Los grupos de acceso de ejemplo proporcionan una configuración básica para una implementación de estructura de datos que incluye los servicios watsonx.ai Studio, watsonx.ai Runtime, IBM Knowledge Catalog, Data Virtualization, DataStage, e IBM Match 360. Puede modificar los ejemplos para otorgar los permisos necesarios para los servicios suministrados.
Después de crear un grupo de acceso IAM, también se crea un grupo de usuarios. Los grupos de usuarios facilitan la gestión de un gran número de usuarios con requisitos de acceso similares.
- Puedes asignar Visor, Editor o Admin roles a grupos de usuarios cuando añadas colaboradores a proyectos y espacios.
- Si un miembro del grupo se va, el administrador de la cuenta IBM Cloud puede eliminar al usuario del grupo en lugar de mirar todos los activos a los que tiene acceso el usuario.
Visión general de grupos de acceso
Los grupos de acceso de IAM de ejemplo, su finalidad y las tareas típicas son:
Grupo de acceso | Finalidad | Tareas típicas |
---|---|---|
Cuenta-Administrador | Creado por el Propietario de la cuenta para delegar la administración completa de la cuenta a una o varias personas. Los miembros del grupo Account-Administrator tienen control completo sobre la cuenta y los servicios excepto para la propiedad de la cuenta. | - Aprovisionar instancias de servicio en IBM watsonx - Aprovisionar servicios secundarios, por ejemplo, Cloud Object Storage - Crear grupos de acceso IAM e invitar a los usuarios a los grupos. - Asignar permisos individuales a los usuarios. |
CPD-Administrador | Similar al grupo Account-Administrator pero con menos ámbito. Los miembros gestionan IBM watsonx y servicios relacionados pero no pueden aprovisionar servicios. | • Gestionar usuarios y grupos, incluidos los permisos, pero no puede gestionar otros aspectos de la cuenta de IBM Cloud . • Gestionar artefactos de gobernabilidad de datos. • Gestionar catálogos, categorías y proyectos. • Únase a cualquier proyecto como administrador y vea todos los proyectos activos en la cuenta. |
CPD-Cat-Proj | Proporciona el acceso adecuado a Cloud Object Storage para que los usuarios creen proyectos y catálogos cuando la delegación de almacenamiento está inhabilitada. | Cree proyectos, espacios de despliegue y catálogos. |
CPD-COS-Admin | Proporciona el acceso adecuado a Cloud Object Storage para los usuarios que crean proyectos y catálogos. No es necesario si la delegación de almacenamiento está habilitada. | Crear proyectos y catálogos. |
CPD-Común-Usuario | Proporciona permisos comunes a todos los usuarios y contiene todos los usuarios como miembros. Puede asignar CPD-Common-User a todos los usuarios y, a continuación, asignar también el grupo de acceso IBM Cloud Pak for Data adecuado a cada usuario, como, por ejemplo, CPD-Data-Scientist, CPD-Data-Engineer y CPD-Data-Steward. | • Ver, pero no modificar, los activos e instancias de servicio disponibles • Convertirse en colaborador en proyectos o catálogos. • Crear proyectos, espacios de despliegue y catálogos si es miembro del grupo CPD-Cat-Proj. • Permite el acceso al Centro de soporte para registrar incidencias de ayuda. |
CPD-Científico de datos | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | Busca activos en catálogos. |
CPD-Datos-Ingeniero | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | Integra datos. |
CPD-encargado de datos | Proporciona permisos para los usuarios que trabajan en IBM Knowledge Catalog. | • Crear, revisar y aprobar artefactos de gobernabilidad. • Organizar datos |
CPD-Datos-Virtualización | Proporcionar acceso a Data Virtualization. | Trabajar con vistas y datos virtualizados. |
CPD-DataGovernance-Admin | Proporcione un acceso mejorado para el gobierno de datos. | • Gestionar artefactos de gobernabilidad de datos. • Gestionar catálogos, categorías y proyectos. • Únase a cualquier proyecto como administrador y vea todos los proyectos activos en la cuenta. |
CPD-DataStage | Acceso básico necesario para todos los usuarios de DataStage . | Ver interconexiones de DataStage en el panel de control. |
CPD-Aprendizaje automático | Proporcionar acceso a watsonx.ai Runtime. | - Crear espacios de despliegue ' - Crear y visualizar instancias de watsonx.ai Runtime |
CPD-Match360 | Proporcionar permisos de gestor para IBM Match 360 with Watson | Crear, editar y gestionar el acceso a características de Match 360 como, por ejemplo, Coincidencia, Modelos, Configurador y Análisis de pares |
Acceso público | Grupo predeterminado que incluye todos los usuarios y todos los ID de servicio. | Se otorga a todos los miembros del grupo, incluso a los usuarios no autenticados, acceso público a todos los recursos que están definidos en las políticas del grupo. |
Asignaciones de roles para los grupos de acceso de ejemplo
Las asignaciones de roles de plataforma y servicio sugeridas para los grupos de acceso de ejemplo son:
Grupo de acceso | Nombres de servicio | Roles de servicio | Rol de plataforma | Función de Data Virtualization [^1] |
---|---|---|---|---|
Cuenta-Administrador | • Todos los servicios habilitados para identidad y acceso • Todos los servicios de gestión de cuentas |
• Manager • No aplicable |
• Administrador • Editor |
No aplicable |
CPD-Administrador | IBM Cloud Pak for Data | Director | Administrador | No aplicable |
CPD-Cat-Proj | Cloud Object Storage | Director | Administrador | No aplicable |
CPD-COS-Admin | Cloud Object Storage | Director | Administrador | No aplicable |
CPD-Común-Usuario | • Todos los servicios habilitados para identidad y acceso • Centro de soporte |
• Lector • No aplicable |
• Visor • Editor |
No aplicable |
CPD-Científico de datos | IBM Cloud Pak for Data | Científico de datos de CloudPak | Editor | Usuario de Data Virtualization (asignar a cada usuario) |
CPD-Datos-Ingeniero | IBM Cloud Pak for Data | Ingeniero de datos de CloudPak | Editor | Ingeniero de Data Virtualization (asignar a cada usuario) |
CPD-encargado de datos | IBM Cloud Pak for Data | Encargado de datos de CloudPak | Editor | Data Virtualization Steward (asignar a cada usuario) |
CPD-Virtualización de datos | Data Virtualization | No aplicable | Editor | Data Virtualization Manager (asignar a cada usuario) |
CPD-DataGovernance-Admin | IBM Cloud Pak for Data | • Gestor • Administrador de informes |
Administrador | N/D |
CPD-DataStage | DataStage | Lector | Editor | N/D |
CPD-Aprendizaje automático | - watsonx.ai Runtime - Cloud Object Storage |
• Escritor • Gestor |
• Administrador • Administrador |
N/D |
CPD-Match360 | Match 360 | Director | Administrador | N/D |
Roles para colaborar en espacios de trabajo IBM watsonx
El control de acceso se extiende más allá de los grupos de acceso IAM a los espacios de trabajo dentro de IBM watsonx. Los espacios de trabajo incluyen proyectos, catálogos, categorías y espacios de despliegue. para trabajar en IBM watsonx, los usuarios deben crear espacios de trabajo o tener asignados roles de colaborador en los espacios de trabajo. Los roles de colaborador proporcionan niveles de acceso como, por ejemplo, Visor, Editor o Administrador. Consulte los temas siguientes para obtener información sobre los roles de colaborador para cada tipo de espacio de trabajo:
Más información
- Roles en IBM watsonx
- Configuración de IBM Cloud Object Storage para su uso con IBM watsonx
- Documentos deIBM Cloud: Acceso IAM
- Documentos de IBMIBM Cloud: Qué es IBM Cloud Identity and Access Management
- Documentación deIBM Cloud: Configuración de grupos de acceso
- Documentos deIBM Cloud: Mejores prácticas para organizar recursos y asignar accesos
Tema principal: Trabajar con grupos de acceso de IAM