Beispiel für IAM-Zugriffsgruppen
Die Beispielzugriffsgruppen bieten eine grundlegende Konfiguration für eine Data Fabric-Implementierung, die Folgendes umfasst: Watson Studio, Watson Machine Learning, IBM Knowledge Catalog, Watson Query, DataStage, Und IBM Match 360 Dienstleistungen. Sie können die Beispiele ändern, um die erforderlichen Berechtigungen für Ihre bereitgestellten Services zu erteilen.
Nach der Erstellung einer IAM-Zugangsgruppe wird auch eine Benutzergruppe erstellt. Benutzergruppen erleichtern Ihnen die Verwaltung einer großen Anzahl von Benutzern, die ähnliche Zugriffsanforderungen aufweisen.
- Sie können Benutzergruppen die Rollen Betrachter, Bearbeiter oder Admin zuweisen, wenn Sie Mitwirkende zu Projekten und Bereichen hinzufügen.
- Wenn ein Mitglied der Gruppe ausscheidet, kann der IBM Cloud-Kontoverwalter den Benutzer aus der Gruppe entfernen, anstatt alle Assets zu betrachten, auf die der Benutzer Zugriff hat.
Zugriffsgruppen-Übersicht
Die IAM-Beispielzugriffsgruppen, ihr Zweck und typische Tasks sind:
| Zugriffsgruppe | Zweck | Typische Aufgaben |
|---|---|---|
| Kontoadministrator | Wird vom Kontoeigner erstellt, um die vollständige Kontoverwaltung an eine oder mehrere Personen zu delegieren. Mitglieder der Gruppe Kontoadministrator haben uneingeschränkten Zugriff auf das Konto und die Services mit Ausnahme des Accounteigentumsrechts. | Stellen Sie Serviceinstanzen in Cloud Pak for Data as a Servicebereit Stellen Sie sekundäre Services bereit, z. B. Cloud Object Storage Erstellen Sie IAM-Zugriffsgruppen und laden Sie Benutzer zu Gruppen ein. Weisen Sie Benutzern individuelle Berechtigungen zu. |
| CPD-Administrator | Ähnlich wie die Gruppe Kontoadministrator , jedoch mit geringerem Geltungsbereich Mitglieder verwalten Cloud Pak for Data as a Service und zugehörige Services, können jedoch keine Services bereitstellen. | Verwalten Sie Benutzer und Gruppen einschließlich Berechtigungen, können jedoch keine anderen Aspekte des IBM Cloud -Kontos verwalten. Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
| CPD-Kat-Proj | Bietet Benutzern geeigneten Zugriff auf Cloud Object Storage , um Projekte und Kataloge zu erstellen, wenn die Speicherdelegierung inaktiviert ist. | Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge. |
| CPD-COS-Administrator | Bietet entsprechenden Zugriff auf Cloud Object Storage für Benutzer, die Projekte und Kataloge erstellen. Nicht erforderlich, wenn die Speicherdelegierung aktiviert ist. | Erstellen Sie Projekte und Kataloge. |
| CPD-Allgemein-Benutzer | Stellt allen Benutzern gemeinsame Berechtigungen bereit und enthält alle Benutzer als Mitglieder. Sie können allen Benutzern CPD-Common-User zuweisen und dann auch jedem Benutzer die entsprechende IBM Cloud Pak for Data-Zugangsgruppe zuweisen, z. B. CPD-Data-Scientist, CPD-Data-Engineer und CPD-Data-Steward. | Verfügbare Serviceinstanzen und Assets anzeigen, aber nicht ändern Mitarbeiter in Projekten oder Katalogen werden Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge, wenn Sie Mitglied der Gruppe CPD-Cat-Proj sind. Ermöglicht den Zugriff auf das Support Center, um Hilfetickets zu protokollieren. |
| CPD-Datenwissenschaftler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Sucht Assets in Katalogen. |
| CPD-Datenentwickler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Integriert Daten. |
| CPD-Daten-Steward | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Governance-Artefakte erstellen, prüfen und genehmigen. Daten pflegen |
| CPD-Datenvirtualisierung | Gewähren Sie Zugriff auf Watson Query. | Arbeiten Sie mit Ansichten und virtualisierten Daten. |
| CPD-DataGovernance-Admin | Stellen Sie erweiterten Zugriff für Datengovernance bereit | Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
| CPD-DataStage | Erforderlicher Basiszugriff für alle DataStage -Benutzer. | DataStage -Pipelines im Dashboard anzeigen. |
| CPD-Maschinelles Lernen | Zugriff auf Watson Machine Learningbereitstellen. | Bereitstellungsbereiche erstellen Instanzen erstellen und anzeigen Watson Machine Learning |
| CPD-Match360 | Geben Sie Managerberechtigungen für IBM Match 360 with Watson an | Erstellen, Bearbeiten und Verwalten des Zugriffs auf Match 360 -Funktionen wie Matching, Models, Configurator und Pair Analysis |
| Öffentlicher Zugriff | Standardgruppe, die alle Benutzer und alle Service-IDs enthält | Alle Gruppenmitglieder, einschließlich nicht authentifizierter Benutzer, erhalten öffentlichen Zugriff auf alle Ressourcen, die in den Richtlinien für die Gruppe definiert sind. |
Rollenzuordnungen für die Beispielzugriffsgruppen
Die vorgeschlagenen Service-und Plattformrollenzuordnungen für die Beispielzugriffsgruppen lauten wie folgt:
| Zugriffsgruppe | Servicenamen | Servicerollen | Plattformrolle | Watson Query Rolle [1] |
|---|---|---|---|---|
| Kontoadministrator | Alle Services mit aktiviertem Identity and Access Management Alle Kontoverwaltungsservices |
Manager Nicht zutreffend |
Administrator Editor |
Nicht zutreffend |
| CPD-Administrator | IBM Cloud Pak for Data | Manager | Administrator | Nicht zutreffend |
| CPD-Kat-Proj | Cloud Object Storage | Manager | Administrator | Nicht zutreffend |
| CPD-COS-Administrator | Cloud Object Storage | Manager | Administrator | Nicht zutreffend |
| CPD-Allgemein-Benutzer | Alle Services mit aktiviertem Identity and Access Management Support Center |
Leser Nicht zutreffend |
Viewer -Editor |
Nicht zutreffend |
| CPD-Datenwissenschaftler | IBM Cloud Pak for Data | CloudPak-Data-Scientist | Bearbeiter | Watson Query Benutzer (jedem Benutzer zuweisen) |
| CPD-Datenentwickler | IBM Cloud Pak for Data | CloudPak-Datenentwickler | Bearbeiter | Watson Query Ingenieur (jedem Benutzer zuweisen) |
| CPD-Daten-Steward | IBM Cloud Pak for Data | CloudPak-Datenverantwortlicher | Bearbeiter | Watson Query Steward (jedem Benutzer zuweisen) |
| CPD-Datenvirtualisierung | Watson Query | Nicht zutreffend | Bearbeiter | Watson Query Manager (jedem Benutzer zuweisen) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | Manager -Berichtsadministrator |
Administrator | Nicht zutreffend |
| CPD-DataStage | DataStage | Eingabeprogramm | Bearbeiter | Nicht zutreffend |
| CPD-Maschinelles Lernen | • Watson Machine Learning • Cloud Object Storage |
Writer -Manager |
Administrator Administrator |
Nicht zutreffend |
| CPD-Match360 | Match 360 | Manager | Administrator | Nicht zutreffend |
Rollen für die Zusammenarbeit in den Arbeitsbereichen von Cloud Pak for Data as a Service
Die Zugriffssteuerung erstreckt sich über die IAM-Zugriffsgruppen hinaus auf die Arbeitsbereiche in Cloud Pak for Data as a Service. Arbeitsbereiche umfassen Projekte, Kataloge, Kategorien und Bereitstellungsbereiche. Um in Cloud Pak for Data as a Servicezu arbeiten, müssen Benutzer Arbeitsbereiche erstellen oder ihnen Mitarbeiterrollen für die Arbeitsbereiche zuordnen. Mitarbeiterrollen bieten Zugriffsebenen wie "Anzeigeberechtigter", "Bearbeiter" oder "Administrator". In den folgenden Abschnitten finden Sie Informationen zu Mitarbeiterrollen für jeden Typ von Arbeitsbereich:
Weitere Informationen
- Rollen in Cloud Pak for Data as a Service
- IBM Cloud Object Storage für die Verwendung mit Cloud Pak for Data as a Service einrichten
- IBM Cloud docs: IAM-Zugang
- IBM Cloud docs: Was ist IBM Cloud Identity and Access Management
- IBM Cloud docs: Einrichten von Zugriffsgruppen
- IBM Cloud Dokumente: Best Practices für die Organisation von Ressourcen und die Zuweisung von Zugriffsrechten
Übergeordnetes Thema: Mit IAM-Zugriffsgruppen arbeiten
Der Watson Query Rollen werden direkt einzelnen Benutzern im Watson Query Anwendung. Diese Rollen werden in IBM Cloud IAM nicht zugewiesen. Watson Query unterstützt keine Zugriffsgruppen. Sehen Verwalten von Rollen für Benutzer in Watson Query. ↩︎