0 / 0
資料の 英語版 に戻る
Cloud Pak for Data as a Service で使用するための IBM Cloud Object Storage のセットアップ
Cloud Pak for Data as a Service で使用するための IBM Cloud Object Storage のセットアップ

Cloud Pak for Data as a Service で使用するための IBM Cloud Object Storage のセットアップ

IBM Cloud Object Storage サービス・インスタンスは、 Cloud Pak for Data as a Service に登録すると、ライト・プランで自動的にプロビジョンされます。 Cloud Pak for Data as a Service のプロジェクト、カタログ、およびデプロイメント・スペースは、アップロードされたデータ・ファイルやノートブック・ファイルなど、資産に関連するファイルを IBM Cloud Object Storage が保存する必要があります。

IBM Cloud Object Storage にデータ・ソースとして接続することもできます。 IBM Cloud Object Storage 接続を参照してください。

Cloud Object Storage をセットアップするためのステップ

Cloud Object Storage をセットアップする手順は、以下のとおりです。

  1. 管理鍵の生成
  2. アクセスを有効にするための役割の割り当て
  3. 各ユーザーのプロファイルに 「グローバル」 ロケーションが設定されていることを確認します。
  4. オプション: 独自の鍵を使用して IBM Cloud Object Storage インスタンスを暗号化する
  5. オプション: リージョン・ストレージの強制

管理キーの生成

Cloud Object Storageの管理キーを生成する必要があります。 テスト・プロジェクトを作成することにより、鍵を自動的に生成できます。

Cloud Object Storage インスタンスの管理キーを自動的に生成するには:

  1. Cloud Pak for Data as a Service のメインメニューから、 「プロジェクト」>「すべてのプロジェクトの表示」 を選択し、 新規プロジェクトをクリックしてください。
  2. 空のプロジェクトを作成するように指定します。
  3. プロジェクト名 を入力します。例えば、「Test Project」など。
  4. Cloud Object Storage インスタンスを選択してください。
  5. 「作成」をクリックします。 管理キーが生成され、プロジェクトを削除できます。

テスト・プロジェクトは、初めて使用する管理キーを生成するために必要です。 これは、鍵が生成された後は必要なくなります。

アクセスを有効にするための役割の割り当て

IBM Cloud アカウント所有者または管理者は、 Cloud Object Storageへのアクセス権限を付与するために、適切な役割をユーザーに割り当てます。 プロジェクトおよびカタログを操作するには、 Cloud Object Storage へのアクセス権限が必要です。

個々のユーザーに一連の役割を割り当てる代わりに、アクセス・グループを作成することができます。 アクセス・グループは、多数のユーザーの許可をグループ化することにより、役割の割り当てを迅速化します。 アクセス・グループの作成手順については、 IBM Cloud の資料: アクセス・グループのセットアップを参照してください。 Cloud Pak for Data as a Service用の一連のサンプル・アクセス・グループの作成手順については、 IAM アクセス・グループを参照してください。 サンプル・アクセス・グループ CPD-Cat-Proj は、プロジェクトおよびカタログを作成および変更する必要があるユーザーに、 IBM Cloud Object Storage へのアクセスを提供します。

Cloud Object Storageへのアクセスを提供するために、以下の 3 つのタイプの役割が割り当てられます。

  • IAM プラットフォーム・アクセス役割 (アカウント管理者または所有者により IBM Cloud で割り当てられます)
  • IAM Service のアクセス役割 (アカウント管理者または所有者により IBM Cloud で割り当てられます)
  • ワークスペース・コラボレーターの役割 ( Cloud Pak for Data as a Service 管理者により Cloud Pak for Data as a Service で割り当てられます)

以下の表では、プロジェクトおよびカタログを作成および削除するユーザーの役割について説明します。

表1。 プロジェクトおよびカタログの Cloud Object Storage の役割の割り当て
場所 役割が必要 タイプ 説明 アクセス・グループの例
IBM Cloud プラットフォーム管理者 IAM プラットフォーム・アクセス役割 アカウントの管理とアクセス・ポリシーの割り当てを除き、すべてのプラットフォーム・アクションを実行します。 CPD-カタログ-プロジェクト
IBM Cloud マネージャー Cloud Object Storage の IAM Service のアクセス役割 バケットの作成/変更/削除、バケット内のオブジェクトのアップロードとダウンロード、プロジェクトとカタログの作成と削除。 CPD-カタログ-プロジェクト
Cloud Pak for Data as a Service Editor ワークスペース・コラボレーター役割 プロジェクトおよびカタログの作成、追加、変更、または削除、運用資産およびジョブの実行またはスケジュール、デプロイメント・スペースへの資産のプロモート、運用資産およびジョブの実行またはスケジュール、カタログへの資産の公開、プロジェクトへの資産の追加。 適用外

各ユーザーのプロファイルにグローバル・ロケーションが設定されていることを確認します。

Cloud Object Storage では、各ユーザーのプロファイルでグローバル・ロケーションを構成する必要があります。 グローバル・ロケーションは自動的に構成されますが、誤って変更される可能性があります。 ユーザーのプロファイルでグローバル・ロケーションが有効になっていない場合、プロジェクトの作成時にエラーが発生します。 グローバル・ロケーションが有効になっていることを確認するようにユーザーに依頼します。

各ユーザーのプロファイルで 「グローバル」 の場所を確認します

オプション: 独自の鍵を使用して IBM Cloud Object Storage インスタンスを暗号化する

暗号化により、プロジェクトおよびカタログのデータが保護されます。 Cloud Object Storage に保存されているデータは、 IBMによって管理されるランダムに生成された鍵を使用してデフォルトで暗号化されます。 保護を強化するために、 IBM Key Protectを使用して独自の暗号鍵を作成および管理できます。 IBM Key Protect for IBM Cloud は、 IBM Cloud サービスで使用される暗号鍵を生成、管理、および破棄するための一元化された鍵管理システムです。

Key Protect の仕組みについては、 IBM Cloud の資料: IBM Key Protect for IBM Cloudを参照してください。

すべての Watson Studio サービス・プラン および Watson Knowledge Catalog サービス・プラン で、独自の暗号鍵の使用がサポートされているわけではありません。 詳細については、ご使用のプランを確認してください。

各自の鍵を使用して Cloud Object Storage インスタンスを暗号化するには、IBM Key Project サービスのインスタンスが必要です。 Key Protect は有料サービスですが、各アカウントには 5 つの鍵が無料で許可されています。

IBM Cloudで、 Key Protect をプロビジョンし、鍵を生成します。

  1. IBM Cloud カタログから、アカウントの Key Protect のインスタンスを作成します。 IBM Cloud 資料: Key Protect サービスのプロビジョニングを参照してください。
  2. Key Protect インスタンスと Cloud Object Storage インスタンスの間のサービス許可を付与します。 鍵をバケットに関連付けないでください。 権限を付与しないと、ユーザーは Cloud Object Storage インスタンスを使用してプロジェクトおよびカタログを作成できません。 詳しくは、 IBM Cloud の資料: 許可を使用したサービス間のアクセス権限の付与を参照してください。 「管理」 > 「アクセス (IAM)」を選択して、 Watson Studioからルート鍵のサービス許可を付与することもできます。
  3. Cloud Object Storage インスタンスを保護するためのルート鍵を作成します。 IBM Cloud の資料: ルート鍵の作成を参照してください。

Cloud Pak for Data as a Serviceで、 Cloud Object Storage インスタンスにキーを追加します。

  1. 「管理」>「構成と設定」>「ストレージの委任」を選択します。
  2. 「プロジェクト」「カタログ」、またはその両方のトグルをスライドさせて、鍵を使用して暗号化するデータを選択します。
  3. 「追加 ...」 をクリックします。 「暗号鍵」 の下に、暗号鍵を追加します。
  4. Key Protect インスタンス および Key Protect 鍵を選択します。
  5. 「OK」 をクリックして、暗号鍵を追加します。
重要: 鍵を変更または削除すると、 Cloud Object Storage インスタンス内の既存の暗号化データにアクセスできなくなります。

オプション: 地域プロジェクト・ストレージの強制

Cloud Object Storage インスタンス内で、バケットと呼ばれるコンテナーは、プロジェクト、カタログ、およびデプロイメント・スペースで使用するオブジェクトを保持します。 バケットは、ロケーション、回復力、請求レート、セキュリティー、およびオブジェクト・ライフサイクル・ルールの観点から個別に構成できます。

カタログおよびデプロイメント・スペースは、サービス・インスタンスと同じリージョンにリージョン・バケットを作成します。 ただし、プロジェクト・ファイルは、デフォルトで Cross Region Cloud Object Storage バケットに保存されます。 クロス・リージョン・バケットを使用すると、サービス・インスタンスが存在するリージョンとは異なるリージョンにプロジェクト・ファイルが保存される可能性があります。

地域プロジェクト・ストレージオンに設定することにより、プロジェクトの地域バケットに、プロジェクト・ファイルを Watson Studio サービスと同じ地域に保持するように強制できます。 アカウント設定の管理を参照してください。

次のステップ

プラットフォームのセットアップの残りのステップを完了してください。

親トピック: プラットフォームのセットアップ