Die Beispiel-Zugriffsgruppen bieten eine Basiskonfiguration für eine Data-Fabric-Implementierung, die watsonx.ai Studio, watsonx.ai Runtime, IBM Knowledge Catalog, Data Virtualization, DataStage, und IBM Match 360 Services umfasst. Sie können die Beispiele ändern, um die erforderlichen Berechtigungen für Ihre bereitgestellten Services zu erteilen.
Nach der Erstellung einer IAM-Zugangsgruppe wird auch eine Benutzergruppe erstellt. Benutzergruppen erleichtern Ihnen die Verwaltung einer großen Anzahl von Benutzern, die ähnliche Zugriffsanforderungen aufweisen.
- Sie können Benutzergruppen die Rollen Betrachter, Bearbeiter oder Admin zuweisen, wenn Sie Mitwirkende zu Projekten und Bereichen hinzufügen.
- Wenn ein Mitglied der Gruppe ausscheidet, kann der IBM Cloud-Kontoverwalter den Benutzer aus der Gruppe entfernen, anstatt alle Assets zu betrachten, auf die der Benutzer Zugriff hat.
Zugriffsgruppen-Übersicht
Die IAM-Beispielzugriffsgruppen, ihr Zweck und typische Tasks sind:
| Zugriffsgruppe | Zweck | Typische Aufgaben |
|---|---|---|
| Kontoadministrator | Wird vom Kontoeigner erstellt, um die vollständige Kontoverwaltung an eine oder mehrere Personen zu delegieren. Mitglieder der Gruppe Kontoadministrator haben uneingeschränkten Zugriff auf das Konto und die Services mit Ausnahme des Accounteigentumsrechts. | Stellen Sie Serviceinstanzen in Cloud Pak for Data as a Servicebereit Stellen Sie sekundäre Services bereit, z. B. Cloud Object Storage Erstellen Sie IAM-Zugriffsgruppen und laden Sie Benutzer zu Gruppen ein. Weisen Sie Benutzern individuelle Berechtigungen zu. |
| CPD-Administrator | Ähnlich wie die Gruppe Kontoadministrator , jedoch mit geringerem Geltungsbereich Mitglieder verwalten Cloud Pak for Data as a Service und zugehörige Services, können jedoch keine Services bereitstellen. | Verwalten Sie Benutzer und Gruppen einschließlich Berechtigungen, können jedoch keine anderen Aspekte des IBM Cloud -Kontos verwalten. Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
| CPD-Kat-Proj | Bietet Benutzern geeigneten Zugriff auf Cloud Object Storage , um Projekte und Kataloge zu erstellen, wenn die Speicherdelegierung inaktiviert ist. | Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge. |
| CPD-COS-Administrator | Bietet entsprechenden Zugriff auf Cloud Object Storage für Benutzer, die Projekte und Kataloge erstellen. Nicht erforderlich, wenn die Speicherdelegierung aktiviert ist. | Erstellen Sie Projekte und Kataloge. |
| CPD-Allgemein-Benutzer | Stellt allen Benutzern gemeinsame Berechtigungen bereit und enthält alle Benutzer als Mitglieder. Sie können allen Benutzern CPD-Common-User zuweisen und dann auch jedem Benutzer die entsprechende IBM Cloud Pak for Data-Zugangsgruppe zuweisen, z. B. CPD-Data-Scientist, CPD-Data-Engineer und CPD-Data-Steward. | Verfügbare Serviceinstanzen und Assets anzeigen, aber nicht ändern Mitarbeiter in Projekten oder Katalogen werden Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge, wenn Sie Mitglied der Gruppe CPD-Cat-Proj sind. Ermöglicht den Zugriff auf das Support Center, um Hilfetickets zu protokollieren. |
| CPD-Datenwissenschaftler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Sucht Assets in Katalogen. |
| CPD-Datenentwickler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Integriert Daten. |
| CPD-Daten-Steward | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Governance-Artefakte erstellen, prüfen und genehmigen. Daten pflegen |
| CPD-Datenvirtualisierung | Zugang zur Data Virtualization ermöglichen. | Arbeiten Sie mit Ansichten und virtualisierten Daten. |
| CPD-DataGovernance-Admin | Stellen Sie erweiterten Zugriff für Datengovernance bereit | Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
| CPD-DataStage | Erforderlicher Basiszugriff für alle DataStage -Benutzer. | DataStage -Pipelines im Dashboard anzeigen. |
| CPD-Maschinelles Lernen | Ermöglichen Sie den Zugang zu watsonx.ai Runtime. | - Erstellen von Bereitstellungsräumen - Erstellen und Anzeigen von watsonx.ai Runtime Instanzen |
| CPD-Match360 | Geben Sie Managerberechtigungen für IBM Match 360 with Watson an | Erstellen, Bearbeiten und Verwalten des Zugriffs auf Match 360 -Funktionen wie Matching, Models, Configurator und Pair Analysis |
| Öffentlicher Zugriff | Standardgruppe, die alle Benutzer und alle Service-IDs enthält | Alle Gruppenmitglieder, einschließlich nicht authentifizierter Benutzer, erhalten öffentlichen Zugriff auf alle Ressourcen, die in den Richtlinien für die Gruppe definiert sind. |
Rollenzuordnungen für die Beispielzugriffsgruppen
Die vorgeschlagenen Service-und Plattformrollenzuordnungen für die Beispielzugriffsgruppen lauten wie folgt:
| Zugriffsgruppe | Servicenamen | Servicerollen | Plattformrolle | Rolle der Data Virtualization[1] |
|---|---|---|---|---|
| Kontoadministrator | Alle Services mit aktiviertem Identity and Access Management Alle Kontoverwaltungsservices |
Manager Nicht zutreffend |
Administrator Editor |
Nicht zutreffend |
| CPD-Administrator | IBM Cloud Pak for Data | Manager | Administrator | Nicht zutreffend |
| CPD-Kat-Proj | Cloud Object Storage | Manager | Administrator | Nicht zutreffend |
| CPD-COS-Administrator | Cloud Object Storage | Manager | Administrator | Nicht zutreffend |
| CPD-Allgemein-Benutzer | Alle Services mit aktiviertem Identity and Access Management Support Center |
Leser Nicht zutreffend |
Viewer -Editor |
Nicht zutreffend |
| CPD-Datenwissenschaftler | IBM Cloud Pak for Data | CloudPak-Data-Scientist | Bearbeiter | Data Virtualization Benutzer (jedem Benutzer zuweisen) |
| CPD-Datenentwickler | IBM Cloud Pak for Data | CloudPak-Datenentwickler | Bearbeiter | Data Virtualization Engineer (jedem Benutzer zuweisen) |
| CPD-Daten-Steward | IBM Cloud Pak for Data | CloudPak-Datenverantwortlicher | Bearbeiter | Data Virtualization Steward (jedem Benutzer zuweisen) |
| CPD-Datenvirtualisierung | Data Virtualization | Nicht zutreffend | Bearbeiter | Data Virtualization Manager (jedem Benutzer zuweisen) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | Manager -Berichtsadministrator |
Administrator | Nicht zutreffend |
| CPD-DataStage | DataStage | Eingabeprogramm | Bearbeiter | Nicht zutreffend |
| CPD-Maschinelles Lernen | - watsonx.ai Runtime - Cloud Object Storage |
Writer -Manager |
Administrator Administrator |
Nicht zutreffend |
| CPD-Match360 | Match 360 | Manager | Administrator | Nicht zutreffend |
Rollen für die Zusammenarbeit in den Arbeitsbereichen von Cloud Pak for Data as a Service
Die Zugriffssteuerung erstreckt sich über die IAM-Zugriffsgruppen hinaus auf die Arbeitsbereiche in Cloud Pak for Data as a Service. Arbeitsbereiche umfassen Projekte, Kataloge, Kategorien und Bereitstellungsbereiche. Um in Cloud Pak for Data as a Servicezu arbeiten, müssen Benutzer Arbeitsbereiche erstellen oder ihnen Mitarbeiterrollen für die Arbeitsbereiche zuordnen. Mitarbeiterrollen bieten Zugriffsebenen wie "Anzeigeberechtigter", "Bearbeiter" oder "Administrator". In den folgenden Abschnitten finden Sie Informationen zu Mitarbeiterrollen für jeden Typ von Arbeitsbereich:
Weitere Informationen
- Rollen in Cloud Pak for Data as a Service
- IBM Cloud Object Storage für die Verwendung mit Cloud Pak for Data as a Service einrichten
- IBM Cloud: IAM-Zugang
- IBM Cloud: Was ist IBM Cloud Identity and Access Management
- IBM Cloud: Einrichten von Zugriffsgruppen
- IBM Cloud: Best Practices für die Organisation von Ressourcen und die Zuweisung von Zugriffsrechten
Übergeordnetes Thema: Mit IAM-Zugriffsgruppen arbeiten
Die Rollen Data Virtualization werden einzelnen Benutzern direkt innerhalb der Anwendung Data Virtualization zugewiesen. Diese Rollen werden in IBM Cloud IAM nicht zugewiesen. Die Data Virtualization unterstützt keine Zugriffsgruppen. Siehe Verwalten von Rollen für Benutzer in der Data Virtualization. ︎