IAM-Zugriffsgruppen werden vollständig in IBM Clouderstellt und verwaltet. Zugriffsgruppen beschleunigen die Zuweisung von IAM-Rollen an IBM watsonx Benutzer. Vertrautheit mit der IBM Cloud IAM-Komponente, Zugriffsgruppen, Plattformrollen und Dienstrollen ist erforderlich, um IAM-Rollen mit entsprechenden Zugriffsrechten für die Arbeit mit IBM watsonx-Diensten zuzuweisen.
- Erforderliche Rollen
- Um IAM-Zugriffsgruppen zu verwalten oder zu erstellen, müssen Sie eine der folgenden Rollen im IBM Cloud Konto:
- Kontoeigner
- Administrator oder Editor für alle Services mit aktiviertem Identity and Access Management
- Administrator oder Editor für den Kontoverwaltungsservice für IAM-Zugriffsgruppen im Konto
- Administrator oder Editor für alle Kontoverwaltungsservices
Um IAM Access-Gruppen als Benutzergruppen zu verwenden, müssen Sie die Kontoskalierung aktivieren. Wird der Ressourcenbereich auf das aktuelle Konto festgelegt, können Benutzer unabhängig von ihrer Mitgliedschaft nicht auf Ressourcen zugreifen, die sich außerhalb ihres Kontos befinden. Der Geltungsbereich gilt für Projekte, Kataloge und Bereiche.
Um das Kontoscoring zu ermöglichen:
- Wählen Sie im Navigationsmenü Verwaltung > Konto und Abrechnung > Konto, um das Fenster mit den Kontoeinstellungen zu öffnen.
- Setzen Sie die Einstellung für Ressourcenbereich auf Ein.
So erstellen Sie eine Zugriffsgruppe:
Die folgenden Anweisungen beschreiben, wie die Zugriffsgruppe Kontoadministrator erstellt wird, eine der Beispielgruppen, die im Abschnitt Beispielzugriffsgruppen verwenden beschrieben sind.
- Klicken Sie in IBM watsonx auf Verwaltung > Zugang (IAM), um die Seite Zugang und Benutzer verwalten in Ihrem IBM Cloud-Konto zu öffnen.
- Wählen Sie Zugriffsgruppen aus, um eine Liste der verfügbaren Gruppen anzuzeigen. Alle Konten verfügen über die Standardgruppe Öffentlicher Zugriff , die alle Benutzer und Service-IDs im Konto enthält.
- Klicken Sie auf Create , um eine neue Zugriffsgruppe zu erstellen. Geben Sie Kontoadministrator als Namen (oder den Namen, den Sie für die Gruppe auswählen) und eine Beschreibung ein. Zugriffsgruppennamen müssen eindeutig sein. Anhand einer Beschreibung können Sie sich den Zweck der Zugriffsgruppe merken.
- Erstellen Sie die Gruppe.
- Klicken Sie auf Zugriff > Zugriff zuweisen , um der Gruppe Zugriffsrichtlinien hinzuzufügen.
- Wählen Sie für Servicedie Option Alle Services mit aktiviertem Identity and Access Management (oder den Service, auf den die Gruppe zugreift) aus und klicken Sie auf Next. Der Zugriff auf Alle Services mit aktiviertem Identity and Access Management wird normalerweise nur Administratoren zugewiesen.
- Wählen Sie für Ressourcen Alle Ressourcen als Bereich aus und klicken Sie auf Next.
- Wählen Sie für Ressourcengruppenzugriff Administrator aus und klicken auf Next.
- Wählen Sie für Rollen und AktionenFolgendes aus, um den Zugriff für die Beispiel-Kontoadministratorgruppe zuzuweisen:
- Manager für Servicezugriff
- Administrator für Plattformzugriff
- Überprüfen Sie die Parameter und klicken dann auf Hinzufügen und Zuweisen.
So fügen Sie Benutzer zu einer Zugriffsgruppe hinzu:
- Klicken Sie unter IBM watsonx auf Verwaltung > Zugriff (IAM). Die Seite Zugang und Benutzer verwalten in Ihrem IBM Cloud-Konto wird in einem separaten Fenster geöffnet.
- Wählen Sie Zugriffsgruppen aus, um eine Liste der verfügbaren Gruppen anzuzeigen.
- Wählen Sie die Zugriffsgruppe aus, der Sie Benutzer hinzufügen möchten.
- Markieren Sie mindestens einen Benutzer, der als Mitglied der Zugriffsgruppe hinzugefügt werden soll, und klicken Sie auf Benutzer hinzufügen.
Sie haben die Zugriffsgruppe Account-Administrator erfolgreich erstellt und mit Mitgliedern gefüllt. Wiederholen Sie diese Schritte für alle Beispielzugriffsgruppen, um eine Baselinegruppe zu erstellen. Informationen zu den vorgeschlagenen Rollen für die Zuordnung zu den einzelnen Beispielzugriffsgruppen finden Sie unter Beispielzugriffsgruppen verwenden .
Nach der Erstellung einer IAM-Zugangsgruppe wird auch eine Benutzergruppe erstellt. Benutzergruppen vereinfachen die Verwaltung einer großen Anzahl von Benutzern mit ähnlichen Zugriffsanforderungen.
- Sie können Benutzergruppen die Rollen Betrachter, Bearbeiter oder Admin zuweisen, wenn Sie Mitwirkende zu Projekten und Bereichen hinzufügen.
- Wenn ein Mitglied der Gruppe ausscheidet, kann der IBM Cloud-Kontoverwalter den Benutzer aus der Gruppe entfernen, anstatt alle Assets zu prüfen, auf die der Benutzer Zugriff hat.
Zugriffsgruppen ändern
Sie können eine Zugriffsgruppe nach ihrer Erstellung ändern. Sie können Mitglieder hinzufügen und löschen, Zugriffsrichtlinien hinzufügen und löschen und bei Bedarf weitere Änderungen vornehmen. Wenn Sie die Zugriffsrichtlinien ändern, werden die neuen Richtlinien sofort auf alle Mitglieder der Gruppe angewendet.
Weitere Informationen
Übergeordnetes Thema: Mit IAM-Zugriffsgruppen arbeiten