IAM アクセス・グループの操作
すべての IBM watsonx ユーザーには、IBM Cloud での IAM ロールと、IBM watsonx でのワークスペース用のコラボレーター ロールを含む一連のロールが必要です。 IBM Cloud で IAM アクセス・グループを作成し、グループにロールを割り当て、そのグループにユーザーを追加することで、ユーザーへの IAM ロールの割り当てを迅速に行うことができます。
IAMアクセスグループをユーザーグループとして使用するには、アカウントのスコープを有効にする必要があります。 リソースの有効範囲を現行アカウントに設定することにより、メンバーシップに関係なく、ユーザーは自分のアカウントの外部にあるリソースにアクセスできなくなります。 この有効範囲は、プロジェクト、カタログ、およびスペースに適用されます。
アカウントのスコープを有効にする:
- ナビゲーションメニューから管理 >アカウントと請求 >アカウントを選択し、アカウント設定ウィンドウを開きます。
- リソース・スコープ を オンに設定してください。
IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、類似したアクセス要件を持つ多数のユーザーの管理が簡単になります。
- プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、または管理者の役割をユーザーグループに割り当てることができます。
- グループのメンバーが脱退した場合、そのユーザーがアクセスできるすべてのアセットを見るのではなく、グループからユーザーを削除することができます。
ユーザーを 1 つ以上のアクセス グループに割り当てることで、IBM watsonx のサービスで作業するために必要な権限を付与することになります。 適切なアクセス権限を提供するために、複数のアクセス・グループにユーザーを割り当てることができます。
アクセス・グループは、 IBM Cloud上のサービス・アクセスおよびプラットフォーム・アクセスの許可を提供します。 IBM watsonx は IBM Cloud 上で実行されるため、ユーザーには Service と Platform の両方の権限を割り当てる必要があります。 サービス許可は個々のサービスに適用され、サービス内で許可される操作を定義します。 プラットフォーム権限は、サービスのプロビジョニングや削除など、クラウド・プラットフォームでの操作を定義します。
個々のユーザーに役割を割り当てることもできますが、アクセス・グループが更新されても、個別に割り当てられた役割は更新されないことに注意してください。 個々のユーザーに役割を割り当てる場合は、各ユーザーを個別に更新して変更する必要があります。
- 必須ロール
- IAMアクセスグループを管理または作成するには、 IBM Cloudアカウント:
- アカウント所有者
- 管理者または編集者すべてのIDとアクセス対応サービス
- 管理者または編集者アカウントのIAMアクセスグループアカウント管理サービスで
- 管理者または編集者すべてのアカウント管理サービス
IBM Cloud IAM の制限
IBM Cloud IAM では、アカウントごと、ユーザーごとのアクセス・グループの数に制限があり、その他の制限もあります。 制限を超えると、例外を受け取り、その制限を超える新しいアクセス・グループを作成することはできません。 すべてのIAM制限のリストについては、'IBM Cloudドキュメント IBM CloudIAMの制限 を参照のこと。
アクセス・グループの例
例の IAM アクセス・グループは、IBM watsonx サービスへの基本的なアクセスを提供するための出発点を提供します。 実装の必要に応じて、サンプルのアクセス・グループを編集できます。 アクセス・グループの例と推奨される役割の説明については、 アクセス・グループの例の使用を参照してください。
詳細情報
親トピック: プラットフォームのセットアップ