Go back to the English version of the documentation示例 IAM 访问组
示例 IAM 访问组
Last updated: 2024年11月28日
The example access groups provide a basic configuration for a data fabric implementation that includes watsonx.ai Studio, watsonx.ai Runtime, IBM Knowledge Catalog, Data Virtualization, DataStage, and IBM Match 360 services. 您可以修改示例以授予所供应服务的必需许可权。
创建 IAM 访问组后,还要创建一个用户组。 利用用户组,可以更轻松地管理存在类似访问需求的大量用户。
- 在为项目和空间添加协作者时,可以为用户组分配 查看器、 编辑 或 管理员 角色。
- 如果组中的某个成员离开,IBM Cloud帐户管理员可以从组中删除该用户,而不是查看该用户可以访问的所有资产。
访问组概述
示例 IAM 访问组,其用途和典型任务包括:
| 访问组 | 用途 | 典型任务 |
|---|---|---|
| 帐户-管理员 | 由帐户 所有者 创建,用于将完整帐户管理委派给一个或多个人员。 Account-Administrator 组的成员完全控制帐户和服务 (帐户所有权除外)。 | 在 Cloud Pak for Data as a Service中供应服务实例 供应辅助服务,例如, Cloud Object Storage 创建 IAM 访问组并邀请用户加入组。 将个别许可权分配给用户。 |
| CPD-管理员 | 类似于 Account-Administrator 组,但作用域较小。 成员管理 Cloud Pak for Data as a Service 和相关服务,但无法供应服务。 | 管理用户和组 (包括许可权) ,但无法管理 IBM Cloud 帐户的其他方面。 管理数据监管工件。 管理目录,类别和项目。 以管理员身份加入任何项目,并查看帐户中的所有活动项目。 |
| CPD-Cat-Proj | 在禁用 "存储授权" 时,为用户提供对 Cloud Object Storage 的相应访问权,以创建项目和目录。 | 创建项目,部署空间和目录。 |
| CPD-COS-管理 | 为创建项目和目录的用户提供对 Cloud Object Storage 的相应访问权。 如果启用了 "存储器授权" ,那么不需要此选项。 | 创建项目和目录。 |
| CPD-公共-用户 | 提供所有用户的公共许可权,并包含所有用户作为成员。 您可以将 CPD-Common-User 分配给所有用户,然后将适当的 IBM Cloud Pak for Data 访问组分配给每个用户,例如 CPD-Data-科学家、CPD-Data-工程师和 CPD-Data-管理员。 | 查看但不修改可用服务实例和资产 成为项目或目录中的合作者 。 如果是 CPD-Cat-Proj 组的成员,请创建项目,部署空间和目录。 允许访问支持中心以记录帮助凭单。 |
| CPD-数据-科学家 | 为在以下位置工作的用户提供权限IBM Knowledge Catalog。 | 在目录中查找资产。 |
| CPD-数据-工程师 | 为在以下位置工作的用户提供权限IBM Knowledge Catalog。 | 集成数据。 |
| CPD-数据-管理者 | 为在以下位置工作的用户提供权限IBM Knowledge Catalog。 | 创建,复审和核准监管工件。 整理数据 |
| CPD-数据-虚拟化 | 提供对Data Virtualization访问。 | 使用视图和虚拟化数据。 |
| CPD-DataGovernance-Admin | 提供增强的数据监管访问权。 | 管理数据监管工件。 管理目录,类别和项目。 以管理员身份加入任何项目,并查看帐户中的所有活动项目。 |
| CPD-DataStage | 所有 DataStage 用户都需要基本访问权。 | 在仪表板上查看 DataStage 管道。 |
| CPD-机器学习 | 提供对watsonx.aiRuntime 的访问。 | - 创建部署空间 - 创建并查看watsonx.ai运行时实例 |
| CPD-Match360 | 为 IBM Match 360 with Watson 提供经理许可权 | 创建,编辑和管理对 Match 360 功能 (例如, "匹配" , "模型" , "配置程序" 和 "对分析") 的访问权 |
| 公共访问 | 包含所有用户和所有服务标识的缺省组。 | 包含未经认证的用户在内的所有组成员,都授予其访问在该组策略中定义的任意资源的公共访问权。 |
示例访问组的角色分配
针对示例访问组的建议服务和平台角色分配为:
| 访问组 | 服务名称 | 服务角色 | 平台角色 | Data Virtualization角色[1] |
|---|---|---|---|---|
| 帐户-管理员 | 所有启用身份和访问权的服务 所有帐户管理服务 |
经理 不适用 |
管理员 编辑器 |
不适用 |
| CPD-管理员 | IBM Cloud Pak for Data | 经理 | 管理员 | 不适用 |
| CPD-Cat-Proj | Cloud Object Storage | 经理 | 管理员 | 不适用 |
| CPD-COS-管理 | Cloud Object Storage | 经理 | 管理员 | 不适用 |
| CPD-公共-用户 | 所有启用身份和访问权的服务 支持中心 |
阅读器 不适用 |
查看器 编辑器 |
不适用 |
| CPD-数据-科学家 | IBM Cloud Pak for Data | CloudPak 数据研究员 | 编辑者 | Data Virtualization用户(分配给每个用户) |
| CPD-数据-工程师 | IBM Cloud Pak for Data | CloudPak 数据工程师 | 编辑者 | Data Virtualization工程师(分配给每个用户) |
| CPD-数据-管理者 | IBM Cloud Pak for Data | CloudPak 数据专员 | 编辑者 | Data Virtualization管理员(分配给每个用户) |
| CPD-数据虚拟化 | Data Virtualization | 不适用 | 编辑者 | Data Virtualization Manager(分配给每个用户) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | 经理 报告管理员 |
管理员 | 不适用 |
| CPD-DataStage | DataStage | 读者 | 编辑者 | 不适用 |
| CPD-机器学习 | -watsonx.ai运行时 -Cloud Object Storage |
写程序 管理器 |
管理员 管理员 |
不适用 |
| CPD-Match360 | Match 360 | 经理 | 管理员 | 不适用 |
用于在 Cloud Pak for Data as a Service 工作空间中进行协作的角色
访问控制从 IAM 访问组扩展到 Cloud Pak for Data as a Service中的工作空间。 工作空间包括项目,目录,类别和部署空间。 要在 Cloud Pak for Data as a Service中工作,用户必须创建工作空间或为其分配工作空间的合作者角色。 合作者角色提供诸如 "查看者" , "编辑者" 或 "管理员" 之类的访问级别。 请参阅以下主题,以获取有关每种工作空间类型的合作者角色的信息:
了解更多信息
- Cloud Pak for Data 即服务中的角色
- 设置 IBM Cloud Object Storage 以用于 Cloud Pak for Data as a Service
- IBM Cloud文档:IAM 访问
- IBM Cloud文档:什么是IBM Cloud Identity and Access Management
- IBM Cloud文档:设置访问组
- IBM Cloud文档:组织资源和分配访问权限的最佳实践
父主题: 使用 IAM 访问组
Data Virtualization角色直接分配给Data Virtualization应用程序中的单个用户。 未在 IBM Cloud IAM 中分配这些角色。 Data Virtualization不支持访问组。 请参阅 Data Virtualization中的管理用户角色。︎