Cada usuario de Cloud Pak for Data as a Service requiere un conjunto de roles que incluyen roles de IAM en IBM Cloud y roles de colaborador para espacios de trabajo en Cloud Pak for Data as a Service. Puede acelerar la asignación de roles de IAM a los usuarios creando grupos de acceso de IAM en IBM Cloud, asignando roles a los grupos y, a continuación, añadiendo usuarios a los grupos.

Para utilizar los grupos de acceso de IAM como grupos de usuarios, debe activar el alcance de las cuentas. Si establece el ámbito de recursos en la cuenta actual, los usuarios no puede acceder a los recursos externos a su cuenta, independientemente de su pertenencia a grupo. El ámbito se aplica a proyectos, catálogos y espacios.

Para activar el alcance de la cuenta:

1. En el menú de navegación, seleccione Administración > Cuenta y facturación > Cuenta para abrir la ventana de configuración de la cuenta.
2. Establezca Ámbito de recurso en Activado.

Después de crear un grupo de acceso IAM, también se crea un grupo de usuarios. Los grupos de usuarios facilitan la gestión de un gran número de usuarios con requisitos de acceso similares.

• Puedes asignar Visor, Editor o Admin roles a grupos de usuarios cuando añadas colaboradores a proyectos y espacios.
• Si un miembro del grupo se va, puedes eliminar al usuario del grupo en lugar de mirar todos los activos a los que tiene acceso el usuario.

Los grupos de usuarios sólo están disponibles en proyectos que tengan activada la opción Restringir quién puede ser colaborador. Consulte Creación de un proyecto para saber cómo restringir la elegibilidad de los colaboradores en los proyectos.

Al asignar usuarios a uno o más grupos de acceso, les está otorgando los permisos que necesitan para trabajar con los servicios en Cloud Pak for Data as a Service. Puede asignar usuarios a más de un grupo de acceso para proporcionar el acceso adecuado.

Los grupos de acceso proporcionan permisos para el acceso de servicio y el acceso de plataforma en IBM Cloud. Puesto que Cloud Pak for Data as a Service se ejecuta en IBM Cloud, los usuarios deben tener asignados los permisos de servicio y plataforma. Los permisos de servicio se aplican a servicios individuales y definen las operaciones permitidas dentro del servicio. Los permisos de plataforma definen operaciones en la plataforma en la nube como, por ejemplo, el suministro o la supresión de servicios.

También puede asignar roles a usuarios individuales, pero recuerde que los roles asignados individualmente no se actualizan cuando se actualizan los grupos de acceso. Cuando asigna roles a usuarios individuales, debe actualizar cada usuario individualmente para realizar cambios.

Los grupos de acceso son más eficientes que asignar usuarios individuales al asignar colaboradores a catálogos y categorías. Para facturable IBM Knowledge Catalog planes, puedes asignar un grupo de acceso como colaborador a un catálogo y asignar un grupo de acceso como colaborador a una categoría.

Roles necesarios

Para administrar o crear grupos de acceso de IAM, debe tener uno de los siguientes roles en el IBM Cloud cuenta:

• Cuenta Dueño

• Administrador o Editor para todos los servicios habilitados para identidad y acceso

• Administrador o Editor en el servicio de administración de cuentas de IAM Access Groups en la cuenta

• Administrador o Editor para todos los servicios de gestión de cuentas