資料の 英語版 に戻るIAM アクセス・グループの例
IAM アクセス・グループの例
最終更新: 2024年11月28日
アクセス・グループの例は、watsonx.aiStudio、watsonx.aiRuntime、IBM Knowledge Catalog、Data Virtualization、DataStage,、およびIBM Match 360サービスを含むデータ・ファブリック実装の基本構成を提供します。 例を変更して、プロビジョンされたサービスに必要な権限を付与することができます。
IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、アクセス要件が類似した多くのユーザーを容易に管理できます。
- プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、または管理者の役割をユーザーグループに割り当てることができます。
- グループのメンバーが離脱した場合、IBM Cloud アカウント管理者は、そのユーザーがアクセスできるすべてのアセットを調べるのではなく、そのユーザーをグループから削除できます。
アクセス・グループの概要
IAM アクセス・グループの例、その目的、および標準的なタスクは以下のとおりです。
| アクセス・グループ | 目的 | 一般的なタスク |
|---|---|---|
| アカウント-管理者 | 1 人以上のユーザーに完全なアカウント管理を委任するために、アカウント Owner によって作成されます。 「アカウント管理者」 グループのメンバーは、アカウント所有権を除き、アカウントとサービスを完全に制御できます。 | Cloud Pak for Data as a Service でサービス・インスタンスをプロビジョンします。例えば、 Cloud Object Storage IAM アクセス・グループを作成し、ユーザーをグループに招待します。 個々の許可をユーザーに割り当てます。 |
| CPD-管理者 | 「アカウント管理者」 グループと似ていますが、有効範囲が狭くなります。 メンバーは、 Cloud Pak for Data as a Service および関連サービスを管理しますが、サービスをプロビジョンすることはできません。 | 許可を含むユーザーおよびグループを管理しますが、 IBM Cloud アカウントの他の側面を管理することはできません。 データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
| CPD-カタログ-プロジェクト | Storage Delegation が無効になっている場合に、ユーザーがプロジェクトおよびカタログを作成するための Cloud Object Storage への適切なアクセスを提供します。 | プロジェクト、デプロイメント・スペース、およびカタログを作成します。 |
| CPD-COS-管理者 | プロジェクトおよびカタログを作成するユーザーに、 Cloud Object Storage への適切なアクセス権限を提供します。 ストレージ委任が有効になっている場合は必要ありません。 | プロジェクトとカタログを作成します。 |
| CPD-共通-ユーザー | すべてのユーザーに共通の権限を提供し、メンバーとしてすべてのユーザーを含みます。 すべてのユーザーに CPD-Common-User を割り当て、さらに各ユーザーに適切な IBM Cloud Pak for Data アクセス グループ (CPD-Data-Scientist, CPD-Data-Engineer, CPD-Data-Steward など) を割り当てることができます。 | 使用可能なサービス・インスタンスおよび資産を表示しますが、変更はしません。 プロジェクトまたはカタログ内のコラボレーターになります。 CPD-Cat-Proj グループのメンバーである場合は、プロジェクト、デプロイメント・スペース、およびカタログを作成します。 ヘルプ・チケットをログに記録するためのサポート・センターへのアクセスを許可します。 |
| CPD-データ・サイエンティスト | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | カタログ内の資産を検索します。 |
| CPD-データ-エンジニア | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | データを統合します。 |
| CPD-データ-スチュワード | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | ガバナンス成果物を作成、レビュー、および承認します。 データのキュレート |
| CPD-データ-仮想化 | Data Virtualization化へのアクセスを提供する。 | ビューおよび仮想化データを処理します。 |
| CPD-DataGovernance-Admin | データ・ガバナンスのための拡張アクセスを提供します。 | データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
| CPD-DataStage | すべての DataStage ユーザーに必要な基本アクセス権限。 | ダッシュボードに DataStage パイプラインを表示します。 |
| CPD-機械学習 | watsonx.aiランタイムへのアクセスを提供する。 | - デプロイメントスペース 作成 -watsonx.aiランタイムインスタンスの作成と表示 |
| CPD-Match360 | IBM Match 360 with Watson の管理者権限を付与します。 | マッチング、モデル、コンフィギュレーター、ペア分析などの Match 360 機能へのアクセスを作成、編集、および管理します。 |
| パブリック・アクセス | すべてのユーザーとすべてのサービス ID を含むデフォルト・グループ。 | すべてのグループ・メンバー (認証されていないユーザーを含む)に、グループのポリシーで定義されているリソースへのパブリック・アクセスが付与されます。 |
アクセス・グループの例の役割の割り当て
アクセス・グループの例で推奨されているサービス役割とプラットフォーム役割の割り当ては、以下のとおりです。
| アクセス・グループ | サービス名 | サービス・ロール | プラットフォーム役割 | Data Virtualizationの役割[1] |
|---|---|---|---|---|
| アカウント-管理者 | すべての ID およびアクセス対応サービス すべてのアカウント管理サービス |
マネージャー 適用外 |
管理者 エディター |
適用外 |
| CPD-管理者 | IBM Cloud Pak for Data | マネージャー | 管理者 | 適用外 |
| CPD-カタログ-プロジェクト | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
| CPD-COS-管理者 | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
| CPD-共通-ユーザー | すべての ID およびアクセス対応サービス サポート・センター |
読者 適用外 |
ビューアー エディター |
適用外 |
| CPD-データ・サイエンティスト | IBM Cloud Pak for Data | CloudPak データ・サイエンティスト | Editor | Data Virtualizationユーザー(各ユーザーに割り当てる) |
| CPD-データ-エンジニア | IBM Cloud Pak for Data | CloudPak データ・エンジニア | Editor | Data Virtualizationエンジニア(各ユーザーに割り当てる) |
| CPD-データ-スチュワード | IBM Cloud Pak for Data | CloudPak データ・スチュワード | Editor | Data Virtualizationスチュワード(各ユーザーに割り当てる) |
| CPD-データ仮想化 | Data Virtualization | 適用外 | Editor | Data Virtualization Manager(各ユーザーに割り当てる) |
| CPD-DataGovernance-Admin | IBM Cloud Pak for Data | マネージャー 報告管理者 |
管理者 | N/A |
| CPD-DataStage | DataStage | リーダー | Editor | N/A |
| CPD-機械学習 | -watsonx.aiランタイム -Cloud Object Storage |
ライター マネージャー |
管理者 管理者 |
N/A |
| CPD-Match360 | Match 360 | マネージャー | 管理者 | N/A |
Cloud Pak for Data as a Service ワークスペースでコラボレーションするための役割
アクセス制御は、IAM アクセス・グループを超えて Cloud Pak for Data as a Service内のワークスペースに拡張されます。 ワークスペースには、プロジェクト、カタログ、カテゴリー、およびデプロイメント・スペースが含まれます。 Cloud Pak for Data as a Serviceで作業するには、ユーザーがワークスペースを作成するか、ワークスペースにコラボレーター役割を割り当てる必要があります。 コラボレーター役割は、ビューアー、エディター、管理者などのアクセス・レベルを提供します。 各タイプのワークスペースのコラボレーター役割については、以下のトピックを参照してください。
もっと見る
- Cloud Pak for Data as a Service における役割
- Cloud Pak for Data as a Service で使用するための IBM Cloud Object Storage のセットアップ
- IBM Cloudドキュメント:IAM アクセス
- IBM CloudドキュメントIBM Cloud Identity and Access Managementとは?
- IBM Cloudドキュメントアクセス・グループの設定
- IBM Cloudドキュメントリソースの整理とアクセス権の割り当てのベスト・プラクティス
親トピック: IAM アクセス・グループの処理
Data Virtualizationロールは、Data Virtualizationアプリケーション内の各ユーザーに直接割り当てられます。 これらの役割は、 IBM Cloud IAM では割り当てられません。 Data Virtualization化はアクセスグループをサポートしていません。 Data Virtualization化のユーザーのロールの管理を参照してください。︎