Cloud Pak for Data as a Service のユーザー・アクセス役割のレベル
Cloud Pak for Data as a Service の各ユーザーには、対応する許可またはアクションを持つ複数のレベルの役割があります。 許可によって、ユーザーがプラットフォーム上またはサービス内で実行できるアクションが決まります。 IBM Cloudで設定される役割と、 Cloud Pak for Data as a Serviceで設定される役割があります。
IBM Cloud アカウントの所有者または管理者は、 IBM Cloud アカウントに ID およびアクセス (IAM) のプラットフォーム・アクセス役割とサービス・アクセス役割を設定します。 Cloud Pak for Data as a Service のワークスペース管理者は、ワークスペース (プロジェクト、デプロイメント・スペース、カタログ、カテゴリー、仮想ビューなど) のコラボレーター役割を設定します。
Cloud Pak for Data as a Serviceのユーザー・アクセスを構成するには、 IBM Cloud IAM 機能、アクセス・グループ、プラットフォーム役割、およびサービス役割に精通している必要があります。 IBM Cloud の IAM プラットフォーム役割とサービス役割の説明については、 IBM Cloud の資料: IAM アクセス権限 を参照してください。
個々のユーザーに役割のセットを割り当てる代わりに、アクセス・グループを作成して、ユーザーのグループのアクションを統合することができます。 アクセス・グループ (ユーザー・グループとも呼ばれる) には、ユーザーのグループに割り当てる役割と対応する許可が含まれています。 アクセス・グループは、複数のユーザーの許可を編成することにより、役割の割り当てを迅速化します。 IAM アクセス・グループの操作を参照してください。
この図は、各ユーザーが Cloud Pak for Data as a Serviceで作業できるように、各ユーザーに割り当てられたさまざまなレベルの役割を示しています。
役割のレベルは以下のとおりです。
- IAM プラットフォーム・アクセス役割 によって、 IBM Cloud アカウントに対する権限が決まります。 サービスを操作するには、少なくとも ビューアー 役割が必要です。
- IAM Service のアクセス役割 によって、サービス内の権限が決まります。
- ワークスペース・コラボレーター役割 は、 Cloud Pak for Data as a Serviceのワークスペース内で実行する権限を持つアクションを決定します。 ワークスペースは、プロジェクト、デプロイメント・スペース、カタログ、カテゴリー、および仮想ビューです。
IAM プラットフォーム・アクセス役割
IAM プラットフォーム・アクセス役割は、 IBM Cloud アカウントで割り当てられ、管理されます。
IAM プラットフォーム・アクセス役割は、 IBM Cloud アカウントを管理する権限、および Cloud Pak for Data as a Service内のサービスにアクセスする権限を付与します。 プラットフォーム・アクセス役割は、 ビューアー、 オペレーター、 エディター、および 管理者です。 プラットフォーム役割は、 IBM Cloud上のすべてのサービスで使用できます。
ビューアー 役割には、最小限の表示専用権限があります。 ユーザーが Cloud Pak for Data as a Serviceのサービスを表示するには、少なくとも ビューアー の役割が必要です。 ビューアー は以下のことができます:
- 使用可能なサービス・インスタンスおよび資産を表示しますが、変更はしません
- サービスをプロジェクトに関連付けます。
- プロジェクトまたはカタログでコラボレーターになります。
- Cloud Object Storageに対する適切な権限が割り当てられている場合は、プロジェクト、デプロイメント・スペース、およびカタログを作成します。
オペレーター 役割には、既存のサービス・インスタンスを構成する権限があります。 オペレーター は以下のことができます:
- Watson Queryのサービス・インスタンスの設定と運用(プロビジョニングは行おこな行いません)。
- Watson Query のサービス・ダッシュボードを表示します。
「エディター」 役割は、以下のアクションへのアクセスを提供します。
- すべてのビューアー役割の権限。
- サービスのインスタンスをプロビジョンします。
- サービス・インスタンスのプランを更新します。
管理者 役割は、アカウントの 所有者 役割と同じ権限を提供します。 管理者 ロールを使用すると、以下を行うことができます:
- ビューアー、オペレーター、およびエディターのすべての権限。
- サービスのすべての管理アクションを実行します。
- IBM Cloud アカウントへのユーザーの追加と役割の割り当て
- Cloud Pak for Data as a Service での管理用タスクの実行
- Cloud Pak for Data as a Service のサービスを管理する
- アクセス・グループのセットアップ
- カスタム・サービス役割を作成します。
IAM プラットフォームのアクセス役割について詳しくは、 IBM Cloud の資料: IBM Cloud Identity and Access Managementとは?を参照してください。
IAM サービス・アクセス権限ロール
サービス役割は個々のサービスに適用され、サービス内で許可されるアクションを定義します。 IBM Cloud Pak for Data サービスには、 IBM Knowledge Catalog および Watson Studioに適用される役割と権限が含まれています。 IBM Knowledge Catalog および Watson Studioのユーザーの役割と許可を参照してください。 IBM Cloud Object Storage には、独自のサービス・アクセス役割のセットがあります。 Cloud Pak for Data as a Serviceで使用するための IBM Cloud Object Storage のセットアップを参照してください。
以下の表に、カテゴリー、カタログ、およびプロジェクトに対する IBM Cloud Pak for Data のサービス・アクセス役割の許可を示します。
役割 | カテゴリー | カタログ | プロジェクト |
---|---|---|---|
管理者 | 管理 | 管理 | 管理 |
CloudPak データ・スチュワード | アクセス | アクセス | なし |
CloudPak データ・エンジニア | アクセス | アクセス | なし |
CloudPak データ・サイエンティスト | なし | アクセス | なし |
レポート管理者 | なし | アクセス | なし |
CloudPak データ品質アナリスト | なし | なし | なし |
権限およびこれらの役割に関連付けられたアクションの完全なリストについては、 IBM Knowledge Catalog および Watson Studioのユーザー役割と権限を参照してください。
以下の表に、カテゴリーおよびカタログの 「すべての ID およびアクセス対応サービス」 の IAM Service アクセス役割の許可を示します。
役割 | カテゴリー | カタログ |
---|---|---|
管理者 | 管理 | 管理 |
ライター | なし | 管理 |
リーダー | なし | 表示 |
ワークスペース・コラボレーターの役割
特定のワークスペースでの役割によって、そのワークスペースで実行できるアクションが決まります。 IAM 役割は、ワークスペース内の役割には影響しません。 例えば、クラウド・アカウントの 管理者 になることはできますが、自動的にプロジェクトまたはカタログの管理者になることはありません。 プロジェクト (またはその他のワークスペース) の 「管理者」 コラボレーター役割を明示的に割り当てる必要があります。 同様に、役割は各プロジェクトに固有です。 プロジェクト内で 管理者 役割を持つことができます。これにより、コラボレーターおよび資産の管理を含む、そのプロジェクトのコンテンツを完全に制御できます。 ただし、別のプロジェクトで ビューアー 役割を持つことができます。これにより、そのプロジェクトの内容のみを表示できます。
ほとんどのワークスペースには、以下の役割があります:
- 管理者: ワークスペース内の資産、コラボレーター、および設定を制御します。
- 編集者: ワークスペース内の資産を制御します。
- ビューアー: ワークスペースとその内容を表示します。
例外は以下のとおりです。
- カテゴリーには、 「管理者」 および 「ビューアー」とは若干異なる権限を持つ 「所有者」 役割と 「レビューアー」 役割があります。
- Watson Query には、独自のワークスペース役割があります。
Cloud Pak for Data as a Service には、以下のタイプのワークスペースが含まれています:
- ガバナンス成果物を編成するための カテゴリ です。
- 組織全体で資産を共有するためのカタログです。
- データを処理するための プロジェクトです 。
- 資産をデプロイするための デプロイメント・スペース です。
- 複数のデータ・ソースから仮想表を作成するための 仮想ビュー です。 Watson Query には、仮想ビューに関連する 4 つの専用ユーザー・ロールがあります。 詳しくは、 Watson Query でのユーザーの役割の管理を参照してください。
各役割に関連付けられている許可は、ワークスペースのタイプに固有です:
もっと見る
- IBM Cloud 資料: IBM Cloud Identity and Access Management とは何ですか?
- IBM Cloud 資料: IAM アクセス
- IBM Cloud 資料: アクセス・グループのセットアップ
- 組織に対する Cloud Pak for Data as a Service のセットアップ
- Cloud Pak for Data as a Service の管理
- IBM Cloud アカウント所有者または管理者を検索する
- 役割を決定する
- Watson Query でのユーザーの役割の管理
親トピック: アカウントへのユーザーの追加