Cloud Pak for Data as a Service 的每个用户都具有具有相应许可权或操作的多个级别的角色。 许可权确定用户可以在平台上或服务内执行的操作。 某些角色在 IBM Cloud中设置,而其他角色在 Cloud Pak for Data as a Service中设置。
IBM Cloud 帐户所有者或管理员在 IBM Cloud 帐户中设置 Identity and Access (IAM) Platform 和 Service 访问角色。 Cloud Pak for Data as a Service 中的工作空间管理员设置工作空间的合作者角色,例如,项目,部署空间,目录,类别和虚拟视图。
要配置 Cloud Pak for Data as a Service的用户访问权,需要熟悉 IBM Cloud IAM 功能,访问组,平台角色和服务角色。 See IBM Cloud文档:IAM 访问权限 for a description of IBM Cloud IAM Platform and Service roles.
您可以创建访问组以合并用户组的操作,而不是为每个用户分配一组角色。 访问组 (也称为用户组) 包含要分配给用户组的角色和相应许可权。 访问组通过组织多个用户的许可权来加速角色分配。 请参阅 使用 IAM 访问组。
此图显示了分配给每个用户的不同级别的角色,以便他们可以在 Cloud Pak for Data as a Service中工作。
角色级别为:
- IAM 平台访问角色 确定您对 IBM Cloud 帐户的许可权。 至少需要 查看者 角色才能使用服务。
- IAM Service 访问角色 确定您在服务中的许可权。
- 工作空间合作者角色 确定您有权在 Cloud Pak for Data as a Service中的工作空间内执行的操作。 工作空间包括项目,部署空间,目录,类别和虚拟视图。
IAM 平台访问角色
IAM 平台访问角色在 IBM Cloud 帐户中分配和管理。
IAM 平台访问角色提供许可权来管理 IBM Cloud 帐户以及访问 Cloud Pak for Data as a Service中的服务。 平台访问角色为 查看者, 操作员, 编辑者和 管理员。 平台角色可用于 IBM Cloud上的所有服务。
查看者 角色具有最少的仅查看许可权。 用户至少需要 查看者 角色才能在 Cloud Pak for Data as a Service中查看服务。 查看者 可以:
- 查看但不修改可用的服务实例和资产
- 将服务与项目相关联。
- 成为项目或目录中的合作者。
- 如果为 Cloud Object Storage分配了相应的许可权,请创建项目,部署空间和目录。
操作员 角色有权配置现有服务实例。 运算符 可以:
- 配置和运行Data Virtualization服务实例,但不提供。
- 查看Data Virtualization的服务仪表板。
编辑者 角色提供对以下操作的访问权:
- 所有查看者角色许可权。
- 供应服务实例。
- 更新服务实例的套餐。
管理员 角色提供与帐户的 所有者 角色相同的许可权。 通过 管理员 角色,您可以:
- 所有 "查看者" , "操作员" 和 "编辑者" 许可权。
- 对服务执行所有管理操作。
- 将用户添加到 IBM Cloud 帐户并分配角色
- 在 Cloud Pak for Data as a Service 中执行管理任务
- 管理 Cloud Pak for Data as a Service
- 设置访问组
- 创建定制服务角色。
要了解 IAM 平台访问角色,请参阅 IBM Cloud 文档:什么是 IBM Cloud 身份和访问权管理?。
IAM 服务访问角色
服务角色适用于个别服务,并定义服务中允许的操作。 IBM Cloud Pak for DataService 包含适用于IBM Knowledge Catalog和watsonx.aiStudio 的角色和权限。 请参阅 IBM Knowledge Catalog和watsonx.aiStudio 的用户角色和权限。 IBM Cloud Object Storage有自己的一套服务访问角色。 请参阅设置 IBM Cloud Object Storage 以用于 Cloud Pak for Data 即服务。
下表列出了IBM Cloud Pak for Data类别、目录和项目的服务访问角色权限:
| 角色 | 类别 | 目录 | 项目 |
|---|---|---|---|
| 管理员 | 管理 | 管理 | 管理 |
| CloudPak 数据专员 | 访问权 | 访问权 | 无 |
| CloudPak 数据工程师 | 访问权 | 访问权 | 无 |
| CloudPak 数据研究员 | 无 | 访问权 | 无 |
| 报告管理员 | 无 | 访问权 | 无 |
| CloudPak 数据质量分析人员 | 无 | 无 | 无 |
有关这些角色的权限和相关操作的完整列表,请参阅 IBM Knowledge Catalog和watsonx.aiStudio 的用户角色和权限。
下表显示了针对类别和目录的 所有启用身份和访问权的服务 的 IAM Service 访问角色的许可权:
| 角色 | 类别 | 目录 |
|---|---|---|
| 管理员 | 管理 | 管理 |
| 作者 | 无 | 管理 |
| 阅读者 | 无 | 查看 |
工作空间合作者角色
您在特定工作空间中的角色决定了您可以在该工作空间中执行的操作。 IAM 角色不会影响您在工作空间中的角色。 例如,您可以是云帐户的 管理员 ,但这不会自动使您成为项目或目录的管理员。 必须显式分配项目 (或其他工作空间) 的 管理员 合作者角色。 同样,角色特定于每个项目。 您可以在项目中具有 管理员 角色,这使您能够完全控制该项目的内容,包括管理合作者和资产。 但是,您可以在另一个项目中具有 查看者 角色,这允许您仅查看该项目的内容。
大多数工作空间都具有以下角色:
- 管理员:控制工作空间中的资产、合作者和设置。
- 编辑者:控制工作空间中的资产。
- 查看者:查看工作空间及其内容。
例外情况如下所示:
- 类别具有 所有者 和 复审者 角色,这些角色的许可权与 管理员 和 查看者略有不同。
- Data Virtualization有自己的工作区角色。
Cloud Pak for Data as a Service 包含以下类型的工作空间:
- 类别,用于组织监管工件。
- 目录,用于在组织中共享资产。
- 项目,用于处理数据。
- 部署空间,用于部署资产。
- 虚拟视图 ,用于从多个数据源创建虚拟表。 Data Virtualization有四个与虚拟视图相关的专用用户角色。 有关详细信息,请参阅管理Data Virtualization中的用户角色。
与每个角色相关联的许可权都特定于工作空间类型:
了解更多信息
- IBM Cloud 文档:什么是 IBM Cloud 身份和访问权管理?
- IBM Cloud文档:IAM 访问
- IBM Cloud文档:设置访问组
- 为您的组织设置 Cloud Pak for Data 即服务
- 管理 Cloud Pak for Data 即服务
- 查找 IBM Cloud 帐户所有者或管理员
- 确定您的角色
- 管理Data Virtualization中的用户角色
父主题: 向帐户添加用户