Translation not up to date
Mechanismy zabezpečení účtu pro produkt Cloud Pak for Data as a Service jsou poskytovány produktem IBM Cloud. Tyto mechanismy zabezpečení, včetně SSO a založené na rolích, řízení přístupu založené na skupině a řízení přístupu založené na rolích, chrání přístup k prostředkům a poskytují autentizaci uživatelů.
| Mechanismus | Účel | Odpovědnost | Konfigurováno na |
|---|---|---|---|
| Přístupové role (IAM) | Poskytnout řízení přístupu na základě rolí pro služby | zákazník | IBM Cloud |
| Skupiny přístupů | Konfigurovat skupiny přístupů a zásady | zákazník | IBM Cloud |
| Skupiny prostředků | Uspořádat prostředky do skupin a přiřadit přístup | zákazník | IBM Cloud |
| Role na úrovni služeb | Poskytnout řízení přístupu založené na rolích do produktu Watson Knowledge Catalog . | zákazník | IBM Cloud |
| ID služeb | Umožňuje aplikaci mimo produkt IBM Cloud přístup ke službám IBM Cloud | zákazník | IBM Cloud |
| Klíče rozhraní API ID služby | Ověřuje aplikaci s ID služby | zákazník | IBM Cloud |
| Activity Tracker | Události monitorování související se službou Cloud Pak for Data as a Service | zákazník | IBM Cloud |
| Multifaktorové ověření (MFA) | Vyžadovat, aby se uživatelé ověřili pomocí metody mimo ID a heslo | zákazník | IBM Cloud |
| Ověření jednotného přihlášení | Spojte se s poskytovatelem identit (IdP) pro ověření jednotného přihlášení (SSO) pomocí federace SAML | Sdílený | IBM Cloud |
Přístupové role IAM
Přístupové role IAM můžete použít k poskytnutí přístupu uživatelům ke všem prostředkům, které patří do skupiny prostředků. Také můžete poskytnout uživatelům přístup pro správu skupin prostředků a vytvoření nových instancí služeb, které jsou přiřazeny ke skupině prostředků.
Pokyny k krokovým pokynům naleznete v dokumentu IBM Cloud docs: Přiřazování přístupu k prostředkům
Přístupové skupiny
Poté, co nastavíte a uspořádáte skupiny prostředků na svém účtu, můžete zefektivnit správu přístupu pomocí skupin přístupů. Vytvořte skupiny přístupů, abyste uspořádali sadu uživatelů a ID služeb do jediné entity. Poté můžete přiřadit zásadu ke všem členům skupiny tak, že ji přiřadíte ke skupině přístupů. Proto můžete přiřadit jednu zásadu do skupiny přístupů místo toho, abyste přiřadili stejnou zásadu vícekrát pro jednotlivé uživatele nebo ID služby.
Pomocí skupin přístupů můžete minimálně spravovat počet přiřazených zásad tím, že dáte stejnému přístupu ke všem identitám ve skupině přístupů.
Další informace viz:
Skupiny prostředků
Použijte skupiny prostředků k organizaci prostředků vašeho účtu do logických skupin, které pomáhají s řízením přístupu. Místo přiřazení přístupu k jednotlivým prostředkům přiřazujete přístup ke skupině. Prostředky jsou jakákoli služba, kterou spravuje IAM, jako jsou databáze. Kdykoli vytváříte instanci služby z katalogu Cloud, musíte ji přiřadit ke skupině prostředků.
Skupiny prostředků pracují se zásadami skupiny přístupů, aby poskytovaly způsob, jak spravovat přístup k prostředkům podle skupin uživatelů. Chcete-li zahrnout uživatele do skupiny přístupů a přiřadit skupinu prostředků skupině prostředků, získáte přístup k prostředkům obsaženým ve skupině. Tyto prostředky nejsou k dispozici pro nečleny.
Jednoduchý účet se dodává s jednou skupinou prostředků s názvem "Default", takže všechny prostředky jsou umístěny do výchozí skupiny prostředků. S placenými účty mohou administrátoři vytvořit více skupin prostředků pro podporu vašeho podnikání a poskytovat přístup k prostředkům na bázi, která je potřeba.
Pokyny k krokovým pokynům naleznete v tématu Dokumenty produktuIBM Cloud : Správa skupin prostředků
Rady pro konfiguraci skupin prostředků za účelem poskytnutí zabezpečeného přístupu viz dokumenty DokumentyIBM Cloud : Doporučené postupy pro uspořádání prostředků a přiřazení přístupu
Do skupiny prostředků v produktu IBM Cloudmůžete migrovat instanci produktu Watson Studio, Watson Knowledge Catalognebo Watson Machine Learning Service z organizace Cloud Foundry a do skupiny prostředků. Viz téma Migrace instancí služby ze Cloud Foundry organizace a prostoru do skupiny prostředků.
Role na úrovni služeb
Role na úrovni služeb řídí přístup k produktu Watson Knowledge Catalog. Předdefinované nebo vlastní role lze přiřadit.
ID služeb
ID služeb můžete vytvořit v produktu IBM Cloud , chcete-li povolit aplikaci mimo produkt IBM Cloud k vašim službám IBM Cloud . ID služeb nejsou svázána se specifickým uživatelem. Pokud uživatel opustí organizaci a odstraní se z účtu, zůstane ID služby neporušené, aby se zajistilo, že vaše služba bude i nadále fungovat. Zásady přístupu přiřazené k jednotlivým ID služeb zajišťují, aby vaše aplikace měla příslušný přístup pro ověření ve službách IBM Cloud . Viz termín spolupracovníci projektu.
Jedním ze způsobů, jak se mohou použít ID služeb a zásady přístupu, je správa přístupu k sektorům Cloud Object Storage . Viz Řízení přístupu k sektorům produktu Cloud Object Storage.
Další informace naleznete v dokumentu IBM Cloud docs: Vytvoření a práce s ID služeb.
Klíče rozhraní API ID služby
Pro další ochranu lze ID služeb kombinovat s jedinečnými klíči rozhraní API. Klíč rozhraní API, který je přidružený k ID služby, může být nastaven pro jednorázové použití nebo neomezené použití. Další informace naleznete v tématu Dokumenty produktuIBM Cloud : Správa klíčů rozhraní API pro ID služeb.
Activity Tracker
Activity Tracker shromažďuje a ukládá záznamy auditu pro volání rozhraní API (události) provedených na prostředky, které se spouští v prostředí IBM Cloud. Modul Activity Tracker můžete použít k monitorování aktivity vašeho účtu IBM Cloud k prozkoumání abnormálních aktivit a kritických akcí a k zajištění souladu s požadavky regulačního auditu. Události, které se shromažďují, odpovídají standardu CADF (Cloud Auditing Data Federation). Služby IBM , které generují události Activity Tracker , se řídí zásadami zabezpečení IBM Cloud .
Seznam událostí, které se použijí na Cloud Pak for Data as a Service, naleznete v tématu UdálostiActivity Tracker.
Pokyny ke konfiguraci produktu Activity Trackernaleznete v dokumentu IBM Cloud docs: Getting started with IBM Cloud Activity Tracker.
Vícefaktorové ověření
Vícefaktorové ověření (nebo MFA) přidává další vrstvu zabezpečení tím, že vyžaduje více typů metod ověření při přihlášení. Po zadání platného jména uživatele a hesla musí uživatelé také splnit druhou metodu ověření. Např. přístupové heslo s časovým rozlišením se odešle uživateli buď prostřednictvím textu, nebo e-mailu. Chcete-li dokončit proces přihlášení, musíte zadat správné přístupové heslo.
Další informace naleznete v tématu Dokumenty produktuIBM Cloud : Typy vícefaktorové autentizace.
Ověření jednotného přihlášení
Jednotné přihlášení (SSO) je metoda ověření, která umožňuje uživatelům přihlásit se k více souvisejícím aplikacím, které používají jednu sadu pověření.
Cloud Pak for Data as a Service podporuje jednotné přihlášení pomocí federovaných ID jazyka SAML (Security Assertion Markup Language). Federace SAML vyžaduje koordinaci s produktem IBM ke konfiguraci. Protokol SAML spojuje IBMids s uživatelskými pověřeními, která poskytuje poskytovatel identity (IdP). Pro společnosti, které mají nakonfigurovanou federaci SAML s IBM, se uživatelé mohou přihlásit do Cloud Pak for Data as a Service s pověřeními své společnosti. Federování SAML je doporučovaná metoda pro konfiguraci SSO se službou Cloud Pak for Data as a Service.
IBMid Enterprise Federation Adoption Guide popisuje kroky, které jsou zapotřebí ke sdružení vašeho poskytovatele identity (IdP). Potřebujete Sponzor IBM , který je zaměstnancem společnosti IBM , který pracuje jako kontaktní osoba mezi vámi a týmem IBMid .
Přehled federace SAML viz příručka IBM Cloud SAML Federation Guide. Tento blog pojednává o federaci SAML a IBM Cloud App ID. Produkt IBM Cloud App ID je podporován jako beta verze s produktem Cloud Pak for Data as a Service.
Nadřízené téma: Zabezpečení