Translation not up to date
Mechanizmy zabezpieczeń konta dla produktu Cloud Pak for Data as a Service są udostępniane przez IBM Cloud. Te mechanizmy zabezpieczeń, w tym funkcje pojedynczego logowania i oparte na rolach, oparte na grupach i oparte na usługach, chronią dostęp do zasobów i zapewniają uwierzytelnianie użytkowników.
| Mechanizm | Cel | Odpowiedzialność | Skonfigurowano |
|---|---|---|---|
| Role dostępu (IAM) | Udostępnianie kontroli dostępu opartej na rolach dla usług | analiza | IBM Cloud |
| Grupy dostępowe | Konfigurowanie grup dostępu i strategii | analiza | IBM Cloud |
| Grupy zasobów | Organizowanie zasobów w grupy i przypisywanie dostępu | analiza | IBM Cloud |
| Role na poziomie usług | Udostępnij kontrolę dostępu opartą na rolach do Watson Knowledge Catalog | analiza | IBM Cloud |
| Identyfikatory usług | Umożliwia aplikacji spoza systemu IBM Cloud dostęp do usług IBM Cloud . | analiza | IBM Cloud |
| Klucze interfejsu API identyfikatora usługi | Uwierzytelnia aplikację w identyfikatorze usługi | analiza | IBM Cloud |
| Activity Tracker | Monitorowanie zdarzeń związanych z usługą Cloud Pak for Data as a Service | analiza | IBM Cloud |
| Uwierzytelnianie wieloczynnikowe (MFA) | Wymagaj od użytkowników uwierzytelniania przy użyciu metody wykraczających poza identyfikator i hasło | analiza | IBM Cloud |
| Uwierzytelnienie z pojedynczym logowaniem | Nawiąże połączenie z dostawcą tożsamości (IdP) w celu uwierzytelniania pojedynczego logowania (SSO) za pomocą stowarzyszenia SAML | Współużytkowane | IBM Cloud |
Role dostępu IAM
Role dostępu IAM umożliwiają użytkownikom dostęp do wszystkich zasobów należących do grupy zasobów. Można również przyznać użytkownikom dostęp do zarządzania grupami zasobów i tworzenia nowych instancji usług, które są przypisane do grupy zasobów.
Szczegółowe instrukcje znajdują się w sekcji IBM Cloud docs: Assigning access to resources (dokowania w chmurze IBM: Przypisywanie dostępu do zasobów).
Grupy dostępowe
Po ustawieniu i zorganizowaniu grup zasobów na koncie można usprawnić zarządzanie dostępem za pomocą grup dostępowych. Utwórz grupy dostępowe w celu zorganizowania zestawu użytkowników i identyfikatorów usług w jeden obiekt. Następnie można przypisać strategię do wszystkich członków grupy, przypisując ją do grupy dostępowej. W ten sposób można przypisać pojedynczą strategię do grupy dostępowej, zamiast przypisywania tej samej strategii wielokrotnie dla pojedynczego użytkownika lub identyfikatora usługi.
Korzystając z grup dostępowych, można minimalnie zarządzać liczbą przypisanych strategii, nadając tym samym dostęp do wszystkich tożsamości w grupie dostępowej.
Więcej informacji na ten temat zawierają następujące sekcje:
Grupy zasobów
Grupy zasobów służą do organizowania zasobów konta w grupy logiczne, które pomagają w kontroli dostępu. Zamiast przypisywać dostęp do poszczególnych zasobów, należy przypisać dostęp do grupy. Zasoby są dowolną usługą zarządzaną przez IAM, taką jak bazy danych. Za każdym razem, gdy instancja usługi jest tworzona z katalogu Cloud, należy przypisać ją do grupy zasobów.
Grupy zasobów współpracują z strategiami grupy dostępowej w celu zapewnienia sposobu zarządzania dostępem do zasobów przez grupy użytkowników. Dzięki dołączaniu użytkownika do grupy dostępowej i przypisaniu grupy dostępu do grupy zasobów, użytkownik zapewnia dostęp do zasobów zawartych w grupie. Te zasoby nie są dostępne dla osób niebędących członkami.
Konto Lite jest dostępne z pojedynczą grupą zasobów o nazwie "Default", dlatego wszystkie zasoby są umieszczane w domyślnej grupie zasobów. Korzystając z kont płatnych, administratorzy mogą tworzyć wiele grup zasobów w celu wsparcia działalności biznesowej i zapewnienia dostępu do zasobów w zależności od potrzeb.
Szczegółowe instrukcje znajdują się w sekcji IBM Cloud docs: Managing resource groups (IBM Cloud docs: Zarządzanie grupami zasobów).
Wskazówki dotyczące konfigurowania grup zasobów w celu zapewnienia bezpiecznego dostępu można znaleźć w sekcji IBM Cloud docs: Best practices for organizowania zasobów i przypisywanie dostępu
Istnieje możliwość przeprowadzenia migracji instancji Watson Studio, Watson Knowledge Cataloglub Watson Machine Learning Service z organizacji i miejsca Cloud Foundry do grupy zasobów w programie IBM Cloud. Więcej informacji na ten temat zawiera sekcja Migracja instancji usług z organizacji Cloud Foundry i obszaru do grupy zasobów.
Role na poziomie usług
Role na poziomie usług kontrolują dostęp do serwisu Watson Knowledge Catalog. Można przypisać role predefiniowane lub niestandardowe.
Patrz sekcja Role i uprawnienia użytkownika .
Identyfikatory usług
Identyfikatory usług w produkcie IBM Cloud można tworzyć w taki sposób, aby umożliwić aplikacji poza dostępem do usług IBM Cloud dostęp do usług IBM Cloud . Identyfikatory usług nie są powiązane z konkretnym użytkownikiem. Jeśli użytkownik opuści organizację i zostanie usunięty z konta, identyfikator usługi pozostanie nienaruszony, aby zapewnić, że usługa będzie kontynuowana. Strategie dostępu przypisane do każdego identyfikatora usługi zapewniają, że aplikacja ma odpowiedni dostęp do uwierzytelniania za pomocą usług IBM Cloud . Patrz Współpracownicy projektów.
Jednym ze sposobów korzystania z identyfikatorów usług i strategii dostępu jest zarządzanie dostępem do rakiet Cloud Object Storage . Patrz Controlling access to Cloud Object Storage buckets.
Więcej informacji na ten temat zawiera sekcja IBM Cloud docs: Creating and working with service IDs.
Klucze API identyfikatora usługi
Aby zapewnić dodatkową ochronę, identyfikatory usług mogą być łączone z unikalnymi kluczami interfejsu API. Klucz interfejsu API powiązany z identyfikatorem usługi może być ustawiony na jednorazowe lub nieograniczone użycie. Więcej informacji na ten temat można znaleźć w sekcji IBM Cloud docs: Managing service IDs API keys.
Activity Tracker
Activity Tracker gromadzi i zapisuje rekordy kontroli dla wywołań funkcji API (zdarzeń) wykonanych w zasobach, które działają w chmurze IBM Cloud. Za pomocą programu Activity Tracker można monitorować działanie konta IBM Cloud w celu zbadania nieprawidłowych działań i krytycznych działań oraz spełnienia wymagań dotyczących audytu regulacyjnego. Zebrane zdarzenia są zgodne ze standardem Cloud Auditing Data Federation (CADF). Usługi IBM generujące zdarzenia Activity Tracker są zgodne ze strategią bezpieczeństwa IBM Cloud .
Listę zdarzeń, które mają zastosowanie do produktu Cloud Pak for Data as a Service, zawiera sekcja Zdarzenia produktu Activity Tracker.
Instrukcje dotyczące konfigurowania programu Activity Trackermożna znaleźć w sekcji IBM Cloud docs: Getting started with IBM Cloud Activity Tracker.
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe (lub MFA) dodaje dodatkową warstwę zabezpieczeń, wymagając przy logowaniu wielu typów metod uwierzytelniania. Po wprowadzeniu poprawnej nazwy użytkownika i hasła użytkownicy muszą również spełniać drugą metodę uwierzytelniania. Na przykład: kod dostępu wrażliwy na czas jest przesyłany do użytkownika za pośrednictwem tekstu lub wiadomości e-mail. Aby zakończyć proces logowania, należy wprowadzić poprawny kod dostępu.
Więcej informacji na ten temat zawiera sekcja IBM Cloud docs: Types of multifactor authentication.
Uwierzytelnienie z pojedynczym logowaniem
Pojedyncze logowanie (SSO) jest metodą uwierzytelniania, która umożliwia użytkownikom logowanie się do wielu powiązanych aplikacji, które używają jednego zestawu informacji autoryzacyjnych.
Cloud Pak for Data as a Service obsługuje funkcję pojedynczego logowania (SSO) przy użyciu stowarzyszonych identyfikatorów SAML (Security Assertion Markup Language). Stowarzyszenie SAML wymaga koordynacji z firmą IBM w celu skonfigurowania. Protokół SAML łączy IBMids z referencjami użytkownika, które są udostępniane przez dostawcę tożsamości (IdP). W przypadku firm, które skonfigurowały stowarzyszenie SAML z firmą IBM, użytkownicy mogą zalogować się do programu Cloud Pak for Data as a Service , korzystając z informacji autoryzacyjnych ich firmy. Stowarzyszanie SAML jest zalecaną metodą dla konfiguracji SSO z Cloud Pak for Data as a Service(Cloud Pak for Data as a Service).
W publikacji IBMid Enterprise Federation Adoption Guide opisano kroki wymagane do stowarzyszenia dostawcy tożsamości (IdP). Potrzebny jest sponsor IBM , który jest pracownikiem IBM , który pracuje jako osoba kontaktowa między Tobą a zespołem IBMid .
Przegląd stowarzyszenia SAML można znaleźć w podręczniku IBM Cloud SAML Federation Guide. Ten blog omawia zarówno stowarzyszenie SAML, jak i IBM Cloud App ID. IBM Cloud App ID jest obsługiwany jako wersja w wersji beta z Cloud Pak for Data as a Service(Pak w chmurze dla danych).
Temat nadrzędny: Bezpieczeństwo