Les exemples de groupes d'accès fournissent une configuration de base pour la mise en œuvre d'une structure de données comprenant les services watsonx.ai Studio, watsonx.ai Runtime, IBM Knowledge Catalog, Data Virtualization, DataStage, et IBM Match 360 Vous pouvez modifier les exemples pour accorder les droits nécessaires à vos services mis à disposition.
Après avoir créé un groupe d'accès IAM, un groupe d'utilisateurs est également créé. Les groupes d'utilisateurs permettent de gérer plus facilement un nombre important d'utilisateurs ayant des exigences d'accès similaires.
- Vous pouvez attribuer les rôles Viewer, Editor ou Admin aux groupes d'utilisateurs lorsque vous ajoutez des collaborateurs aux projets et aux espaces.
- Si un membre du groupe quitte le groupe, l'administrateur du compte IBM Cloud peut supprimer l'utilisateur du groupe plutôt que d'examiner tous les actifs auxquels l'utilisateur a accès.
Présentation des groupes d'accès
Les exemples de groupes d'accès IAM, leur objectif et les tâches standard sont les suivants:
| Groupe d'accès | Objectif | Tâches typiques |
|---|---|---|
| Compte-Administrateur | Créé par le compte Propriétaire pour déléguer l'administration complète du compte à une ou plusieurs personnes. Les membres du groupe Compte-Administrateur ont un contrôle total sur le compte et les services, à l'exception de la propriété du compte. | Mettez à disposition des instances de service dans Cloud Pak for Data as a Service Mettez à disposition des services secondaires, par exemple, Cloud Object Storage Créez des groupes d'accès IAM et invitez des utilisateurs à des groupes. Affectez des droits individuels aux utilisateurs. |
| CPD-Administrateur | Similaire au groupe Account-Administrator , mais avec une portée moindre. Les membres gèrent Cloud Pak for Data as a Service et les services associés, mais ne peuvent pas mettre à disposition des services. | Gère les utilisateurs et les groupes, y compris les droits, mais ne peut pas gérer d'autres aspects du compte IBM Cloud . Gérez les artefacts de gouvernance des données. Gérez les catalogues, les catégories et les projets. Rejoignez un projet en tant qu'administrateur et affichez tous les projets actifs dans le compte. |
| CPD-Catégorie-Proj | Fournit un accès approprié à Cloud Object Storage pour que les utilisateurs puissent créer des projets et des catalogues lorsque la délégation de stockage est désactivée. | Créez des projets, des espaces de déploiement et des catalogues. |
| CPD-COS-Admin | Fournit un accès approprié à Cloud Object Storage pour les utilisateurs qui créent des projets et des catalogues. Inutile si la délégation de stockage est activée. | Créez des projets et des catalogues. |
| CPD-Utilisateur commun | Fournit des droits communs à tous les utilisateurs et contient tous les utilisateurs en tant que membres. Vous pouvez attribuer CPD-Common-User à tous les utilisateurs, puis attribuer le groupe d'accès approprié IBM Cloud Pak for Data à chaque utilisateur, par exemple CPD-Data-Scientist, CPD-Data-Engineer et CPD-Data-Steward. | Afficher, mais pas modifier, les instances de service et les actifs disponibles Devenir collaborateur dans les projets ou les catalogues. Créez des projets, des espaces de déploiement et des catalogues si vous êtes membre du groupe CPD-Cat-Proj. Permet d'accéder au centre de support pour consigner des tickets d'aide. |
| CPD-Données-Scientifique | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Recherche des actifs dans les catalogues. |
| CPD-Ingénieur de données | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Intègre des données. |
| CPD-Données-Intendant | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Créer, réviser et approuver des artefacts de gouvernance. Organiser des données |
| CPD-Données-Virtualisation | Fournir un accès à la Data Virtualization. | Utilisez des vues et des données virtualisées. |
| CPD-DataGovernance-Admin | Fournir un accès amélioré à la gouvernance des données. | Gérez les artefacts de gouvernance des données. Gérez les catalogues, les catégories et les projets. Rejoignez un projet en tant qu'administrateur et affichez tous les projets actifs dans le compte. |
| CPD-DataStage | Accès de base requis pour tous les utilisateurs DataStage . | Affichez les pipelines DataStage sur le tableau de bord. |
| CPD-Apprentissage automatique | Fournir l'accès à watsonx.ai Runtime. | - Créer des espaces de déploiement - Créer et visualiser des instances d'exécution watsonx.ai |
| CPD-Match360 | Indiquez les droits de gestionnaire pour IBM Match 360 with Watson | Créer, éditer et gérer l'accès aux fonctions de Match 360 telles que la mise en correspondance, les modèles, le configurateur et l'analyse des paires |
| Accès public | Groupe par défaut qui inclut tous les utilisateurs et tous les ID de service. | Tous les membres du groupe, y compris les utilisateurs non authentifiés, ont un accès public à toutes les ressources définies dans les règles du groupe. |
Affectations de rôle pour les exemples de groupes d'accès
Les affectations de rôle de service et de plateforme suggérées pour les exemples de groupes d'accès sont les suivantes:
| Groupe d'accès | Noms de service | Rôles de service | Rôle de plateforme | Rôle de la Data Virtualization[1] |
|---|---|---|---|---|
| Compte-Administrateur | Tous les services activés pour les identités et les accès Tous les services de gestion des comptes |
Gestionnaire Non applicable |
Editeur de l'administrateur |
Non applicable |
| CPD-Administrateur | IBM Cloud Pak for Data | Responsable | Administrateur | Non applicable |
| CPD-Catégorie-Proj | Cloud Object Storage | Responsable | Administrateur | Non applicable |
| CPD-COS-Admin | Cloud Object Storage | Responsable | Administrateur | Non applicable |
| CPD-Utilisateur commun | Tous les services activés pour Identity and Access Support Center |
Lecteur Non applicable |
Editeur d'afficheur |
Non applicable |
| CPD-Données-Scientifique | IBM Cloud Pak for Data | Spécialiste de données CloudPak | Editeur | Utilisateur de la Data Virtualization (à attribuer à chaque utilisateur) |
| CPD-Ingénieur de données | IBM Cloud Pak for Data | Ingénieur en traitement de données CloudPak | Editeur | Ingénieur en Data Virtualization (à attribuer à chaque utilisateur) |
| CPD-Données-Intendant | IBM Cloud Pak for Data | Intendant de données CloudPak | Editeur | Responsable de la Data Virtualization (assigné à chaque utilisateur) |
| CPD-virtualisation des données | Data Virtualization | Non applicable | Editeur | Data Virtualization Manager (attribué à chaque utilisateur) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | Gestionnaire Administrateur de génération de rapports |
Administrateur | N/A |
| CPD-DataStage | DataStage | Lecteur | Editeur | N/A |
| CPD-Apprentissage automatique | - watsonx.ai Runtime - Cloud Object Storage |
Gestionnaire du programme d'écriture |
Administrateur Administrateur |
N/A |
| CPD-Match360 | Match 360 | Responsable | Administrateur | N/A |
Rôles de collaboration dans les espaces de travail Cloud Pak for Data as a Service
Le contrôle d'accès s'étend au-delà des groupes d'accès IAM aux espaces de travail dans Cloud Pak for Data as a Service. Les espaces de travail incluent les projets, les catalogues, les catégories et les espaces de déploiement. pour travailler dans Cloud Pak for Data as a Service, les utilisateurs doivent créer des espaces de travail ou se voir affecter des rôles de collaborateur dans les espaces de travail. Les rôles de collaborateur fournissent des niveaux d'accès tels que Afficheur, Editeur ou Administrateur. Pour plus d'informations sur les rôles de collaborateur pour chaque type d'espace de travail, voir les rubriques suivantes:
En savoir plus
- Rôles dans Cloud Pak for Data as a Service
- Préparation d'IBM Cloud Object Storage pour son utilisation avec Cloud Pak for Data as a Service
- IBM Cloud docs : Accès IAM
- IBM Cloud docs : Qu'est-ce que IBM Cloud Identity and Access Management
- IBM Cloud docs : Configuration des groupes d'accès
- IBM Cloud docs : Meilleures pratiques pour l'organisation des ressources et l'attribution des accès
Rubrique parent: Utilisation des groupes d'accès IAM
Les rôles de Data Virtualization sont attribués directement aux utilisateurs individuels dans l'application de Data Virtualization. Ces rôles ne sont pas affectés dans IBM Cloud IAM. La Data Virtualization ne prend pas en charge les groupes d'accès. Voir Gestion des rôles pour les utilisateurs dans la Data Virtualization. ︎