每个 Cloud Pak for Data as a Service 用户都需要一组角色,其中包括 IBM Cloud 上的 IAM 角色以及 Cloud Pak for Data as a Service上工作空间的合作者角色。 通过在 IBM Cloud上创建 IAM 访问组,将角色分配给组,然后将用户添加到组,可以加速将 IAM 角色分配给用户。
要将 IAM 访问组用作用户组,必须启用账户范围。 通过将资源作用域设置为当前帐户,无论成员资格如何,用户都无法访问其帐户之外的资源。 作用域将应用于项目、目录和空间。
启用帐户范围:
- 从导航菜单中选择 Administration > Account and billing > Account 打开账户设置窗口。
- 将 Resource scope 设置为 On.
创建 IAM 访问组后,还要创建一个用户组。 利用用户组,可以更轻松地管理存在类似访问需求的大量用户。
- 在为项目和空间添加协作者时,可以为用户组分配 查看器、 编辑 或 管理员 角色。
- 如果组中的某个成员离开,你可以将该用户从组中删除,而不是查看该用户可以访问的所有资产。
用户组仅在启用了 Restrict who can be a collaborator 选项的项目中可用。 请参阅 创建项目,了解如何限制项目中协作者的资格。
通过将用户分配给一个或多个访问组,您将授予他们使用 Cloud Pak for Data as a Service中的服务所需的许可权。 您可以将用户分配到多个访问组以提供相应的访问权。
访问组提供在 IBM Cloud上进行服务访问和平台访问的许可权。 由于 Cloud Pak for Data as a Service 在 IBM Cloud上运行,因此必须为用户分配 "服务" 和 "平台" 许可权。 服务许可权适用于个别服务,并定义服务中允许的操作。 平台许可权定义云平台上的操作,例如供应或删除服务。
您还可以向个别用户分配角色,但请记住,在更新访问组时,不会更新个别分配的角色。 向个别用户分配角色时,必须单独更新每个用户以进行更改。
在将合作者分配到目录和类别时,访问组比分配个人用户更高效。 对于计费IBM Knowledge Catalog计划,你可以将访问组分配为目录的协作者和将访问组分配为某个类别的协作者。
- 所需角色
- 要管理或创建 IAM 访问组,您必须在IBM Cloud帐户:
- 帐户所有者
- 行政人员或者编辑适用于所有启用身份和访问的服务
- 行政人员或者编辑在账户中的 IAM 访问组账户管理服务上
- 行政人员或者编辑针对所有帐户管理服务
公共访问组
每个 IBM Cloud 帐户都包含缺省 Public Access 组。 公共访问权 组包含帐户中的所有用户和服务标识。 在IBM Knowledge Catalog时,预定义的公共访问用户组将自动作为具有查看者角色的协作者添加到顶级类别中。 看治理工件的类别( IBM Knowledge Catalog)。
IBM Cloud IAM 限制
IBM Cloud IAM 对每个帐户和每个用户的访问组数以及其他限制进行限制。 如果超出限制,那么您将接收到异常,并且无法创建超出该限制的任何新访问组。 有关所有 IAM 限制的列表,请参阅IBM Cloud文档:IBM CloudIAM 限制。
访问组示例
示例 IAM 访问组提供了一个起点,用于提供对 Cloud Pak for Data as a Service 服务的基本访问权。 您可以根据实施需要编辑示例访问组。 有关示例访问组和建议角色的描述,请参阅 使用示例访问组。
了解更多信息
父主题: 设置平台