Exemples de groupes d'accès IAM
Les exemples de groupes d'accès fournissent une configuration de base pour une implémentation de Data Fabric qui inclut Watson Studio, Watson Machine Learning, IBM Knowledge Catalog, Watson Query, DataStage, et IBM Match 360 prestations de service. Vous pouvez modifier les exemples pour accorder les droits nécessaires à vos services mis à disposition.
Après avoir créé un groupe d'accès IAM, un groupe d'utilisateurs est également créé. Les groupes d'utilisateurs permettent de gérer plus facilement un nombre important d'utilisateurs ayant des exigences d'accès similaires.
- Vous pouvez attribuer des rôles de Visionnaire, Éditeur ou Admin aux groupes d'utilisateurs lorsque vous ajoutez des collaborateurs à des projets et à des espaces.
- Si un membre du groupe quitte le groupe, l'administrateur du compte IBM Cloud peut supprimer l'utilisateur du groupe plutôt que d'examiner tous les actifs auxquels l'utilisateur a accès.
Présentation des groupes d'accès
Les exemples de groupes d'accès IAM, leur objectif et les tâches standard sont les suivants:
Groupe d'accès | Fonction | Tâches typiques |
---|---|---|
Compte-Administrateur | Créé par le compte Propriétaire pour déléguer l'administration complète du compte à une ou plusieurs personnes. Les membres du groupe Compte-Administrateur ont un contrôle total sur le compte et les services, à l'exception de la propriété du compte. | - Provisionner des instances de service dans IBM watsonx - Provisionner des services secondaires, par exemple, Cloud Object Storage - Créer des groupes d'accès IAM et inviter des utilisateurs dans les groupes. - Affectez des droits individuels aux utilisateurs. |
CPD-Administrateur | Similaire au groupe Account-Administrator , mais avec une portée moindre. Les membres gèrent IBM watsonx et les services connexes mais ne peuvent pas fournir de services. | Gère les utilisateurs et les groupes, y compris les droits, mais ne peut pas gérer d'autres aspects du compte IBM Cloud . Gérez les artefacts de gouvernance des données. Gérez les catalogues, les catégories et les projets. Rejoignez un projet en tant qu'administrateur et affichez tous les projets actifs dans le compte. |
CPD-Catégorie-Proj | Fournit un accès approprié à Cloud Object Storage pour que les utilisateurs puissent créer des projets et des catalogues lorsque la délégation de stockage est désactivée. | Créez des projets, des espaces de déploiement et des catalogues. |
CPD-COS-Admin | Fournit un accès approprié à Cloud Object Storage pour les utilisateurs qui créent des projets et des catalogues. Inutile si la délégation de stockage est activée. | Créez des projets et des catalogues. |
CPD-Utilisateur commun | Fournit des droits communs à tous les utilisateurs et contient tous les utilisateurs en tant que membres. Vous pouvez attribuer CPD-Common-User à tous les utilisateurs, puis attribuer le groupe d'accès approprié IBM Cloud Pak for Data à chaque utilisateur, par exemple CPD-Data-Scientist, CPD-Data-Engineer et CPD-Data-Steward. | Afficher, mais pas modifier, les instances de service et les actifs disponibles Devenir collaborateur dans les projets ou les catalogues. Créez des projets, des espaces de déploiement et des catalogues si vous êtes membre du groupe CPD-Cat-Proj. Permet d'accéder au centre de support pour consigner des tickets d'aide. |
CPD-Données-Scientifique | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Recherche des actifs dans les catalogues. |
CPD-Ingénieur de données | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Intègre des données. |
CPD-Données-Intendant | Fournit des autorisations aux utilisateurs travaillant dans IBM Knowledge Catalog. | Créer, réviser et approuver des artefacts de gouvernance. Organisation des données |
CPD-Données-Virtualisation | Donner accès à Watson Query. | Utilisez des vues et des données virtualisées. |
CPD-DataGovernance-Admin | Fournir un accès amélioré à la gouvernance des données. | Gérez les artefacts de gouvernance des données. Gérez les catalogues, les catégories et les projets. Rejoignez un projet en tant qu'administrateur et affichez tous les projets actifs dans le compte. |
CPD-DataStage | Accès de base requis pour tous les utilisateurs DataStage . | Affichez les pipelines DataStage sur le tableau de bord. |
CPD-Apprentissage automatique | Fournir l'accès à Watson Machine Learning. | Créer des espaces de déploiement Créer et afficher des instances Watson Machine Learning |
CPD-Match360 | Indiquez les droits de gestionnaire pour IBM Match 360 with Watson | Créer, éditer et gérer l'accès aux fonctions de Match 360 telles que la mise en correspondance, les modèles, le configurateur et l'analyse des paires |
Accès public | Groupe par défaut qui inclut tous les utilisateurs et tous les ID de service. | Tous les membres du groupe, y compris les utilisateurs non authentifiés, ont un accès public à toutes les ressources définies dans les règles du groupe. |
Affectations de rôle pour les exemples de groupes d'accès
Les affectations de rôle de service et de plateforme suggérées pour les exemples de groupes d'accès sont les suivantes:
Groupe d'accès | Noms de service | Rôles de service | Rôle de plateforme | Watson Query rôle[^1] |
---|---|---|---|---|
Compte-Administrateur | Tous les services activés pour les identités et les accès Tous les services de gestion des comptes |
Gestionnaire Non applicable |
Editeur de l'administrateur |
Non applicable |
CPD-Administrateur | IBM Cloud Pak for Data | Responsable | Administrateur | Non applicable |
CPD-Catégorie-Proj | Cloud Object Storage | Responsable | Administrateur | Non applicable |
CPD-COS-Admin | Cloud Object Storage | Responsable | Administrateur | Non applicable |
CPD-Utilisateur commun | Tous les services activés pour Identity and Access Support Center |
Lecteur Non applicable |
Editeur d'afficheur |
Non applicable |
CPD-Données-Scientifique | IBM Cloud Pak for Data | Spécialiste de données CloudPak | Éditeur | Watson Query Utilisateur (attribuer à chaque utilisateur) |
CPD-Ingénieur de données | IBM Cloud Pak for Data | Ingénieur en traitement de données CloudPak | Éditeur | Watson Query Ingénieur (attribuer à chaque utilisateur) |
CPD-Données-Intendant | IBM Cloud Pak for Data | Intendant de données CloudPak | Éditeur | Watson Query Steward (attribuer à chaque utilisateur) |
CPD-virtualisation des données | Watson Query | Non applicable | Éditeur | Watson Query Gestionnaire (attribuer à chaque utilisateur) |
CPD-DataGovernance-Admin | IBM Cloud Pak for Data | Gestionnaire Administrateur de génération de rapports |
Administrateur | Non disponible |
CPD-DataStage | DataStage | Lecteur | Éditeur | Non disponible |
CPD-Apprentissage automatique | • Watson Machine Learning • Cloud Object Storage |
Gestionnaire du programme d'écriture |
Administrateur Administrateur |
Non disponible |
CPD-Match360 | Match 360 | Responsable | Administrateur | Non disponible |
Rôles pour collaborer dans les espaces de travail IBM watsonx
Le contrôle d'accès s'étend au-delà des groupes d'accès IAM aux espaces de travail au sein de IBM watsonx. Les espaces de travail incluent les projets, les catalogues, les catégories et les espaces de déploiement. Pour travailler dans IBM watsonx, les utilisateurs doivent créer des espaces de travail ou se voir attribuer des rôles de collaborateur dans les espaces de travail. Les rôles de collaborateur fournissent des niveaux d'accès tels que Afficheur, Editeur ou Administrateur. Pour plus d'informations sur les rôles de collaborateur pour chaque type d'espace de travail, voir les rubriques suivantes:
En savoir plus
- Rôles dans IBM watsonx
- Mise en place de IBM Cloud Object Storage pour utilisation avec IBM watsonx
- IBM Cloud docs : Accès IAM
- IBM Cloud docs : Qu'est-ce que IBM Cloud Identity and Access Management ?
- IBM Cloud docs : Mise en place de groupes d'accès
- IBM Cloud docs : Meilleures pratiques pour l'organisation des ressources et l'attribution des accès
Rubrique parent: Utilisation des groupes d'accès IAM