IAM アクセス・グループは、完全に IBM Cloud上で作成および管理されます。 アクセス・グループは、 Cloud Pak for Data as a Service ユーザーへの IAM 役割の割り当てを迅速化します。 Cloud Pak for Data as a Service サービスを操作するための適切なアクセス権限を IAM 役割に割り当てるには、 IBM Cloud IAM コンポーネント、アクセス・グループ、プラットフォーム役割、およびサービス役割に精通している必要があります。

必要な役割

IAMアクセスグループを管理または作成するには、 IBM Cloudアカウント：

• アカウント所有者
• すべての ID およびアクセス対応サービスの 管理者 または エディター
• アカウントの IAM アクセス・グループ・アカウント管理サービスに対する 管理者 または エディター
• 「すべてのアカウント管理」サービスの 「管理者」 または 「エディター」

このビデオを視聴して、 Cloud Pak for Data as a Service ユーザーへの役割の割り当てを迅速化するために IBM Cloud で 2 つのアクセス・グループの例をセットアップする方法を確認してください。

IAMアクセスグループをユーザーグループとして使用するには、アカウントのスコープを有効にする必要があります。 リソースの有効範囲を現行アカウントに設定することにより、メンバーシップに関係なく、ユーザーは自分のアカウントの外部にあるリソースにアクセスできなくなります。 この有効範囲は、プロジェクト、カタログ、およびスペースに適用されます。

アカウントのスコープを有効にする：

1. ナビゲーションメニューから管理 >アカウントと請求 >アカウントを選択し、アカウント設定ウィンドウを開きます。
2. リソース・スコープ を オンに設定してください。

アクセス・グループを作成するには

以下の手順では、 「アカウント管理者」 アクセス・グループを作成する方法について説明します。これは、 「アクセス・グループの例の使用」 トピックで説明されているグループの例の 1 つです。

1. Cloud Pak for Data as a Serviceから、 「管理」>「アクセス (IAM)」 をクリックして、 IBM Cloud アカウントの 「アクセスおよびユーザーの管理」 ページを開きます。
2. 使用可能なグループのリストを表示するには、 アクセス・グループ を選択してください。 すべてのアカウントには、デフォルトの 「パブリック・アクセス」 グループがあります。このグループには、アカウント内のすべてのユーザーとサービス ID が含まれます。
3. 「作成」 をクリックして、新規アクセス・グループを作成します。 名前 (またはグループ用に選択した名前) と説明には、 「アカウント-管理者」 と入力します。 アクセス・グループ名は固有でなければなりません。 説明は、アクセス・グループの目的を思い出すのに役立ちます。
4. グループを作成する。
5. アクセス・ポリシーをグループに追加するには、 「アクセス」>「アクセス権限の割り当て」 をクリックします。
6. 「サービス」で、 「すべての ID およびアクセス対応サービス」 (またはグループがアクセスするサービス) を選択し、 「次へ」をクリックします。 通常、 「すべての ID およびアクセス対応サービス」 へのアクセス権限は、管理者にのみ割り当てられます。
7. 「リソース」で、スコープとして 「すべてのリソース」 を選択し、 「次へ」をクリックします。
8. 「リソース・グループ・アクセス権限」で 「管理者」 を選択し、 「次へ」をクリックします。
9. 「役割とアクション」では、以下を選択して、アカウント管理者グループの例のアクセス権限を割り当てます。
   • サービス・アクセスの 管理者
   • プラットフォーム・アクセス権限の 管理者
10. パラメーターを確認して、 「追加」 をクリックし、 「割り当て」をクリックします。

アクセス・グループにユーザーを追加するには、以下のようにします。

1. Cloud Pak for Data as a Service から、 「管理」>「アクセス (IAM)」をクリックしてください。 IBM Cloud アカウントの 「アクセスとユーザーの管理」 ページが別のウィンドウで開きます。
2. 使用可能なグループのリストを表示するには、 アクセス・グループ を選択してください。
3. ユーザーを登録するアクセス・グループを選択してください。
4. アクセス・グループのメンバーとして追加する 1 人以上のユーザーにチェック・マークを付け、 「ユーザーの追加」をクリックします。

「アカウント管理者」 アクセス・グループが正常に作成され、メンバーが取り込まれました。 アクセス・グループの例ごとに上記のステップを繰り返し、アクセス・グループのベースライン・セットを作成します。 各アクセス・グループ例に割り当てる推奨役割については、 アクセス・グループ例の使用 を参照してください。

IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、アクセス要件が類似した多くのユーザーを容易に管理できます。

• プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、管理者のロールをユーザーグループに割り当てることができます。
• グループのメンバーが離脱した場合、IBM Cloud アカウント管理者は、そのユーザーがアクセスできるすべてのアセットを調べるのではなく、そのユーザーをグループから削除できます。

ユーザーグループは、Restrict who can be collaborator オプションが有効になっているプロジェクトでのみ使用できます。 プロジェクトで共同作業者の参加資格を制限する方法については、プロジェクトの作成を参照してください。