Beispiel für IAM-Zugriffsgruppen
Die Beispielzugriffsgruppen bieten eine grundlegende Konfiguration für eine Data Fabric-Implementierung, die Folgendes umfasst: Watson Studio, Watson Machine Learning, IBM Knowledge Catalog, Watson Query, DataStage, Und IBM Match 360 Dienstleistungen. Sie können die Beispiele ändern, um die erforderlichen Berechtigungen für Ihre bereitgestellten Services zu erteilen.
Nach der Erstellung einer IAM-Zugangsgruppe wird auch eine Benutzergruppe erstellt. Benutzergruppen vereinfachen die Verwaltung einer großen Anzahl von Benutzern mit ähnlichen Zugriffsanforderungen.
- Sie können Benutzergruppen die Rollen Betrachter, Bearbeiter oder Admin zuweisen, wenn Sie Mitwirkende zu Projekten und Bereichen hinzufügen.
- Wenn ein Mitglied der Gruppe ausscheidet, kann der IBM Cloud-Kontoverwalter den Benutzer aus der Gruppe entfernen, anstatt alle Assets zu betrachten, auf die der Benutzer Zugriff hat.
Zugriffsgruppen-Übersicht
Die IAM-Beispielzugriffsgruppen, ihr Zweck und typische Tasks sind:
Zugriffsgruppe | Zweck | Typische Aufgaben |
---|---|---|
Kontoadministrator | Wird vom Kontoeigner erstellt, um die vollständige Kontoverwaltung an eine oder mehrere Personen zu delegieren. Mitglieder der Gruppe Kontoadministrator haben uneingeschränkten Zugriff auf das Konto und die Services mit Ausnahme des Accounteigentumsrechts. | - Bereitstellen von Dienstinstanzen in IBM watsonx - Bereitstellen von Sekundärdiensten, z. B. Cloud Object Storage - Erstellen von IAM-Zugangsgruppen und Einladen von Benutzern zu Gruppen. - Weisen Sie Benutzern individuelle Berechtigungen zu. |
CPD-Administrator | Ähnlich wie die Gruppe Kontoadministrator , jedoch mit geringerem Geltungsbereich Mitglieder verwalten IBM watsonx und zugehörige Dienste, können aber keine Dienste bereitstellen. | Verwalten Sie Benutzer und Gruppen einschließlich Berechtigungen, können jedoch keine anderen Aspekte des IBM Cloud -Kontos verwalten. Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
CPD-Kat-Proj | Bietet Benutzern geeigneten Zugriff auf Cloud Object Storage , um Projekte und Kataloge zu erstellen, wenn die Speicherdelegierung inaktiviert ist. | Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge. |
CPD-COS-Administrator | Bietet entsprechenden Zugriff auf Cloud Object Storage für Benutzer, die Projekte und Kataloge erstellen. Nicht erforderlich, wenn die Speicherdelegierung aktiviert ist. | Erstellen Sie Projekte und Kataloge. |
CPD-Allgemein-Benutzer | Stellt allen Benutzern gemeinsame Berechtigungen bereit und enthält alle Benutzer als Mitglieder. Sie können allen Benutzern CPD-Common-User zuweisen und dann auch jedem Benutzer die entsprechende IBM Cloud Pak for Data-Zugangsgruppe zuweisen, z. B. CPD-Data-Scientist, CPD-Data-Engineer und CPD-Data-Steward. | Verfügbare Serviceinstanzen und Assets anzeigen, aber nicht ändern Mitarbeiter in Projekten oder Katalogen werden Erstellen Sie Projekte, Bereitstellungsbereiche und Kataloge, wenn Sie Mitglied der Gruppe CPD-Cat-Proj sind. Ermöglicht den Zugriff auf das Support Center, um Hilfetickets zu protokollieren. |
CPD-Datenwissenschaftler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Sucht Assets in Katalogen. |
CPD-Datenentwickler | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Integriert Daten. |
CPD-Daten-Steward | Bietet Berechtigungen für Benutzer, die in IBM Knowledge Catalog. | Governance-Artefakte erstellen, prüfen und genehmigen. Daten pflegen |
CPD-Datenvirtualisierung | Gewähren Sie Zugriff auf Watson Query. | Arbeiten Sie mit Ansichten und virtualisierten Daten. |
CPD-DataGovernance-Admin | Stellen Sie erweiterten Zugriff für Datengovernance bereit | Datengovernanceartefakte verwalten. Kataloge, Kategorien und Projekte verwalten. Verknüpfen Sie jedes Projekt als Administrator und zeigen Sie alle aktiven Projekte im Konto an. |
CPD-DataStage | Erforderlicher Basiszugriff für alle DataStage -Benutzer. | DataStage -Pipelines im Dashboard anzeigen. |
CPD-Maschinelles Lernen | Zugriff auf Watson Machine Learningbereitstellen. | Bereitstellungsbereiche erstellen Instanzen erstellen und anzeigen Watson Machine Learning |
CPD-Match360 | Geben Sie Managerberechtigungen für IBM Match 360 with Watson an | Erstellen, Bearbeiten und Verwalten des Zugriffs auf Match 360 -Funktionen wie Matching, Models, Configurator und Pair Analysis |
Öffentlicher Zugriff | Standardgruppe, die alle Benutzer und alle Service-IDs enthält | Alle Gruppenmitglieder, einschließlich nicht authentifizierter Benutzer, erhalten öffentlichen Zugriff auf alle Ressourcen, die in den Richtlinien für die Gruppe definiert sind. |
Rollenzuordnungen für die Beispielzugriffsgruppen
Die vorgeschlagenen Service-und Plattformrollenzuordnungen für die Beispielzugriffsgruppen lauten wie folgt:
Zugriffsgruppe | Servicenamen | Servicerollen | Plattformrolle | Watson Query role[^1] |
---|---|---|---|---|
Kontoadministrator | Alle Services mit aktiviertem Identity and Access Management Alle Kontoverwaltungsservices |
Manager Nicht zutreffend |
Administrator Editor |
Nicht zutreffend |
CPD-Administrator | IBM Cloud Pak for Data | Führungskraft | Administrator | Nicht zutreffend |
CPD-Kat-Proj | Cloud Object Storage | Führungskraft | Administrator | Nicht zutreffend |
CPD-COS-Administrator | Cloud Object Storage | Führungskraft | Administrator | Nicht zutreffend |
CPD-Allgemein-Benutzer | Alle Services mit aktiviertem Identity and Access Management Support Center |
Leser Nicht zutreffend |
Viewer -Editor |
Nicht zutreffend |
CPD-Datenwissenschaftler | IBM Cloud Pak for Data | CloudPak-Data-Scientist | Bearbeiter | Watson Query Benutzer (jedem Benutzer zuweisen) |
CPD-Datenentwickler | IBM Cloud Pak for Data | CloudPak-Datenentwickler | Bearbeiter | Watson Query Ingenieur (jedem Benutzer zuweisen) |
CPD-Daten-Steward | IBM Cloud Pak for Data | CloudPak-Datenverantwortlicher | Bearbeiter | Watson Query Steward (jedem Benutzer zuweisen) |
CPD-Datenvirtualisierung | Watson Query | Nicht zutreffend | Bearbeiter | Watson Query Manager (jedem Benutzer zuweisen) |
CPD-DataGovernance-Admin | IBM Cloud Pak for Data | Manager -Berichtsadministrator |
Administrator | Nicht zutreffend |
CPD-DataStage | DataStage | Eingabeprogramm | Bearbeiter | Nicht zutreffend |
CPD-Maschinelles Lernen | • Watson Machine Learning • Cloud Object Storage |
Writer -Manager |
Administrator Administrator |
Nicht zutreffend |
CPD-Match360 | Match 360 | Führungskraft | Administrator | Nicht zutreffend |
Rollen für die Zusammenarbeit in IBM watsonx Arbeitsbereichen
Die Zugriffskontrolle erstreckt sich über die IAM-Zugriffsgruppen hinaus auf die Arbeitsbereiche innerhalb von IBM watsonx. Arbeitsbereiche umfassen Projekte, Kataloge, Kategorien und Bereitstellungsbereiche. Um in IBM watsonx arbeiten zu können, müssen Benutzer Arbeitsbereiche erstellen oder den Arbeitsbereichen Mitarbeiterrollen zugewiesen bekommen. Mitarbeiterrollen bieten Zugriffsebenen wie "Anzeigeberechtigter", "Bearbeiter" oder "Administrator". In den folgenden Abschnitten finden Sie Informationen zu Mitarbeiterrollen für jeden Typ von Arbeitsbereich:
Weitere Informationen
- Rollen bei IBM watsonx
- Einrichten von IBM Cloud Object Storage zur Verwendung mit IBM watsonx
- IBM Cloud docs: IAM-Zugang
- IBM Cloud docs: Was ist IBM Cloud Identity and Access Management
- IBM Cloud docs: Einrichten von Zugriffsgruppen
- IBM Cloud Dokumente: Best Practices für die Organisation von Ressourcen und die Zuweisung von Zugriffsrechten
Übergeordnetes Thema: Mit IAM-Zugriffsgruppen arbeiten