Cada usuario de IBM watsonx requiere un conjunto de roles que incluye roles de IAM en IBM Cloud y roles de colaborador para espacios de trabajo en IBM watsonx. Puede agilizar la asignación de funciones de IAM a los usuarios creando grupos de acceso de IAM en IBM Cloud, asignando funciones a los grupos y, a continuación, añadiendo usuarios a los grupos.
Para utilizar los grupos de acceso de IAM como grupos de usuarios, debe activar el alcance de las cuentas. Si establece el ámbito de recursos en la cuenta actual, los usuarios no puede acceder a los recursos externos a su cuenta, independientemente de su pertenencia a grupo. El ámbito se aplica a proyectos, catálogos y espacios.
Para activar el alcance de la cuenta:
- En el menú de navegación, seleccione Administración > Cuenta y facturación > Cuenta para abrir la ventana de configuración de la cuenta.
- Establezca Ámbito de recurso en Activado.
Después de crear un grupo de acceso IAM, también se crea un grupo de usuarios. Los grupos de usuarios facilitan la gestión de un gran número de usuarios con requisitos de acceso similares.
- Puedes asignar Visor, Editor o Admin roles a grupos de usuarios cuando añadas colaboradores a proyectos y espacios.
- Si un miembro del grupo se va, puedes eliminar al usuario del grupo en lugar de mirar todos los activos a los que tiene acceso el usuario.
Al asignar usuarios a uno o varios grupos de acceso, les está concediendo los permisos que necesitan para trabajar con los servicios de IBM watsonx. Puede asignar usuarios a más de un grupo de acceso para proporcionar el acceso adecuado.
Los grupos de acceso proporcionan permisos para el acceso de servicio y el acceso de plataforma en IBM Cloud. Dado que IBM watsonx se ejecuta en IBM Cloud, los usuarios deben tener asignados permisos tanto de Servicio como de Plataforma. Los permisos de servicio se aplican a servicios individuales y definen las operaciones permitidas dentro del servicio. Los permisos de plataforma definen operaciones en la plataforma en la nube como, por ejemplo, el suministro o la supresión de servicios.
También puede asignar roles a usuarios individuales, pero recuerde que los roles asignados individualmente no se actualizan cuando se actualizan los grupos de acceso. Cuando asigna roles a usuarios individuales, debe actualizar cada usuario individualmente para realizar cambios.
- Roles necesarios
- Para administrar o crear grupos de acceso de IAM, debe tener uno de los siguientes roles en el IBM Cloud cuenta:
- Cuenta Dueño
- Administrador o Editor para todos los servicios habilitados para identidad y acceso
- Administrador o Editor en el servicio de administración de cuentas de IAM Access Groups en la cuenta
- Administrador o Editor para todos los servicios de gestión de cuentas
Límites de IBM Cloud IAM
IBM Cloud IAM pone límites al número de grupos de acceso por cuenta y por usuario, así como a otros límites. Si se supera un límite, recibirá una excepción y no podrá crear nuevos grupos de acceso más allá de ese límite. Para obtener una lista de todos los límites de IAM, consulte la documentación de IBMIBM Cloud: Límites de IAM IBM Cloud.
Grupos de acceso de ejemplo
Los grupos de acceso IAM de ejemplo proporcionan un punto de partida para proporcionar acceso básico a los servicios IBM watsonx. Puede editar los grupos de acceso de ejemplo según sea necesario para su implementación. Para obtener una descripción de los grupos de acceso de ejemplo y los roles sugeridos, consulte Utilización de los grupos de acceso de ejemplo.
Más información
- Configuración de grupos de acceso
- Utilización de los grupos de acceso de ejemplo
- Documentos deIBM Cloud: Asignación de acceso a recursos mediante grupos de acceso
Tema principal: Configuración de la plataforma