Les mécanismes de sécurité de compte pour Cloud Pak for Data as a Service sont fournis par IBM Cloud. Ces mécanismes de sécurité, notamment la connexion unique et le contrôle d'accès basé sur les rôles, les groupes et les services, protègent l'accès aux ressources et permettent l'authentification des utilisateurs.
| Mécanisme | Objectif | Responsibilité | Configurée sur |
|---|---|---|---|
| Rôles d'accès (IAM) | Fournir un contrôle d'accès basé sur les rôles pour les services | Client | IBM Cloud |
| Groupes d'accès | Configurer des groupes et règles d'accès | Client | IBM Cloud |
| Groupes de ressources | Organiser les ressources en groupes et donner accès | Client | IBM Cloud |
| Rôles de niveau service | Fournir un contrôle d'accès basé sur les rôles à IBM Knowledge Catalog | Client | IBM Cloud |
| ID de service | Activer une application en dehors de l'accès IBM Cloud à vos services IBM Cloud | Client | IBM Cloud |
| Clés d'API d'ID de service | Authentifier une application pour un ID de service | Client | IBM Cloud |
| Activity Tracker | Surveiller les événements liés à Cloud Pak for Data as a Service | Client | IBM Cloud |
| Authentification multi-facteur (MFA) | Demander aux utilisateurs de s'authentifier à l'aide d'une méthode en plus d'un ID et d'un mot de passe | Client | IBM Cloud |
| Authentificationunique | Connexion à un fournisseur d'identité (IdP) pour l'authentification par connexion unique (SSO) à l'aide de la fédération SAML | Partagé | IBM Cloud |
Rôles d'accès IAM
Vous pouvez utiliser des rôles d'accès IAM afin que les utilisateurs puissent accéder à toutes les ressources appartenant à un groupe de ressources. Vous pouvez également accorder aux utilisateurs les droits leur permettant de gérer des groupes de ressources et de créer des instances de service affectées à un groupe de ressources.
Pour les instructions détaillées, voir Documentation IBM Cloud : Affectation d'accès aux ressources
Groupes d'accès
Une fois que vous avez configuré et organisé des groupes de ressources dans votre compte, vous pouvez rationaliser la gestion des accès en utilisant des groupes d'accès. Créez des groupes d'accès pour organiser un ensemble d'utilisateurs et d'ID de service en une seule entité. Vous pouvez ensuite affecter une règle à tous les membres du groupe en l'affectant au groupe d'accès. Ainsi, vous pouvez affecter une règle unique au groupe d'accès au lieu d'affecter la même règle plusieurs fois par utilisateur ou par ID de service.
En utilisant des groupes d'accès, vous pouvez gérer au moins un nombre de règles affectés en octroyant le même accès à toutes les identités d'un groupe d'accès.
Pour plus d'informations, voir:
Groupes de ressources
Utilisez des groupes de ressources pour organiser les ressources de votre compte en groupes logiques qui aident à contrôler l'accès. Au lieu donner accès aux ressources individuelles, vous donnez accès au groupe. Les ressources sont des services gérés par IAM, tels que les bases de données. Chaque fois que vous créez une instance de service à partir du catalogue Cloud, vous devez l'affecter à un groupe de ressources.
Les groupes de ressources fonctionnent avec des règles de groupe d'accès afin de fournir un moyen de gérer l'accès aux ressources par des groupes d'utilisateurs. En incluant un utilisateur dans un groupe d'accès et en affectant le groupe d'accès à un groupe de ressources, vous donnez accès aux ressources contenues dans le groupe. Ces ressources ne sont pas disponibles pour les non-membres.
Le compte Lite est fourni avec un groupe de ressources unique nommé " Défaut ", de sorte que toutes les ressources sont placées dans le groupe de ressources par défaut. Avec les comptes payants, les administrateurs peuvent créer plusieurs groupes de ressources pour prendre en charge votre entreprise et donner accès aux ressources selon les besoins.
Pour les instructions détaillées, voir Documentation IBM Cloud : Gestion des groupes de ressources
Pour obtenir des conseils sur la configuration des groupes de ressources afin de sécuriser les accès, voir Documentation IBM Cloud : Meilleures pratiques pour l'organisation des ressources et l'affectation d'accès
Vous pouvez migrer votre instance watsonx.ai Studio, IBM Knowledge Catalog ou watsonx.ai Runtime Service d'un org et d'un espace Cloud Foundry vers un groupe de ressources dans IBM Cloud Voir Migrez vos instances de service à partir d'un Cloud Foundry org et espace vers un groupe de ressources.
Rôles de niveau service
Les rôles de niveau de service contrôlent l'accès à IBM Knowledge Catalog. Des rôles prédéfinis ou personnalisés peuvent être attribués.
ID de service
Vous pouvez créer des ID de service dans IBM Cloud pour activer une application en dehors de l'accès IBM Cloud à vos services IBM Cloud. Les ID de service ne sont pas liés à un utilisateur spécifique. Si un utilisateur quitte une organisation et qu'il est supprimé du compte, l'ID de service reste intact pour garantir que votre service continue de fonctionner. Les règles d'accès qui sont affectées à chaque ID de service garantissent que votre application dispose de l'accès approprié pour l'authentification auprès de vos services IBM Cloud. Voir Collaborateurs de projet.
Une façon d'utiliser les ID de service et les règles d'accès consiste à gérer l'accès aux compartiments Cloud Object Storage. Voir Contrôle de l'accès aux compartiments Cloud Object Storage.
Pour plus d'informations, voir la documentation IBM Cloud : Creating and working with service IDs.
Clés d'API d'ID de service
Pour une protection supplémentaire, les ID de service peuvent être combinés avec des clés d'API uniques. La clé d'API associée à un ID de service peut être définie pour une utilisation unique ou une utilisation illimitée. Pour plus d'informations, voir la documentationIBM Cloud : Gestion des clés d'API d'ID de service.
Activity Tracker
Activity Tracker collecte et stocke des enregistrements d'audit pour les appels d'API (événements) établis à destination des ressources qui s'exécutent dans l'IBM Cloud. Vous pouvez utiliser Activity Tracker pour surveiller l'activité de votre compte IBM Cloud afin d'enquêter sur les activités anormales et les actions critiques et pour vous conformer aux obligations d'audit réglementaires. Les événements collectés sont conformes à la norme CADF (Cloud Auditing Data Federation). Les services IBM qui génèrent des événements Activity Tracker suivent la règle de sécurité IBM Cloud .
Pour la liste des événements qui s'appliquent à Cloud Pak for Data as a Service, voir EvénementsActivity Tracker.
Pour obtenir des instructions sur la configuration d'Activity Tracker, consultez la documentation d'IBM Cloud: Démarrer avec IBM Cloud Activity Tracker.
Authentification multi-facteur
L'authentification multi-facteur (ou MFA) ajoute une couche supplémentaire de sécurité en exigeant plusieurs types de méthodes d'authentification lors de la connexion. Après avoir entré un nom d'utilisateur et un mot de passe valides, les utilisateurs doivent également satisfaire une deuxième méthode d'authentification. Par exemple, un mot de passe à durée limitée est envoyé à l'utilisateur via un message texte ou un e-mail. Le mot de passe correct doit être entré pour terminer le processus de connexion.
Pour plus d'informations, voir IBM Cloud docs: Types of multifactor authentication.
Authentificationunique
La connexion unique (SSO) est une méthode d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications associées qui utilisent un ensemble de données d'identification.
Cloud Pak for Data en tant que service prend en charge la connexion unique à l'aide des ID fédérés SAML (Security Assertion Markup Language). La fédération SAML requiert une coordination avec IBM pour la configuration. SAML connecte les IBMid avec les données d'identification de l'utilisateur fournies par un fournisseur d'identité (IdP). Pour les sociétés qui ont configuré la fédération SAML avec IBM, les utilisateurs peuvent se connecter à Cloud Pak for Data en tant que service avec leurs données d'identification de société. La fédération SAML est la méthode recommandée pour la configuration SSO avec Cloud Pak for Data en tant que service.
IBMid Enterprise Federation décrit les étapes nécessaires pour fédérer votre fournisseur d'identitéIdP Vous avez besoin d'un sponsor IBM , qui est un employé IBM qui travaille en tant que personne de contact entre vous et l'équipe IBMid .
Pour une présentation de la fédération SAML, voir IBM Cloud docs : dans quelles options de fédération SAML existent IBM Cloud?, qui traite à la fois de la fédération SAML et d'IBM Cloud App ID IBM Cloud App ID est pris en charge en version bêta avec Cloud Pak for Data as a Service.
Rubrique parent: Sécurité