Rollen in Cloud Pak for Data as a Service

Jeder Benutzer von Cloud Pak for Data as a Service verfügt über mehrere Ebenen von Rollen. Die IAM-Rollen (IAM = Identity and Access) für Plattformzugriff und Servicezugriff werden vom IBM Cloud-Kontoeigner oder -Administrator für das IBM Cloud-Konto festgelegt. Mitarbeiterrollen für Arbeitsbereiche wie Projekte, Bereitstellungsbereiche, Kataloge, Kategorien und virtuelle Ansichten werden in jedem Arbeitsbereich von Arbeitsbereichsadministratoren festgelegt.

Das Zuordnen von Rollen zu einzelnen Benutzern können Sie umgehen, indem Sie Zugriffsgruppen erstellen. Zugriffsgruppen enthalten Rollen, die einer Gruppe von Benutzern zugeordnet werden sollen. Mitglieder von Zugriffsgruppen verfügen über dieselben Berechtigungen. Zugriffsgruppen beschleunigen das Zuordnen von Rollen, indem sie Berechtigungen für mehrere Benutzer zusammenfassen. Weitere Informationen hierzu finden Sie unter Mit Zugriffsgruppen arbeiten.

In dieser Abbildung sind die verschiedenen Typen von Rollen dargestellt, die jeder Benutzer haben kann.

Jeder Benutzer kann über IAM-Plattformzugriffsrollen, IAM-Servicezugriffsrollen und Mitarbeiterrollen verfügen.

  • IAM-Plattformzugriffsrollen bestimmen Ihre Berechtigungen im IBM Cloud-Konto. Für die Arbeit mit Services wird als Mindestberechtigung die Rolle Anzeigeberechtigter benötigt.
  • IAM-Servicezugriffsrollen bestimmen Ihre Berechtigungen innerhalb von Services, z. B. für den Arbeitsbereichszugriff für Cloud Pak for Data as a Service.
  • Mitarbeiterrollen für Arbeitsbereiche legen fest, welche Aktionen Sie in einem bestimmten Arbeitsbereich ausführen dürfen. Beispiele für Arbeitsbereiche sind Projekte, Bereitstellungsbereiche, Kataloge, Kategorien und virtuelle Ansichten.

IAM-Plattformzugriffsrollen

Die IAM-Plattformzugriffsrollen werden im IBM Cloud-Konto zugewiesen und verwaltet. Zum Anzeigen der Liste der Services für das Konto muss der Benutzer zumindest über die Rolle Anzeigeberechtigter verfügen. Wenn Sie die IAM-Plattformzugriffsrolle Eigner oder Administrator aufweisen, steuern Sie das IBM Cloud-Konto. Die Rolle Eigner wird automatisch dem Ersteller des Kontos zugewiesen. Als Eigner oder als Administrator sind Sie in Cloud Pak for Data as a Service für Folgendes zuständig:

Wenn Sie zumindest über die IAM-Plattformzugriffsrolle Anzeigeberechtigter verfügen, richten sich Ihre Berechtigungen in Cloud Pak for Data as a Service nach Ihren Cloud Pak for Data as a Service-Servicezugriffsrollen (Manager, Administrator für Berichterstellung, CloudPak-Data-Steward, CloudPak-Data-Engineer oder CloudPak-Data-Scientist).

Informationen zu IAM-Plattformzugriffsrollen finden Sie in der IBM Cloud-Dokumentation im Abschnitt zu dem Thema 'Was ist IBM Cloud Identity and Access Management?'.

IAM-Servicezugriffsrollen

{: #service}Die vordefinierten IAM-Servicezugriffsrollen für Cloud Pak for Data as a Service legen die Arbeitsbereiche fest, auf die Sie zugreifen und die Sie verwalten können und bestimmen, ob Sie bestimmte andere Aktionen ausführen können.

Für Arbeitsbereiche stellen die IAM-Servicezugriffsrollen diese Hauptberechtigungen bereit:

  • Zugriffsberechtigung: Sie können dem Typ des Arbeitsbereichs als Mitarbeiter hinzugefügt werden.
  • Verwalten Sie die Berechtigung: Sie können die Mitarbeiter und andere Inhalte dieses Arbeitsbereichs erstellen, löschen und verwalten.

Die Servicezugriffsrollen hängen davon ab, welche Option der Accounteigentümer oder -administrator aus der Serviceliste auswählt:

  • IBM Cloud Pak for Data stellt die Servicezugriffsrollen Manager, Berichtsadministrator, CloudPak-Data-Steward, CloudPak-Data-Engineer und CloudPak-Data-Scientist bereit.
  • Die Rolle Alle Services mit aktiviertem Identity and Access Management stellt die Servicezugriffsrollen Manager, Schreibberechtigter und Leseberechtigter bereit.

Im Folgenden werden die Rollen IBM Cloud Pak for Data und Alle Services mit aktiviertem Identity and Access Management verglichen:

  • Die Rolle Manager ist bei beiden Optionen gleich.
  • Die Rollen Schreibberechtigter und CloudPak-Data-Scientist sind äquivalent.

Cloud Pak for Data as a Service enthält die folgenden Typen von Arbeitsbereichen:

Die folgende Tabelle enthält die Berechtigungen für IAM-Servicezugriffsrollen für Cloud Pak for Data as a Service, die für die meisten Typen von Arbeitsbereichen gelten:

Rolle Kategorien Kataloge Projekte Bereitstellungsbereich
Manager verwalten verwalten verwalten verwalten
CloudPak-Data-Steward Zugriff Zugriff verwalten verwalten
CloudPak-Data-Engineer Zugriff Zugriff verwalten verwalten
CloudPak-Data-Scientist Keine Zugriff verwalten verwalten
Administrator für Berichterstellung Keine Zugriff verwalten verwalten
Anzeigeberechtigter Keine Ansicht Ansicht Ansicht

Eine vollständige Liste der Berechtigungen und zugehörigen Aktionen für diese Rollen finden Sie unter Benutzerrollen und Berechtigungen.

Die folgende Tabelle enthält die Berechtigungen für IAM-Servicezugriffsrollen für die Rolle Alle für Identity and Access aktivierten Services, die für die meisten Typen von Arbeitsbereichen gelten:

Rolle Kategorien Kataloge Projekte Bereitstellungsbereich
Manager verwalten verwalten verwalten verwalten
Schreibberechtigter Keine Zugriff verwalten verwalten
Leseberechtigter Keine Ansicht Ansicht Ansicht

Collaborator-Rollen in Arbeitsbereichen

Ihre Rolle in einem bestimmten Arbeitsbereich legt fest, welche Aktionen Sie in diesem Arbeitsbereich ausführen können. Ihre IAM-Rollen wirken sich nicht auf Ihre Rolle in einem Arbeitsbereich aus. Auch wenn Sie beispielsweise der Administrator des Cloud-Kontos sind, werden Sie dadurch nicht automatisch zu einem Administrator für ein bestimmtes Projekt. Die Rolle des Verwaltungsmitarbeiters für ein Projekt (oder einen anderen Arbeitsbereich) muss explizit zugewiesen werden. Ebenso variieren auch die Rollen für die einzelnen Projekte. Möglicherweise haben Sie die Rolle Administrator in einem Projekt, die Ihnen den uneingeschränkten Zugriff auf den Inhalt des Projekts gibt, die Verwaltung von Mitarbeitern und Assets eingeschlossen. Sie können jedoch in einem anderen Projekt lediglich über die Rolle Anzeigeberechtigter verfügen, sodass Sie den Inhalt dieses Projekts nur anzeigen können.

Für die meisten Arbeitsbereiche sind die folgenden Rollen verfügbar:

  • Administrator: Assets, Mitarbeiter und Einstellungen im Arbeitsbereich steuern.
  • Bearbeiter: Assets im Arbeitsbereich steuern.
  • Anzeigeberechtigter: Arbeitsbereich und den zugehörigen Inhalt anzeigen.

Kategorien verfügen auch über die Rollen Eigner und Überprüfer, die geringfügig andere Berechtigungen als Administrator und Anzeigeberechtigter beinhalten. Watson Query verfügt über eine eigene Gruppe von Arbeitsbereichsrollen.

Die Berechtigungen, die jeder Rolle zugeordnet sind, sind für den Typ des Arbeitsbereichs spezifisch:

Weitere Informationen

Übergeordnetes Thema: Benutzer zum Konto hinzufügen