資料の 英語版 に戻るIAM アクセス・グループの例
IAM アクセス・グループの例
最終更新: 2024年11月28日
アクセス・グループの例は、watsonx.aiStudio、watsonx.aiRuntime、IBM Knowledge Catalog、Data Virtualization、DataStage,、およびIBM Match 360サービスを含むデータ・ファブリック実装の基本構成を提供します。 例を変更して、プロビジョンされたサービスに必要な権限を付与することができます。
IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、類似したアクセス要件を持つ多数のユーザーの管理が簡単になります。
- プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、または管理者の役割をユーザーグループに割り当てることができます。
- グループのメンバーが離脱した場合、IBM Cloud アカウント管理者は、そのユーザーがアクセスできるすべてのアセットを調べるのではなく、そのユーザーをグループから削除できます。
アクセス・グループの概要
IAM アクセス・グループの例、その目的、および標準的なタスクは以下のとおりです。
アクセス・グループ | 目的 | 一般的なタスク |
---|---|---|
アカウント-管理者 | 1 人以上のユーザーに完全なアカウント管理を委任するために、アカウント Owner によって作成されます。 「アカウント管理者」 グループのメンバーは、アカウント所有権を除き、アカウントとサービスを完全に制御できます。 | • Provision service instances in IBM watsonx • Provision secondary services, for example, Cloud Object Storage • Create IAM access groups and invite users to groups. • 個々の許可をユーザーに割り当てます。 |
CPD-管理者 | 「アカウント管理者」 グループと似ていますが、有効範囲が狭くなります。 メンバーは IBM watsonx および関連サービスを管理しますが、サービスをプロビジョニングすることはできません。 | 許可を含むユーザーおよびグループを管理しますが、 IBM Cloud アカウントの他の側面を管理することはできません。 データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
CPD-カタログ-プロジェクト | Storage Delegation が無効になっている場合に、ユーザーがプロジェクトおよびカタログを作成するための Cloud Object Storage への適切なアクセスを提供します。 | プロジェクト、デプロイメント・スペース、およびカタログを作成します。 |
CPD-COS-管理者 | プロジェクトおよびカタログを作成するユーザーに、 Cloud Object Storage への適切なアクセス権限を提供します。 ストレージ委任が有効になっている場合は必要ありません。 | プロジェクトとカタログを作成します。 |
CPD-共通-ユーザー | すべてのユーザーに共通の権限を提供し、メンバーとしてすべてのユーザーを含みます。 すべてのユーザーに CPD-Common-User を割り当て、さらに各ユーザーに適切な IBM Cloud Pak for Data アクセス グループ (CPD-Data-Scientist, CPD-Data-Engineer, CPD-Data-Steward など) を割り当てることができます。 | 使用可能なサービス・インスタンスおよび資産を表示しますが、変更はしません。 プロジェクトまたはカタログ内のコラボレーターになります。 CPD-Cat-Proj グループのメンバーである場合は、プロジェクト、デプロイメント・スペース、およびカタログを作成します。 ヘルプ・チケットをログに記録するためのサポート・センターへのアクセスを許可します。 |
CPD-データ・サイエンティスト | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | カタログ内の資産を検索します。 |
CPD-データ-エンジニア | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | データを統合します。 |
CPD-データ-スチュワード | 作業中のユーザーに権限を提供しますIBM Knowledge Catalog。 | ガバナンス成果物を作成、レビュー、および承認します。 データのキュレート |
CPD-データ-仮想化 | Data Virtualization化へのアクセスを提供する。 | ビューおよび仮想化データを処理します。 |
CPD-DataGovernance-Admin | データ・ガバナンスのための拡張アクセスを提供します。 | データ・ガバナンス成果物を管理します。 カタログ、カテゴリー、およびプロジェクトを管理します。 管理者として任意のプロジェクトに参加し、アカウント内のすべてのアクティブなプロジェクトを表示します。 |
CPD-DataStage | すべての DataStage ユーザーに必要な基本アクセス権限。 | ダッシュボードに DataStage パイプラインを表示します。 |
CPD-機械学習 | watsonx.aiランタイムへのアクセスを提供する。 | - デプロイメントスペース 作成 -watsonx.aiランタイムインスタンスの作成と表示 |
CPD-Match360 | IBM Match 360 with Watson の管理者権限を付与します。 | マッチング、モデル、コンフィギュレーター、ペア分析などの Match 360 機能へのアクセスを作成、編集、および管理します。 |
パブリック・アクセス | すべてのユーザーとすべてのサービス ID を含むデフォルト・グループ。 | すべてのグループ・メンバー (認証されていないユーザーを含む)に、グループのポリシーで定義されているリソースへのパブリック・アクセスが付与されます。 |
アクセス・グループの例の役割の割り当て
アクセス・グループの例で推奨されているサービス役割とプラットフォーム役割の割り当ては、以下のとおりです。
アクセス・グループ | サービス名 | サービス・ロール | プラットフォーム役割 | Data Virtualizationの役割[^1] |
---|---|---|---|---|
アカウント-管理者 | すべての ID およびアクセス対応サービス すべてのアカウント管理サービス |
マネージャー 適用外 |
管理者 エディター |
適用外 |
CPD-管理者 | IBM Cloud Pak for Data | マネージャー | 管理者 | 適用外 |
CPD-カタログ-プロジェクト | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
CPD-COS-管理者 | Cloud Object Storage | マネージャー | 管理者 | 適用外 |
CPD-共通-ユーザー | すべての ID およびアクセス対応サービス サポート・センター |
読者 適用外 |
ビューアー エディター |
適用外 |
CPD-データ・サイエンティスト | IBM Cloud Pak for Data | CloudPak データ・サイエンティスト | エディター | Data Virtualizationユーザー(各ユーザーに割り当てる) |
CPD-データ-エンジニア | IBM Cloud Pak for Data | CloudPak データ・エンジニア | エディター | Data Virtualizationエンジニア(各ユーザーに割り当てる) |
CPD-データ-スチュワード | IBM Cloud Pak for Data | CloudPak データ・スチュワード | エディター | Data Virtualizationスチュワード(各ユーザーに割り当てる) |
CPD-データ仮想化 | Data Virtualization | 適用外 | エディター | Data Virtualization Manager(各ユーザーに割り当てる) |
CPD-DataGovernance-Admin | IBM Cloud Pak for Data | マネージャー 報告管理者 |
管理者 | 該当なし |
CPD-DataStage | DataStage | リーダー | エディター | 該当なし |
CPD-機械学習 | -watsonx.aiランタイム -Cloud Object Storage |
ライター マネージャー |
管理者 管理者 |
該当なし |
CPD-Match360 | Match 360 | マネージャー | 管理者 | 該当なし |
IBM watsonx ワークスペースで共同作業するためのロール
アクセス制御は、IAM アクセス・グループだけでなく、IBM watsonx 内のワークスペースにまで拡張されます。 ワークスペースには、プロジェクト、カタログ、カテゴリー、およびデプロイメント・スペースが含まれます。 IBM watsonx で作業するには、ユーザーはワークスペースを作成するか、ワークスペースに共同作業者ロールを割り当てる必要があります。 コラボレーター役割は、ビューアー、エディター、管理者などのアクセス・レベルを提供します。 各タイプのワークスペースのコラボレーター役割については、以下のトピックを参照してください。
詳細情報
- IBM watsonx のロール
- IBM Cloud Object StorageをIBM watsonxで使用するように設定する
- IBM Cloudドキュメント:IAM アクセス
- IBM CloudドキュメントIBM Cloud Identity and Access Managementとは?
- IBM Cloudドキュメントアクセス・グループの設定
- IBM Cloudドキュメントリソースの整理とアクセス権の割り当てのベスト・プラクティス
親トピック: IAM アクセス・グループの処理