Los mecanismos de seguridad de cuenta para Cloud Pak for Data as a Service los proporciona IBM Cloud. Estos mecanismos de seguridad, incluidos SSO y el control de acceso basado en roles, basado en grupos y basado en servicios, protegen el acceso a los recursos y proporcionan autenticación de usuario.
Mecanismo: | Objetivo | Responsabilidad | Configurado el |
---|---|---|---|
Roles de acceso (IAM) | Proporcionar control de acceso basado en roles para servicios | Cliente | IBM Cloud |
Grupos de acceso | Configurar grupos de acceso y políticas | Cliente | IBM Cloud |
Grupos de recursos | Organizar los recursos en grupos y asignar acceso | Cliente | IBM Cloud |
Roles de nivel de servicio | Proporcionar control de acceso basado en roles a IBM Knowledge Catalog | Cliente | IBM Cloud |
ID de servicio | Habilita una aplicación fuera del acceso de IBM Cloud a los servicios de IBM Cloud | Cliente | IBM Cloud |
Claves de API de ID de servicio | Autentica una aplicación en un ID de servicio | Cliente | IBM Cloud |
Activity Tracker | Supervisar sucesos relacionados con Cloud Pak for Data as a Service | Cliente | IBM Cloud |
Autenticación de multifactores (MFA) | Requerir que los usuarios se autentiquen con un método más allá del ID y la contraseña | Cliente | IBM Cloud |
Autenticación de inicio de sesión único | Conéctese con un proveedor de identidad (IdP) para la autenticación de inicio de sesión único (SSO) utilizando la federación SAML | Compartida | IBM Cloud |
Roles de acceso de IAM
Puede utilizar los roles de acceso de IAM para proporcionar a los usuarios acceso a todos los recursos que pertenecen a un grupo de recursos. También puede otorgar a los usuarios acceso para gestionar grupos de recursos y crear nuevas instancias de servicio que se asignan a un grupo de recursos.
Para obtener instrucciones paso a paso, consulte Documentos de IBM Cloud: Asignación de acceso a recursos
Grupos de acceso
Después de configurar y organizar grupos de recursos en su cuenta, puede agilizar la gestión de acceso utilizando grupos de acceso. Cree grupos de acceso para organizar un conjunto de usuarios e ID de servicio en una sola entidad. A continuación, puede asignar una política a todos los miembros del grupo asignándola al grupo de acceso. Por consiguiente, puede asignar una única política al grupo de acceso en lugar de asignar la misma política varias veces por ID de servicio o usuario individual.
Mediante el uso de grupos de acceso, puede gestionar mínimamente el número de políticas asignadas otorgando el mismo acceso a todas las identidades de un grupo de acceso.
Para obtener más información, consulte:
Grupos de recursos
Utilice grupos de recursos para organizar los recursos de su cuenta en grupos lógicos que ayudan con el control de acceso. En lugar de asignar acceso a los recursos individuales, puede asignar acceso al grupo. Los recursos son cualquier servicio gestionado por IAM como, por ejemplo, bases de datos. Cuando crea una instancia de servicio desde el catálogo de Cloud, debe asignarla a un grupo de recursos.
Los grupos de recursos trabajan con políticas de grupo de acceso para proporcionar una forma de gestionar el acceso a los recursos por parte de grupos de usuarios. Al incluir un usuario en un grupo de acceso y asignar el grupo de acceso a un grupo de recursos, se otorga acceso a los recursos contenidos en el grupo. Estos recursos no están disponibles para los no miembros.
La cuenta Lite viene con un único grupo de recursos, denominado "Default", por lo que todos los recursos se colocan en el grupo de recursos predeterminado. Mediante las cuentas de pago, los administradores pueden crear varios grupos de recursos para dar soporte a su empresa y proporcionar acceso a los recursos según sea necesario.
Para obtener instrucciones paso a paso, consulte Documentos de IBM Cloud: Gestión de grupos de recursos
Para ver sugerencias sobre cómo configurar los grupos de recursos para proporcionar acceso seguro, consulte Documentos de IBM Cloud: Prácticas recomendadas para organizar recursos y asignar acceso
Puede migrar su instancia de Studio ' watsonx.ai, ' IBM Knowledge Catalog, o ' watsonx.ai Runtime Service desde un org y espacio ' Cloud Foundry a un grupo de recursos en ' IBM Cloud. Ver Migra tus instancias de servicio desde un Cloud Foundry organización y espacio para un grupo de recursos.
Roles de nivel de servicio
Los roles de nivel de servicio controlan el acceso a IBM Knowledge Catalog. Se pueden asignar roles predefinidos o personalizados.
Consulte Roles y permisos de usuario
ID de servicio
Puede crear los ID de servicio en IBM Cloud para habilitar una aplicación fuera del acceso de IBM Cloud en sus servicios de IBM Cloud. Los ID de servicio no están vinculados a un usuario específico. Si un usuario abandona una organización y se suprime de la cuenta, el ID de servicio permanece intacto para asegurarse de que el servicio continúa funcionando. Las políticas de acceso que se asignan a cada ID de servicio garantizan que la aplicación tenga el acceso adecuado para la autenticación con los servicios de IBM Cloud. Consulte Colaboradores del proyecto.
Una forma de utilizar los ID de servicio y las políticas de acceso es gestionar el acceso a los grupos de Cloud Object Storage. Consulte Control del acceso a los grupos de Cloud Object Storage.
Para obtener más información, consulte Documentos deIBM Cloud : Creación y trabajo con ID de servicio.
Claves de API del ID de servicio
Para obtener una protección adicional, los ID de servicio se pueden combinar con claves de API exclusivas. La clave de API asociada a un ID de servicio se puede establecer para un uso exclusivo o ilimitado. Para obtener más información, consulte Documentos deIBM Cloud : Gestión de claves de API de ID de servicio.
Activity Tracker
Activity Tracker recopila y almacena registros de auditoría para llamadas de API (sucesos) realizados en recursos que se ejecutan en IBM Cloud. Puede utilizar Activity Tracker para supervisar la actividad de su cuenta de IBM Cloud para investigar la actividad anómala y las acciones críticas y para cumplir con los requisitos de auditoría normativa. Los sucesos que se recopilan cumplen con la normativa de Cloud Auditing Data Federation (CADF). Los servicios de IBM que generan sucesos de Activity Tracker siguen la política de seguridad de IBM Cloud .
Para obtener una lista de sucesos que se aplican a Cloud Pak for Data as a Service, consulte Sucesos deActivity Tracker.
Para obtener instrucciones sobre la configuración de Activity Tracker, consulte IBM Cloud docs: Introducción a IBM Cloud Activity Tracker.
Autenticación multifactor
La autenticación de multifactores (o MFA) añade una capa adicional de seguridad al requerir varios tipos de métodos de autenticación tras el inicio de sesión. Después de especificar un nombre de usuario y una contraseña válidos, los usuarios también deben satisfacer un segundo método de autenticación. Por ejemplo, se envía al usuario un código de acceso sensible al tiempo, ya sea mediante texto o correo electrónico. Se debe especificar el código de acceso correcto para completar el proceso de inicio de sesión.
Para obtener más información, consulte IBM Cloud docs: Tipos de autenticación de multifactores.
Autenticación de inicio de sesión único
El inicio de sesión único (SSO) es un método de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones relacionadas que utilizan un conjunto de credenciales.
Cloud Pak for Data as a Service da soporte a SSO utilizando los ID federados de SAML (Security Assertion Markup Language). La federación de SAML requiere la coordinación con IBM para configurar. SAML conecta IBMids con las credenciales de usuario proporcionadas por un proveedor de identidad (IdP). Para las empresas que han configurado la federación SAML con IBM, los usuarios pueden iniciar sesión en Cloud Pak for Data as a Service con sus credenciales de empresa. La federación de SAML es el método recomendado para la configuración de SSO con Cloud Pak for Data as a Service.
IBMid Enterprise Federation describe los pasos necesarios para federar su proveedor de identidadesIdP). Necesita un patrocinador de IBM , que es un empleado de IBM que trabaja como persona de contacto entre usted y el equipo de IBMid .
Para obtener una descripción general de la federación SAML, consulte IBM Cloud docs: ¿Qué opciones de federación SAML existen en IBM Cloud?, que trata tanto de la federación SAML como de IBM Cloud App ID. IBM Cloud App ID es compatible como versión Beta con Cloud Pak for Data as a Service.
Tema principal: Seguridad