IAM アクセス・グループは、完全に IBM Cloud上で作成および管理されます。 アクセス・グループは、IBM watsonx ユーザーに IAM ロールを迅速に割り当てます。 IBM Cloud IAM コンポーネント、アクセス・グループ、プラットフォーム・ロール、およびサービス・ロールに精通し、IBM watsonx サービスで動作する適切なアクセス権限を IAM ロールに割り当てる必要があります。
- 必須ロール
- IAMアクセスグループを管理または作成するには、 IBM Cloudアカウント:
- アカウント所有者
- すべての ID およびアクセス対応サービスの 管理者 または エディター
- アカウントの IAM アクセス・グループ・アカウント管理サービスに対する 管理者 または エディター
- 「すべてのアカウント管理」サービスの 「管理者」 または 「エディター」
IAMアクセスグループをユーザーグループとして使用するには、アカウントのスコープを有効にする必要があります。 リソースの有効範囲を現行アカウントに設定することにより、メンバーシップに関係なく、ユーザーは自分のアカウントの外部にあるリソースにアクセスできなくなります。 この有効範囲は、プロジェクト、カタログ、およびスペースに適用されます。
アカウントのスコープを有効にする:
- ナビゲーションメニューから管理 >アカウントと請求 >アカウントを選択し、アカウント設定ウィンドウを開きます。
- リソース・スコープ を オンに設定してください。
アクセス・グループを作成するには
以下の手順では、 「アカウント管理者」 アクセス・グループを作成する方法について説明します。これは、 「アクセス・グループの例の使用」 トピックで説明されているグループの例の 1 つです。
- IBM watsonx から、Administration >Access (IAM) をクリックして、IBM Cloud アカウントの Manage access and users ページを開きます。
- 使用可能なグループのリストを表示するには、 アクセス・グループ を選択してください。 すべてのアカウントには、デフォルトの 「パブリック・アクセス」 グループがあります。このグループには、アカウント内のすべてのユーザーとサービス ID が含まれます。
- 「作成」 をクリックして、新規アクセス・グループを作成します。 名前 (またはグループ用に選択した名前) と説明には、 「アカウント-管理者」 と入力します。 アクセス・グループ名は固有でなければなりません。 説明は、アクセス・グループの目的を思い出すのに役立ちます。
- グループを作成する。
- アクセス・ポリシーをグループに追加するには、 「アクセス」>「アクセス権限の割り当て」 をクリックします。
- 「サービス」で、 「すべての ID およびアクセス対応サービス」 (またはグループがアクセスするサービス) を選択し、 「次へ」をクリックします。 通常、 「すべての ID およびアクセス対応サービス」 へのアクセス権限は、管理者にのみ割り当てられます。
- 「リソース」で、スコープとして 「すべてのリソース」 を選択し、 「次へ」をクリックします。
- 「リソース・グループ・アクセス権限」で 「管理者」 を選択し、 「次へ」をクリックします。
- 「役割とアクション」では、以下を選択して、アカウント管理者グループの例のアクセス権限を割り当てます。
- サービス・アクセスの 管理者
- プラットフォーム・アクセス権限の 管理者
- パラメーターを確認して、 「追加」 をクリックし、 「割り当て」をクリックします。
アクセス・グループにユーザーを追加するには、以下のようにします。
- IBM watsonx から、Administration > Access (IAM)をクリックします。 IBM Cloud アカウントの Manage access and users ページが別ウィンドウで開きます。
- 使用可能なグループのリストを表示するには、 アクセス・グループ を選択してください。
- ユーザーを登録するアクセス・グループを選択してください。
- アクセス・グループのメンバーとして追加する 1 人以上のユーザーにチェック・マークを付け、 「ユーザーの追加」をクリックします。
「アカウント管理者」 アクセス・グループが正常に作成され、メンバーが取り込まれました。 アクセス・グループの例ごとに上記のステップを繰り返し、アクセス・グループのベースライン・セットを作成します。 各アクセス・グループ例に割り当てる推奨役割については、 アクセス・グループ例の使用 を参照してください。
IAMアクセス・グループを作成すると、ユーザー・グループも作成される。 ユーザー・グループを使用すると、類似したアクセス要件を持つ多数のユーザーの管理が簡単になります。
- プロジェクトやスペースに共同作業者を追加するときに、ビューア、エディタ、管理者のロールをユーザーグループに割り当てることができます。
- グループのメンバーが離脱した場合、IBM Cloud アカウント管理者は、そのユーザーがアクセスできるすべてのアセットを調べるのではなく、そのユーザーをグループから削除できます。
アクセス・グループの変更
アクセス・グループは、作成後に変更できます。 必要に応じて、メンバーの追加と削除、アクセス・ポリシーの追加と削除、およびその他の変更を行うことができます。 アクセス・ポリシーを変更すると、新規ポリシーはグループのすべてのメンバーに即時に適用されます。
詳細情報
親トピック: IAM アクセス・グループの処理