Cloud Pak for Data as a Service 的帐户安全机制由 IBM Cloud提供。 这些安全机制 (包括 SSO 和基于角色的,基于组的和基于服务的访问控制) 可保护对资源的访问并提供用户认证。
| 机制 | 用途 | 勇于担责 | 配置位置 |
|---|---|---|---|
| 访问 (IAM) 角色 | 为服务提供基于角色的访问控制 | 客户 | IBM Cloud |
| 访问组 | 配置访问组和策略 | 客户 | IBM Cloud |
| 资源组 | 将资源组织到组中并分配访问权 | 客户 | IBM Cloud |
| 服务级别角色 | 为 IBM Knowledge Catalog提供基于角色的访问控制 | 客户 | IBM Cloud |
| 服务标识 | 支持 IBM Cloud 外的应用程序访问 IBM Cloud 服务 | 客户 | IBM Cloud |
| 服务标识 API 密钥 | 向服务标识认证应用程序 | 客户 | IBM Cloud |
| Activity Tracker | 监视与 Cloud Pak for Data 即服务相关的事件 | 客户 | IBM Cloud |
| 多因子认证 (MFA) | 要求用户使用标识和密码以外的方法进行认证 | 客户 | IBM Cloud |
| 单点登录认证 | 使用身份提供者 (IdP) 进行连接,以使用 SAML 联合进行单点登录 (SSO) 认证 | 共享 | IBM Cloud |
IAM 访问角色
可以使用 IAM 访问角色向用户提供对属于一个资源组的所有资源的访问权。 还可以为用户提供访问权,用于管理资源组和创建新服务实例以分配给资源组。
有关逐步指示信息,请参阅 IBM Cloud 文档:分配资源访问权
访问组
在帐户中设置并组织资源组之后,可以使用访问组来简化访问管理。 创建访问组,以将一组用户和服务标识组织到单个实体中。 然后,可以通过向访问组分配策略,将策略分配给所有组成员。 因此,您只需将单个策略分配给访问组,而无需为每个用户或服务标识多次分配同一策略。
使用访问组后,您可以通过对访问组中的所有身份授予相同访问权,最大程度降低所管理的已分配策略数。
有关更多信息,请参阅:
资源组
使用资源组将帐户的资源组织到有助于访问控制的逻辑组中。 您可以针对组分配访问权,而不是针对各个资源分配访问权。 资源是由 IAM 管理的任何服务,如数据库。 不论何时从 Cloud 目录创建服务实例,都必须将其分配至资源组。
资源组与访问组策略相结合,提供了管理用户组资源访问权的一种方式。 通过将用户包含在访问组中,并向资源组分配访问组,您可以提供对该组中所包含资源的访问权。 这些资源不可用于非成员。
Lite 账户只有一个名为 "Default "的资源组,因此所有资源都放在 Default 资源组中。 管理员可通过付费帐户创建多个资源组,以支持您的业务,并根据需要提供对资源的访问权。
有关逐步指示信息,请参阅 IBM Cloud 文档:管理资源组
有关配置资源组以提供安全访问权的提示,请参阅 IBM Cloud 文档:用于组织资源和分配访问权的最佳实践
您可以将您的watsonx.aiStudio、IBM Knowledge Catalog或watsonx.aiRuntime 服务实例从Cloud Foundryorg 和空间迁移到IBM Cloud 中的资源组。 请参见 将服务实例从 Cloud Foundry org 和空间迁移到资源组。
服务级别角色
服务级别角色控制对 IBM Knowledge Catalog的访问。 可分配预定义角色或定制角色。
请参阅用户角色和许可权
服务标识
您可以在 IBM Cloud 中创建服务标识,以便 IBM Cloud 外部的应用程序能够访问您的 IBM Cloud 服务。 服务标识并不与特定用户绑定。 如果用户离开组织并从帐户中删除,那么服务标识将保持不变,以确保您的服务继续正常运行。 分配给每个服务标识的访问策略可确保您的应用程序具有相应的访问权以进行 IBM Cloud 服务认证。 请参阅项目合作者。
一种使用服务标识和访问策略的方式是管理对 Cloud Object Storage 存储区的访问权。 请参阅 控制对 Cloud Object Storage 存储区的访问。
有关更多信息,请参阅 IBM Cloud 文档: 创建和使用服务标识。
服务标识 API 密钥
出于额外保护目的,服务标识可与唯一 API 密钥结合使用。 与服务标识相关联的 API 密钥可设置为一次性使用或无限制使用。 有关更多信息,请参阅 IBM Cloud 文档: 管理服务标识 API 密钥。
Activity Tracker
Activity Tracker 收集并存储对 IBM Cloud 中运行的资源进行的 API 调用(事件)的审计记录。 您可以使用 Activity Tracker 监视 IBM Cloud 帐户的活动,以调查异常活动和关键操作,并遵守监管审计要求。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。 生成 Activity Tracker 事件的 IBM 服务遵循 IBM Cloud 安全策略。
有关应用于 Cloud Pak for Data as a Service的事件的列表,请参阅 Activity Tracker 事件。
有关配置Activity Tracker 的说明,请参阅IBM Clouddocs:开始使用IBM Cloud Activity Tracker。
多因素认证
多因子认证(或 MFA)会在登录时要求采用多种认证方法,以增加额外的安全层。 输入有效用户名和密码后,用户还必须满足第二种认证方法。 例如,通过文本或电子邮件向用户发送时效性验证码。 必须输入正确的验证码才能完成登录过程。
有关更多信息,请参阅 IBM Cloud 文档: 多因子认证类型。
单点登录认证
单点登录 (SSO) 是一种认证方法,使用户能够登录到使用一组凭证的多个相关应用程序。
Cloud Pak for Data as a Service 支持使用安全性断言标记语言 (SAML) 联合标识的 SSO。 SAML 联合需要与 IBM 协调配置。 SAML 将 IBMid 与身份提供者 (IdP) 提供的用户凭证连接。 对于已使用 IBM配置 SAML 联合的公司,用户可以使用其公司凭证登录到 Cloud Pak for Data as a Service 。 SAML 联合是使用 Cloud Pak for Data as a Service进行 SSO 配置的建议方法。
IBMid企业联盟描述了联盟身份提供商IdP)所需的步骤。 您需要一个 IBM 发起方,该发起方是 IBM 员工,充当您与 IBMid 团队之间的联系人。
有关 SAML 联合的概述,请参阅 IBM Cloud docs:IBM Cloud 中存在哪些 SAML 联合选项?、 其中讨论了 SAML 联合和IBM Cloud App ID。 IBM Cloud App ID作为 Beta 版与Cloud Pak for Data as a Service 一起提供支持。
父主题: 安全性