Kontosicherheitsmechanismen für IBM watsonx werden von IBM Cloudbereitgestellt. Diese Sicherheitsmechanismen, einschließlich SSO und rollenbasierter, gruppenbasierter und servicebasierter Zugriffssteuerung, schützen den Zugriff auf Ressourcen und ermöglichen die Benutzerauthentifizierung.
| Verfahren | Zweck | Zuständigkeit | Konfiguriert unter |
|---|---|---|---|
| Zugriffsrollen (IAM) | Rollenbasierte Zugriffssteuerung für Services | Kunde | IBM Cloud |
| Zugriffsgruppen | Zugriffsgruppen und -richtlinien konfigurieren | Kunde | IBM Cloud |
| Ressourcengruppen | Ressourcen in Gruppen organisieren und Zugriff erteilen | Kunde | IBM Cloud |
| Service-IDs | Ermöglicht einer Anwendung außerhalb von IBM Cloud den Zugriff auf Ihre IBM Cloud-Services | Kunde | IBM Cloud |
| Service-ID-API-Schlüssel | Authentifiziert eine Anwendung für eine Service-ID | Kunde | IBM Cloud |
| Activity Tracker | Ereignisse im Zusammenhang mit IBM watsonx überwachen | Kunde | IBM Cloud |
| Multifaktorauthentifizierung (MFA) | Benutzer müssen sich mit einer Methode authentifizieren, die über die Eingabe von ID und Kennwort hinausgeht | Kunde | IBM Cloud |
| Single-Sign-on-Authentifizierung | Verbindung mit einem Identitätsprovider (IdP) für SSO-Authentifizierung (Single Sign-on) unter Verwendung des SAML-Zusammenschlusses herstellen | Gemeinsam | IBM Cloud |
IAM-Zugriffsrollen
Sie können IAM-Zugriffsrollen verwenden, um Benutzern den Zugriff auf alle Ressourcen zu ermöglichen, die zu einer Ressourcengruppe gehören. Diese Zugriffsrollen werden auch dazu verwendet, Benutzern Zugriffsberechtigungen zu erteilen, mit denen sie Ressourcengruppen verwalten und neue Serviceinstanzen erstellen können, die einer Ressourcengruppe zugewiesen werden.
Schritt-für-Schritt-Anweisungen finden Sie in der IBM Cloud-Dokumentation: Zugriff auf Ressourcen zuordnen
Zugriffsgruppen
Nachdem Sie Ressourcengruppen in Ihrem Konto eingerichtet und organisiert haben, können Sie das Zugriffsmanagement durch die Verwendung von Zugriffsgruppen optimieren. Erstellen Sie Zugriffsgruppen, um eine Gruppe von Benutzern und Service-IDs in einer einzelnen Entität zu organisieren. Anschließend können Sie allen Gruppenmitgliedern eine Richtlinie zuordnen, indem Sie sie der Zugriffsgruppe zuordnen. Auf diese Weise können Sie der Zugriffsgruppe eine einzelne Richtlinie zuordnen, anstatt dieselbe Richtlinie mehrmals pro Benutzer oder Service-ID zuzuordnen.
Bei der Verwendung von Zugriffsgruppen können Sie den Aufwand für die Verwaltung der Anzahl der zugewiesenen Richtlinien gering halten, indem Sie allen Identitäten in einer Zugriffsgruppe dieselben Zugriffsberechtigungen zuweisen.
Weitere Informationen finden Sie unter:
Ressourcengruppen
Verwenden Sie Ressourcengruppen, um die Ressourcen Ihres Kontos in logischen Gruppen zu organisieren, die Sie bei der Zugriffssteuerung unterstützen. Anstatt den Zugriff auf einzelne Ressourcen zu erteilen, weisen Sie den Zugriff auf die Gruppe zu. Ressourcen sind alle Services, die von IAM verwaltet werden, wie z. B. Datenbanken. Wenn Sie eine Serviceinstanz aus dem Cloud-Katalog erstellen, müssen Sie sie einer Ressourcengruppe zuordnen.
Ressourcengruppen arbeiten mit Zugriffsgruppenrichtlinien, um ein Verfahren zur Verwaltung des Zugriffs auf Ressourcen anhand von Benutzergruppen zur Verfügung zu stellen. Durch die Aufnahme eines Benutzers in eine Zugriffsgruppe und die Zuordnung der Zugriffsgruppe zu einer Ressourcengruppe ermöglichen stellen ie den Zugriff auf die in der Gruppe enthaltenen Ressourcen. Diese Ressourcen sind für Nicht-Member nicht verfügbar.
Das Lite-Konto verfügt über eine einzelne Ressourcengruppe mit dem Namen "Default", sodass alle Ressourcen in die Standardressourcengruppe aufgenommen werden. Mit kostenpflichtigen Konten können Administratoren mehrere Ressourcengruppen erstellen, um Ihr Unternehmen zu unterstützen und den Zugriff auf Ressourcen bedarfsgesteuert zu ermöglichen.
Schritt-für-Schritt-Anweisungen finden Sie in der IBM Cloud-Dokumentation: Ressourcengruppen verwalten.
Tipps zum Konfigurieren von Ressourcengruppen für den sicheren Zugriff finden Sie in der IBM Cloud-Dokumentation: Bewährte Verfahren für die Organisation von Ressourcen und das Zuweisen von Zugriffsberechtigungen.
Service-IDs
Sie können Service-IDs in IBM Cloud erstellen, um eine Anwendung außerhalb des IBMCloud-Zugriffs für Ihre IBM Cloud-Services zu aktivieren. Service-IDs sind nicht an einen bestimmten Benutzer gebunden. Wenn ein Benutzer eine Organisation verlässt und aus dem Konto gelöscht wird, bleibt die Service-ID intakt, um sicherzustellen, dass Ihr Service weiterhin funktioniert. Zugriffsrichtlinien, die jeder Service-ID zugeordnet sind, stellen sicher, dass Ihre Anwendung über den entsprechenden Zugriff für die Authentifizierung bei Ihren IBM Cloud-Services verfügt. Siehe Projektmitbearbeiter.
Eine Möglichkeit, die Service-IDs und Zugriffsrichtlinien zu verwenden, ist die Verwaltung des Zugriffs auf die Cloud Object Storage-Buckets. Siehe Zugriff auf Cloud Object Storage -Buckets steuern.
Weitere Informationen finden Sie in der IBM Cloud -Dokumentation: Service-IDs erstellen und verwenden.
API-Schlüssel für Service-IDs
Für einen zusätzlichen Schutz können Service-IDs mit eindeutigen API-Schlüsseln kombiniert werden. Der API-Schlüssel, der einer Service-ID zugeordnet ist, kann für eine einmalige Nutzung oder für die unbegrenzte Nutzung festgelegt werden. Weitere Informationen finden Sie in der Dokumentation zuIBM Cloud : API-Schlüssel für Service-IDs verwalten.
Activity Tracker
Der Activity Tracker erfasst und speichert Prüfsätze für API-Aufrufe (Ereignisse), die an Ressourcen gerichtet werden, die in der IBM Cloud ausgeführt werden. Sie können den Activity Tracker verwenden, um die Aktivität Ihres IBM Cloud-Kontos zu überwachen, um Unregelmäßigkeiten und kritische Aktionen zu untersuchen und die Einhaltung der geltenden Prüfvorschriften sicherzustellen. Die Erfassung von Ereignissen entspricht dem CADF-Standard (Cloud Auditing Data Federation). IBM -Services, die Activity Tracker -Ereignisse generieren, folgen der IBM Cloud -Sicherheitsrichtlinie.
Eine Liste der Ereignisse, die für IBM watsonxgelten, finden Sie unter Activity Tracker -Ereignisse.
Anleitungen zur Konfiguration von Activity Tracker finden Sie in den IBM Cloud Docs: Erste Schritte mit IBM Cloud Activity Tracker.
Mehrfaktorauthentifizierung
Bei der Multifaktorauthentifizierung (oder MFA) kommt eine zusätzliche Sicherheitsebene hinzu, da zur Anmeldung mehrere Authentifizierungsmethoden erforderlich sind. Nach der Eingabe eines gültigen Benutzernamens und Kennworts müssen Benutzer auch eine zweite Authentifizierungsmethode erfüllen. Zum Beispiel wird ein zeitsensitiver Kenncode an den Benutzer gesendet, entweder über Text oder E-Mail. Um den Anmeldeprozess abzuschließen, muss der richtige Kenncode eingegeben werden.
Weitere Informationen finden Sie in der IBM Cloud -Dokumentation: Typen der Mehrfaktorauthentifizierung.
Single-Sign-on-Authentifizierung
Single Sign-on (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei mehreren zusammengehörigen Anwendungen anzumelden, die eine Gruppe von Berechtigungsnachweisen verwenden.
IBM watsonx unterstützt SSO mit föderierten SAML-IDs (Security Assertion Markup Language). Die Konfiguration der SAML-Föderation muss mit IBM koordiniert werden. SAML verbindet IBMids mit den Benutzerberechtigungsnachweisen, die von einem Identitätsprovider (IdP) bereitgestellt werden. Für Unternehmen, die die SAML-Föderation mit IBMkonfiguriert haben, können sich Benutzer mit ihren Unternehmensberechtigungsnachweisen bei IBM watsonx anmelden. SAML-Föderation ist die empfohlene Methode für die SSO-Konfiguration mit IBM watsonx.
Die IBMid Enterprise Federation beschreibt die Schritte, die erforderlich sind, um Ihren IdentitätsanbieterIdP) zu föderieren. Sie benötigen einen IBM Sponsor, bei dem es sich um einen IBM Mitarbeiter handelt, der als Ansprechpartner zwischen Ihnen und dem IBMid -Team arbeitet.
Eine Übersicht über die SAML-Föderation finden Sie unter IBM Cloud docs: Welche SAML-Föderationsoptionen gibt es in IBM Cloud?, in dem sowohl SAML-Föderation als auch IBM Cloud App ID behandelt werden. IBM Cloud App ID wird in einer Beta-Version von IBM watsonx unterstützt.
Übergeordnetes Thema: Security