IAM 访问组完全在 IBM Cloud上创建和管理。 访问组可加速将 IAM 角色分配给 Cloud Pak for Data as a Service 用户。 需要熟悉 IBM Cloud IAM 组件，访问组，平台角色和服务角色，才能分配具有相应访问权的 IAM 角色，以使用 Cloud Pak for Data as a Service 服务。

所需角色

要管理或创建 IAM 访问组，您必须在IBM Cloud帐户：

• 帐户所有者
• 针对所有启用身份和访问权的服务的 管理员 或 编辑者
• 帐户中 IAM 访问组帐户管理服务的 管理员 或 编辑者
• 所有帐户管理服务的 管理员 或 编辑者

观看此视频，以了解如何在 IBM Cloud 中设置两个示例访问组，以加速分配给 Cloud Pak for Data as a Service 用户的角色。

要将 IAM 访问组用作用户组，必须启用账户范围。 通过将资源作用域设置为当前帐户，无论成员资格如何，用户都无法访问其帐户之外的资源。 作用域将应用于项目、目录和空间。

启用帐户范围：

1. 从导航菜单中选择 Administration > Account and billing > Account 打开账户设置窗口。
2. 将 Resource scope 设置为 On.

要创建访问组:

以下指示信息描述如何创建 Account-Administrator 访问组，其中一个示例组在 使用示例访问组 主题中描述。

1. 从 Cloud Pak for Data as a Service中，单击 管理> 访问权 (IAM) 以在 IBM Cloud 帐户中打开 " 管理访问权和用户 " 页面。
2. 选择 访问组 以查看可用组的列表。 所有帐户都具有缺省 公共访问权 组，该组包含帐户中的所有用户和服务标识。
3. 单击 创建 以创建新的访问组。 输入 Account-Administrator 作为名称 (或您为组选择的名称) 和描述。 访问组名必须唯一。 描述可帮助您记住访问组的用途。
4. 创建 组。
5. 单击 访问权> 分配访问权 以向组添加访问策略。
6. 对于 服务，选择 所有启用身份和访问权的服务 (或组将访问的服务) ，然后单击 下一步。 对 所有启用身份和访问权的服务 的访问权通常仅分配给管理员。
7. 对于 资源，选择范围的 所有资源 ，然后单击 下一步。
8. 对于 资源组访问权，选择 管理员 ，然后单击 下一步。
9. 对于 角色和操作，选择以下内容以分配对示例 Account-Administrator 组的访问权:
   • 管理者 (用于服务访问)
   • 用于平台访问的 管理员
10. 复审参数，然后单击 添加 和 分配。

要将用户添加到访问组，请执行以下操作:

1. 从 Cloud Pak for Data as a Service中，单击 管理> 访问权 (IAM)。 IBM Cloud 帐户中的 " 管理访问权和用户 " 页面将在单独的窗口中打开。
2. 选择 访问组 以查看可用组的列表。
3. 选择要向用户填充的访问组。
4. 选中一个或多个要添加为访问组成员的用户，然后单击 添加用户。

您已成功创建 Account-Administrator 访问组并使用成员填充该组。 对每个示例访问组重复这些步骤以创建访问组的基线集。 请参阅 使用示例访问组 ，以获取要分配给每个示例访问组的建议角色。

创建 IAM 访问组后，还要创建一个用户组。 利用用户组，可以更轻松地管理存在类似访问需求的大量用户。

• 在为项目和空间添加协作者时，您可以为用户组分配 查看器、 编辑 或 管理员角色。
• 如果组中的某个成员离开，IBM Cloud帐户管理员可以从组中删除该用户，而不是查看该用户可以访问的所有资产。

用户组仅在启用了 Restrict who can be a collaborator 选项的项目中可用。 请参阅 创建项目，了解如何限制项目中协作者的资格。