I meccanismi di sicurezza dell'account per Cloud Pak for Data as a Service vengono forniti da IBM Cloud. Questi meccanismi di sicurezza, inclusi SSO e il controllo degli accessi basato su ruoli, gruppi e servizi, proteggono l'accesso alle risorse e forniscono l'autenticazione utente.
| Meccanismo | Finalità | Responsabilità | Configurato il |
|---|---|---|---|
| ruoli di accesso (IAM) | Fornisci il controllo degli accessi basato sui ruoli per i servizi | Cliente | IBM Cloud |
| Gruppi di accesso | Configura gruppi di accesso e politiche | Cliente | IBM Cloud |
| Gruppi di risorse | Organizza le risorse in gruppi e assegna l'accesso | Cliente | IBM Cloud |
| Ruoli a livello di servizio | Fornire il controllo degli accessi basato sui ruoli IBM Knowledge Catalog | Cliente | IBM Cloud |
| ID servizio | Abilita un'applicazione al di fuori dell'accesso IBM Cloud ai tuoi servizi IBM Cloud | Cliente | IBM Cloud |
| Chiavi API ID servizio | Autentica un'applicazione su un ID servizio | Cliente | IBM Cloud |
| Activity Tracker | Monitorare gli eventi correlati a Cloud Pak for Data as a Service | Cliente | IBM Cloud |
| Autenticazione a più fattori (MFA) | Richiedi agli utenti di autenticarsi con un metodo oltre l'ID e la password | Cliente | IBM Cloud |
| Autenticazione SSO (Single Sign - On) | Connettersi a un provider di identità (IdP) per l'autenticazione SSO (single sign - on) utilizzando la federazione SAML | Condiviso | IBM Cloud |
Ruoli di accesso IAM
Puoi utilizzare i ruoli di accesso IAM per fornire agli utenti accesso a tutte le risorse che appartengono a un gruppo di risorse. Puoi anche concedere l'accesso agli utenti per gestire i gruppi di risorse e creare nuove istanze del servizio che vengono assegnate a un gruppo di risorse.
Per istruzioni dettagliate, consultare la documentazione IBM Cloud : Assegnazione dell'accesso alle risorse .
Gruppi di accesso
Dopo aver configurato e organizzato i gruppi di risorse nel tuo account, puoi semplificare la gestione dell'accesso utilizzando i gruppi di accesso. Crea gruppi di accesso per organizzare una serie di utenti e ID servizio in una singola entità. Puoi quindi assegnare una politica a tutti i membri del gruppo assegnandola al gruppo di accesso. Quindi, puoi assegnare una singola politica al gruppo di accesso invece di assegnare la stessa politica più volte per singolo utente o ID servizio.
Utilizzando i gruppi di accesso, puoi gestire minimamente il numero di politiche assegnate fornendo lo stesso accesso a tutte le identità in un gruppo di accesso.
Per ulteriori informazioni, consultare:
Gruppi di risorse
Utilizza i gruppi di risorse per organizzare le risorse del tuo account in gruppi logici che aiutano con il controllo dell'accesso. Invece di assegnare l'accesso alle singole risorse, si assegna l'accesso al gruppo. Le risorse sono tutti i servizi gestiti da IAM, ad esempio i database. Quando crei un'istanza del servizio dal catalogo Cloud, devi assegnarla a un gruppo di risorse.
I gruppi di risorse utilizzano le politiche dei gruppi di accesso per fornire un modo per gestire l'accesso alle risorse da parte di gruppi di utenti. Includendo un utente in un gruppo di accesso e assegnando il gruppo di accesso a un gruppo di risorse, fornisci l'accesso alle risorse contenute nel gruppo. Tali risorse non sono disponibili per i non membri.
L'account Lite viene fornito con un singolo gruppo di risorse, denominato "Predefinito", quindi tutte le risorse vengono inserite nel gruppo di risorse Predefinito. Con account a pagamento, gli amministratori possono creare più gruppi di risorse per supportare la tua attività e fornire l'accesso alle risorse in base alle esigenze.
Per istruzioni dettagliate, vedi la documentazione IBM Cloud : Gestione dei gruppi di risorse
Per suggerimenti sulla configurazione dei gruppi di risorse per fornire un accesso sicuro, vedi la documentazione IBM Cloud : procedure ottimali per organizzare le risorse e assegnare l'accesso
È possibile migrare l'istanza di watsonx.ai Studio, IBM Knowledge Catalog o watsonx.ai Runtime Service da un'org e uno spazio Cloud Foundry a un gruppo di risorse in IBM Cloud. Vedere Migra le tue istanze del servizio da a Cloud Foundry org e spazio in un gruppo di risorse.
Ruoli del livello di servizio
I ruoli a livello di servizio controllano l'accesso a IBM Knowledge Catalog. È possibile assegnare ruoli predefiniti o personalizzati.
Consultare Ruoli utente e autorizzazioni
ID servizio
Puoi creare ID servizio in IBM Cloud per abilitare un'applicazione esterna all'accesso IBM Cloud ai tuoi servizi IBM Cloud . Gli ID servizio non sono collegati a un utente specifico. Se un utente lascia un'organizzazione e viene eliminato dall'account, l'ID del servizio rimane intatto per garantire che il tuo servizio continui a funzionare. Le politiche di accesso assegnate a ciascun ID servizio assicurano che la tua applicazione disponga dell'accesso appropriato per l'autenticazione con i servizi IBM Cloud . Vedere Collaboratori di progetti.
Un modo in cui è possibile utilizzare gli ID servizio e le politiche di accesso è quello di gestire l'accesso ai bucket Cloud Object Storage . Consultare Controllo dell'accesso ai bucket Cloud Object Storage.
Per ulteriori informazioni, vedi la documentazione IBM Cloud : Creazione e utilizzo degli ID servizio.
Chiavi API ID servizio
Per una protezione supplementare, gli ID servizio possono essere combinati con chiavi API univoche. La chiave API associata a un ID servizio può essere impostata per un utilizzo monouso o illimitato. Per ulteriori informazioni, vedi la documentazione IBM Cloud : Gestione delle chiavi API degli ID servizio.
Activity Tracker
Il Activity Tracker raccoglie e memorizza i record di verifica per chiamate API (eventi) effettuate alle risorse in esecuzione in IBM Cloud. Puoi utilizzare Activity Tracker per monitorare l'attività del tuo account IBM Cloud per analizzare attività anomale e azioni critiche e per rispettare i requisiti di controllo normativi. Gli eventi vengono raccolti conformi agli standard CADF (Cloud Auditing Data Federation). I servizi IBM che generano gli eventi Activity Tracker seguono la politica di sicurezza IBM Cloud .
Per un elenco di eventi che si applicano a Cloud Pak for Data as a Service, vedi Eventi diActivity Tracker.
Per istruzioni sulla configurazione di Activity Tracker, vedere i documenti diIBM Cloud: Come iniziare con IBM Cloud Activity Tracker.
Autenticazione a più fattori
L'autenticazione multifattore (o MFA) aggiunge un ulteriore livello di sicurezza richiedendo più tipi di metodi di autenticazione al momento dell'accesso. Dopo aver immesso un nome utente e una password validi, gli utenti devono soddisfare anche un secondo metodo di autenticazione. Ad esempio, un passcode sensibile al tempo viene inviato all'utente, tramite testo o email. È necessario immettere il codice di accesso corretto per completare il processo di login.
Per ulteriori informazioni, vedi IBM Cloud docs: Types of multifactor authentication.
Autenticazione SSO (Single Sign - On)
SSO (Single sign - on) è un metodo di autenticazione che consente agli utenti di accedere a più applicazioni correlate che utilizzano una serie di credenziali.
Cloud Pak for Data as a Service supporta l'SSO utilizzando gli ID federati SAML (Security Assertion Markup Language). La federazione SAML richiede il coordinamento con IBM per la configurazione. SAML connette gli IBMids alle credenziali dell'utente fornite da un provider di identità (IdP). Per le aziende che hanno configurato la federazione SAML con IBM, gli utenti possono accedere a Cloud Pak for Data as a Service con le relative credenziali aziendali. La federazione SAML è il metodo consigliato per la configurazione SSO con Cloud Pak for Data as a Service.
IBMid Enterprise Federation descrive i passi necessari per federare il vostro identity providerIdP). Hai bisogno di uno sponsor IBM , che è un dipendente IBM che lavora come persona di contatto tra te e il team IBMid .
Per una panoramica della federazione SAML, vedere IBM Cloud documenti: in quali opzioni di federazione SAML esistono IBM Cloud?, che tratta sia la federazione SAML che l'IBM Cloud App ID. IBM Cloud App ID è supportato in versione Beta con Cloud Pak for Data as a Service.
Argomento principale: Sicurezza