acceso a usuarios específicos. Los creadores de proyectos seleccionan la instancia de Cloud Object Storage adecuada cuando crean un proyecto. Los activos de datos y los archivos del proyecto se almacenan en un grupo en la instancia seleccionada. Los usuarios con roles de Editor o Visor pueden trabajar en los proyectos, pero no pueden ver los activos directamente en el grupo Cloud Object Storage relacionado. Puede asignar acceso a una instancia específica de Cloud Object Storage a un usuario individual o a un grupo de acceso. Debe ser el propietario o administrador de la cuenta para crear instancias de servicio y asignar acceso.

No se incurre en tarifas adicionales al crear más de una instancia de Cloud Object Storage porque los cargos están determinados por la utilización general del almacenamiento. El número de instancias no es un factor para las tarifas de Cloud Object Storage .

Solo se permite una instancia de Cloud Object Storage para el plan Lite. Puede cambiar el plan de precios desde el catálogo de IBM Cloud .

Para crear una instancia de Cloud Object Storage y asignar acceso:

1. Seleccione Servicios > Catálogo de servicios en el menú de navegación.
2. Seleccione Almacenamiento > Cloud Object Storage.
3. Pulse Crear. Se genera un nombre de servicio en IBM Cloud.
4. Seleccione Gestionar > Acceso (IAM).
5. Seleccione Usuarios o Grupos de acceso.
6. Pulse Asignar acceso.
7. En la lista Servicios , elija Cloud Object Storage.
8. Para Recursos, elija:
   • Ámbito = Recursos específicos
   • Tipo de atributo = Instancia de servicio
   • Operador = serie igual a
   • Valor = nombre de Cloud Object Storage
9. Para roles y acciones, elija:
   • = Service Access Manager
   • = Platform access Administrator
10. Pulse Añadir y Asignar.

Sólo el usuario o el grupo de acceso con el rol de Gestor y el rol de Administrador de plataforma pueden acceder a la instancia de Cloud Object Storage especificada. Otros usuarios pueden trabajar en los proyectos pero no pueden crear proyectos ni ver activos directamente en el grupo.

Paso siguiente

Siga los pasos restantes para configurar la plataforma.

Más información

• Seguridad de Cloud Pak for Data as a Service
• Seguridad de datos

Tema principal: Configuración de la plataforma