Grupos de acceso de IAM de ejemplo
Los grupos de acceso de ejemplo proporcionan una configuración básica para una implementación de tejido de datos que incluye Watson Studio, Watson Machine Learning, IBM Knowledge Catalog, Watson Query, DataStage, y IBM Match 360 servicios. Puede modificar los ejemplos para otorgar los permisos necesarios para los servicios suministrados.
Después de crear un grupo de acceso IAM, también se crea un grupo de usuarios. Los grupos de usuarios facilitan la gestión de un gran número de usuarios con requisitos de acceso similares.
- Puedes asignar Visor, Editor o Admin roles a grupos de usuarios cuando añadas colaboradores a proyectos y espacios.
- Si un miembro del grupo se va, el administrador de la cuenta IBM Cloud puede eliminar al usuario del grupo en lugar de mirar todos los activos a los que tiene acceso el usuario.
Visión general de grupos de acceso
Los grupos de acceso de IAM de ejemplo, su finalidad y las tareas típicas son:
| Grupo de acceso | Objetivo | Tareas típicas |
|---|---|---|
| Cuenta-Administrador | Creado por el Propietario de la cuenta para delegar la administración completa de la cuenta a una o varias personas. Los miembros del grupo Account-Administrator tienen control completo sobre la cuenta y los servicios excepto para la propiedad de la cuenta. | • Suministrar instancias de servicio en Cloud Pak for Data as a Service • Suministrar servicios secundarios, por ejemplo, Cloud Object Storage • Crear grupos de acceso de IAM e invitar a usuarios a grupos. • Asignar permisos individuales a los usuarios. |
| CPD-Administrador | Similar al grupo Account-Administrator pero con menos ámbito. Los miembros gestionan Cloud Pak for Data as a Service y servicios relacionados, pero no pueden suministrar servicios. | • Gestionar usuarios y grupos, incluidos los permisos, pero no puede gestionar otros aspectos de la cuenta de IBM Cloud . • Gestionar artefactos de gobernabilidad de datos. • Gestionar catálogos, categorías y proyectos. • Únase a cualquier proyecto como administrador y vea todos los proyectos activos en la cuenta. |
| CPD-Cat-Proj | Proporciona el acceso adecuado a Cloud Object Storage para que los usuarios creen proyectos y catálogos cuando la delegación de almacenamiento está inhabilitada. | Cree proyectos, espacios de despliegue y catálogos. |
| CPD-COS-Admin | Proporciona el acceso adecuado a Cloud Object Storage para los usuarios que crean proyectos y catálogos. No es necesario si la delegación de almacenamiento está habilitada. | Crear proyectos y catálogos. |
| CPD-Común-Usuario | Proporciona permisos comunes a todos los usuarios y contiene todos los usuarios como miembros. Puede asignar CPD-Common-User a todos los usuarios y, a continuación, asignar también el grupo de acceso IBM Cloud Pak for Data adecuado a cada usuario, como, por ejemplo, CPD-Data-Scientist, CPD-Data-Engineer y CPD-Data-Steward. | • Ver, pero no modificar, los activos e instancias de servicio disponibles • Convertirse en colaborador en proyectos o catálogos. • Crear proyectos, espacios de despliegue y catálogos si es miembro del grupo CPD-Cat-Proj. • Permite el acceso al Centro de soporte para registrar incidencias de ayuda. |
| CPD-Científico de datos | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | Busca activos en catálogos. |
| CPD-Datos-Ingeniero | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | Integra datos. |
| CPD-encargado de datos | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | • Crear, revisar y aprobar artefactos de gobernabilidad. • Organizar datos |
| CPD-Datos-Virtualización | Proporcionar acceso a Watson Query. | Trabajar con vistas y datos virtualizados. |
| CPD-DataGovernance-Admin | Proporcione un acceso mejorado para el gobierno de datos. | • Gestionar artefactos de gobernabilidad de datos. • Gestionar catálogos, categorías y proyectos. • Únase a cualquier proyecto como administrador y vea todos los proyectos activos en la cuenta. |
| CPD-DataStage | Acceso básico necesario para todos los usuarios de DataStage . | Ver interconexiones de DataStage en el panel de control. |
| CPD-Aprendizaje automático | Proporcione acceso a Watson Machine Learning. | • Crear espacios de despliegue • Crear y ver instancias de Watson Machine Learning |
| CPD-Match360 | Proporcionar permisos de gestor para IBM Match 360 with Watson | Crear, editar y gestionar el acceso a características de Match 360 como, por ejemplo, Coincidencia, Modelos, Configurador y Análisis de pares |
| Acceso público | Grupo predeterminado que incluye todos los usuarios y todos los ID de servicio. | Se otorga a todos los miembros del grupo, incluso a los usuarios no autenticados, acceso público a todos los recursos que están definidos en las políticas del grupo. |
Asignaciones de roles para los grupos de acceso de ejemplo
Las asignaciones de roles de plataforma y servicio sugeridas para los grupos de acceso de ejemplo son:
| Grupo de acceso | Nombres de servicio | Roles de servicio | Rol de plataforma | Watson Query role [1] |
|---|---|---|---|---|
| Cuenta-Administrador | • Todos los servicios habilitados para identidad y acceso • Todos los servicios de gestión de cuentas |
• Manager • No aplicable |
• Administrador • Editor |
No es aplicable |
| CPD-Administrador | IBM Cloud Pak for Data | Gestor | Administrador | No es aplicable |
| CPD-Cat-Proj | Cloud Object Storage | Gestor | Administrador | No es aplicable |
| CPD-COS-Admin | Cloud Object Storage | Gestor | Administrador | No es aplicable |
| CPD-Común-Usuario | • Todos los servicios habilitados para identidad y acceso • Centro de soporte |
• Lector • No aplicable |
• Visor • Editor |
No es aplicable |
| CPD-Científico de datos | IBM Cloud Pak for Data | Científico de datos de CloudPak | Editor | Watson Query Usuario (asignar a cada usuario) |
| CPD-Datos-Ingeniero | IBM Cloud Pak for Data | Ingeniero de datos de CloudPak | Editor | Watson Query Ingeniero (asignar a cada usuario) |
| CPD-encargado de datos | IBM Cloud Pak for Data | Encargado de datos de CloudPak | Editor | Watson Query Steward (asignar a cada usuario) |
| CPD-Virtualización de datos | Watson Query | No es aplicable | Editor | Watson Query Administrador (asignar a cada usuario) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | • Gestor • Administrador de informes |
Administrador | N/A |
| CPD-DataStage | DataStage | Lector | Editor | N/A |
| CPD-Aprendizaje automático | • Watson Machine Learning • Cloud Object Storage |
• Escritor • Gestor |
• Administrador • Administrador |
N/A |
| CPD-Match360 | Match 360 | Gestor | Administrador | N/A |
Roles para colaborar en espacios de trabajo de Cloud Pak for Data as a Service
El control de acceso se extiende más allá de los grupos de acceso de IAM a los espacios de trabajo de Cloud Pak for Data as a Service. Los espacios de trabajo incluyen proyectos, catálogos, categorías y espacios de despliegue. para trabajar en Cloud Pak for Data as a Service, los usuarios deben crear espacios de trabajo o tener asignados roles de colaborador a los espacios de trabajo. Los roles de colaborador proporcionan niveles de acceso como, por ejemplo, Visor, Editor o Administrador. Consulte los temas siguientes para obtener información sobre los roles de colaborador para cada tipo de espacio de trabajo:
Más información
- Roles en Cloud Pak for Data as a Service
- Configuración de IBM Cloud Object Storage para su uso con Cloud Pak for Data as a Service
- IBM Cloud docs: Acceso IAM
- IBM Cloud: Qué es IBM Cloud Identity and Access Management
- IBM Cloud: Configuración de grupos de acceso
- IBM Cloud: Mejores prácticas para organizar recursos y asignar accesos
Tema principal: Trabajar con grupos de acceso de IAM
El Watson Query Los roles se asignan directamente a usuarios individuales dentro del Watson Query solicitud. Estos roles no se asignan en IBM Cloud IAM. Watson Query no admite grupos de acceso. Ver Administrar roles para usuarios en Watson Query. ↩︎