IAM アクセス・グループの例
サンプルのアクセスグループは、データファブリック実装の基本構成を提供します。これには以下が含まれます。Watson Studio、Watson Machine Learning、 IBM Knowledge Catalog、Watson Query、DataStage,そしてIBMMatch 360サービス。 例を変更して、プロビジョンされたサービスに必要な権限を付与することができます。
IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、アクセス要件が類似した多くのユーザーを容易に管理できます。
- プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、または管理者の役割をユーザーグループに割り当てることができます。
- グループのメンバーが離脱した場合、IBM Cloud アカウント管理者は、そのユーザーがアクセスできるすべてのアセットを調べるのではなく、そのユーザーをグループから削除できます。
アクセス・グループの概要
IAM アクセス・グループの例、その目的、および標準的なタスクは以下のとおりです。
アクセス・グループ | 目的 | 一般的なタスク |
---|---|---|
アカウント-管理者 | 1 人以上のユーザーに完全なアカウント管理を委任するために、アカウント Owner によって作成されます。 「アカウント管理者」 グループのメンバーは、アカウント所有権を除き、アカウントとサービスを完全に制御できます。 | Cloud Pak for Data as a Service でサービス・インスタンスをプロビジョンします。例えば、 Cloud Object Storage IAM アクセス・グループを作成し、ユーザーをグループに招待します。 個々の許可をユーザーに割り当てます。 |
CPD-管理者 | 「アカウント管理者」 グループと似ていますが、有効範囲が狭くなります。 メンバーは、 Cloud Pak for Data as a Service および関連サービスを管理しますが、サービスをプロビジョンすることはできません。 | 許可を含むユーザーおよびグループを管理しますが、 IBM Cloud アカウントの他の側面を管理することはできません。 データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
CPD-カタログ-プロジェクト | Storage Delegation が無効になっている場合に、ユーザーがプロジェクトおよびカタログを作成するための Cloud Object Storage への適切なアクセスを提供します。 | プロジェクト、デプロイメント・スペース、およびカタログを作成します。 |
CPD-COS-管理者 | プロジェクトおよびカタログを作成するユーザーに、 Cloud Object Storage への適切なアクセス権限を提供します。 ストレージ委任が有効になっている場合は必要ありません。 | プロジェクトとカタログを作成します。 |
CPD-共通-ユーザー | すべてのユーザーに共通の権限を提供し、メンバーとしてすべてのユーザーを含みます。 すべてのユーザーに CPD-Common-User を割り当て、さらに各ユーザーに適切な IBM Cloud Pak for Data アクセス グループ (CPD-Data-Scientist, CPD-Data-Engineer, CPD-Data-Steward など) を割り当てることができます。 | 使用可能なサービス・インスタンスおよび資産を表示しますが、変更はしません。 プロジェクトまたはカタログ内のコラボレーターになります。 CPD-Cat-Proj グループのメンバーである場合は、プロジェクト、デプロイメント・スペース、およびカタログを作成します。 ヘルプ・チケットをログに記録するためのサポート・センターへのアクセスを許可します。 |
CPD-データ・サイエンティスト | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | カタログ内の資産を検索します。 |
CPD-データ-エンジニア | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | データを統合します。 |
CPD-データ-スチュワード | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | ガバナンス成果物を作成、レビュー、および承認します。 データのキュレート |
CPD-データ-仮想化 | アクセスを提供するWatson Query。 | ビューおよび仮想化データを処理します。 |
CPD-DataGovernance-Admin | データ・ガバナンスのための拡張アクセスを提供します。 | データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
CPD-DataStage | すべての DataStage ユーザーに必要な基本アクセス権限。 | ダッシュボードに DataStage パイプラインを表示します。 |
CPD-機械学習 | Watson Machine Learningへのアクセスを提供します。 | デプロイメント・スペースの作成 Watson Machine Learning インスタンスの作成と表示 |
CPD-Match360 | IBM Match 360 with Watson の管理者権限を付与します。 | マッチング、モデル、コンフィギュレーター、ペア分析などの Match 360 機能へのアクセスを作成、編集、および管理します。 |
パブリック・アクセス | すべてのユーザーとすべてのサービス ID を含むデフォルト・グループ。 | すべてのグループ・メンバー (認証されていないユーザーを含む)に、グループのポリシーで定義されているリソースへのパブリック・アクセスが付与されます。 |
アクセス・グループの例の役割の割り当て
アクセス・グループの例で推奨されているサービス役割とプラットフォーム役割の割り当ては、以下のとおりです。
アクセス・グループ | サービス名 | サービス・ロール | プラットフォーム役割 | Watson Query役割[1] |
---|---|---|---|---|
アカウント-管理者 | すべての ID およびアクセス対応サービス すべてのアカウント管理サービス |
マネージャー 適用外 |
管理者 エディター |
適用外 |
CPD-管理者 | IBM Cloud Pak for Data | マネージャー | 管理者 | 適用外 |
CPD-カタログ-プロジェクト | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
CPD-COS-管理者 | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
CPD-共通-ユーザー | すべての ID およびアクセス対応サービス サポート・センター |
読者 適用外 |
ビューアー エディター |
適用外 |
CPD-データ・サイエンティスト | IBM Cloud Pak for Data | CloudPak データ・サイエンティスト | Editor | Watson Queryユーザー(各ユーザーに割り当てる) |
CPD-データ-エンジニア | IBM Cloud Pak for Data | CloudPak データ・エンジニア | Editor | Watson Queryエンジニア(各ユーザーに割り当てる) |
CPD-データ-スチュワード | IBM Cloud Pak for Data | CloudPak データ・スチュワード | Editor | Watson Queryスチュワード(各ユーザーに割り当てる) |
CPD-データ仮想化 | Watson Query | 適用外 | Editor | Watson Queryマネージャー(各ユーザーに割り当てる) |
CPD-DataGovernance-Admin | IBM Cloud Pak for Data | マネージャー 報告管理者 |
管理者 | N/A |
CPD-DataStage | DataStage | リーダー | Editor | N/A |
CPD-機械学習 | • Watson Machine Learning • Cloud Object Storage |
ライター マネージャー |
管理者 管理者 |
N/A |
CPD-Match360 | Match 360 | マネージャー | 管理者 | N/A |
Cloud Pak for Data as a Service ワークスペースでコラボレーションするための役割
アクセス制御は、IAM アクセス・グループを超えて Cloud Pak for Data as a Service内のワークスペースに拡張されます。 ワークスペースには、プロジェクト、カタログ、カテゴリー、およびデプロイメント・スペースが含まれます。 Cloud Pak for Data as a Serviceで作業するには、ユーザーがワークスペースを作成するか、ワークスペースにコラボレーター役割を割り当てる必要があります。 コラボレーター役割は、ビューアー、エディター、管理者などのアクセス・レベルを提供します。 各タイプのワークスペースのコラボレーター役割については、以下のトピックを参照してください。
もっと見る
- Cloud Pak for Data as a Service における役割
- Cloud Pak for Data as a Service で使用するための IBM Cloud Object Storage のセットアップ
- IBM Cloud docs:IAMアクセス
- IBM Cloud docs:IBM Cloud Identity and Access Managementとは?
- IBM Cloud docs:アクセス・グループの設定
- IBM Cloud docs:リソースの整理とアクセス権の割り当てのベストプラクティス
親トピック: IAM アクセス・グループの処理
のWatson Query役割は、Watson Query応用。 これらの役割は、 IBM Cloud IAM では割り当てられません。 Watson Queryアクセスグループはサポートされていません。 見るユーザーの役割の管理Watson Query。 ↩︎