IBM watsonx のアカウント・セキュリティー・メカニズムは IBM Cloudによって提供されます。 これらのセキュリティー・メカニズム (SSO と役割ベース、グループ・ベース、およびサービス・ベースのアクセス制御を含む) は、リソースへのアクセスを保護し、ユーザー認証を提供します。
メカニズム | 目的 | 責任 | 構成日 |
---|---|---|---|
アクセス (IAM) 役割 | サービスに対する役割ベースのアクセス制御の提供 | カスタマー | IBM Cloud |
アクセス・グループ | アクセス・グループおよびポリシーを構成する | カスタマー | IBM Cloud |
リソース・グループ | リソースをグループに編成し、アクセス権限を割り当てます | カスタマー | IBM Cloud |
サービス ID | IBM Cloud の外部のアプリケーションが IBM Cloud サービスにアクセスできるようにします | カスタマー | IBM Cloud |
サービス ID の API キー | サービス ID に対してアプリケーションを認証します | カスタマー | IBM Cloud |
Activity Tracker | IBM watsonx に関連したイベントのモニター | カスタマー | IBM Cloud |
多要素認証認証 (MFA) | ID とパスワード以外の方法で認証することをユーザーに要求する | カスタマー | IBM Cloud |
シングル・サインオン 認証 | SAML フェデレーションを使用したシングル・サインオン (SSO) 認証のための ID プロバイダー (IdP) との接続 | 共有 | IBM Cloud |
IAM アクセス役割
IAM アクセス役割を使用して、リソース・グループに属するすべてのリソースへのアクセス権限をユーザーに付与できます。 リソース・グループの管理およびリソース・グループに割り当てられる新規サービス・インスタンスの作成を行うためのアクセス権限をユーザーに付与することもできます。
ステップバイステップの手順については、 IBM Cloud の資料: リソースへのアクセス権限の割り当て を参照してください。
アクセス・グループ
アカウント内のリソース・グループをセットアップして編成した後、アクセス・グループを使用してアクセス管理を簡素化できます。 アクセス・グループを作成して、ユーザーとサービス ID のセットを単一のエンティティーに編成します。 その後、ポリシーをアクセス・グループに割り当てることによって、すべてのグループ・メンバーにポリシーを割り当てることができます。 そのため、個々のユーザーやサービス ID ごとに同じポリシーを複数回割り当てるの代わりに、アクセスグループに対して 1 つのポリシーを割り当てることができます。
アクセス・グループを使用すると、アクセス・グループ内のすべての ID に同じアクセス権限を付与することによって、割り当てられるポリシーの数の管理を最小限に抑えることができます。
詳しくは、以下を参照してください。
リソース・グループ
リソース・グループを使用して、アカウントのリソースをアクセス制御に役立つ論理グループに編成します。 個々のリソースにアクセス権限を割り当てるのではなく、グループにアクセス権限を割り当てます。 リソースとは、IAM によって管理されるサービス (データベースなど) のことです。 クラウド・カタログからサービス・インスタンスを作成する場合は必ず、それをリソース・グループに割り当てる必要があります。
アクセス・グループ・ポリシーと一緒に作業するリソース・グループは、ユーザー・グループによるリソースへのアクセスを管理する方法を提供します。 アクセス・グループにユーザーを組み込み、そのアクセス・グループをリソース・グループに割り当てることにより、そのグループに含まれるリソースへのアクセス権限を付与します。 これらのリソースは、非メンバーには使用できません。
ライト・アカウントには「Default」という名前の単一のリソース・グループが付属しているため、すべてのリソースをデフォルト・リソース・グループに置いています。 有料アカウントでは、管理者はビジネスをサポートするために複数のリソース・グループを作成し、必要に応じてリソースへのアクセスを提供できます。
ステップバイステップの手順については、 IBM Cloud の資料: リソース・グループの管理 を参照してください。
セキュアなアクセスを提供するようにリソース・グループを構成するためのヒントについては、 IBM Cloud の資料: リソースを編成してアクセス権限を割り当てるためのベスト・プラクティス を参照してください。
サービス ID
IBM Cloud 外部のアプリケーションが IBM Cloud サービスにアクセスできるようにするため、IBM Cloud でサービス ID を作成できます。 サービス ID は特定のユーザーに結び付けられません。 ユーザーが組織を離れ、アカウントから削除された場合、サービス ID はそのまま残り、サービスが引き続き作業するようになります。 各サービス ID に割り当てられたアクセス・ポリシーにより、 IBM Cloud サービスで認証するための適切なアクセス権限がアプリケーションに付与されます。 プロジェクトのコラボレーターを参照してください。
サービス ID とアクセス・ポリシーを使用できる 1 つの方法は、 Cloud Object Storage バケットへのアクセスを管理することです。 Cloud Object Storage バケットへのアクセスの制御を参照してください。
詳しくは、 IBM Cloud の資料: サービス ID の作成と処理を参照してください。
サービス ID の API キー
さらに保護するために、サービス ID を固有の API キーと組み合わせることができます。 サービス ID に関連付けられた API キーは、一回限りの使用または無制限の使用に設定できます。 詳しくは、 IBM Cloud 資料の「Managing service IDs API keys」を参照してください。
Activity Tracker
Activity Tracker は、 IBM Cloudで実行されるリソースに対する API 呼び出し (イベント) の監査レコードを収集して保存します。 Activity Tracker を使用して、 IBM Cloud アカウントのアクティビティーをモニターし、異常なアクティビティーや重要なアクションを調査し、規制監査要件に準拠することができます。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に準拠しています。 Activity Tracker イベントを生成する IBM サービスは、 IBM Cloud セキュリティー・ポリシーに従います。
IBM watsonxに適用されるイベントのリストについては、 Activity Tracker イベントを参照してください。
Activity Tracker設定方法については、'IBM Cloudドキュメント:IBM Cloud Activity Trackerを使い始める を参照のこと。
多要素認証
多要素認証 (MFA) は、ログイン時に複数のタイプの認証方式を要求することにより、セキュリティーの層を追加します。 有効なユーザー名とパスワードを入力した後、ユーザーは 2 番目の認証方式も満たす必要があります。 例えば、タイム・センシティブ・パスコードは、テキストまたはメールのいずれかを介してユーザーに送信されます。 ログイン・プロセスを完了するには、正しいパスコードを入力する必要があります。
詳しくは、 IBM Cloud の資料: 多要素認証のタイプを参照してください。
シングル・サインオン 認証
シングル・サインオン (SSO) は、1 つの資格情報セットを使用する複数の関連アプリケーションにユーザーがログインできるようにする認証方式です。
IBM watsonx は、Security Assertion Markup Language (SAML) フェデレーテッド ID を使用する SSO をサポートします。 SAML フェデレーションは、構成に IBM との調整が必要です。 SAML は、ID プロバイダー (IdP) によって提供されるユーザー資格情報を使用して IBMid を接続します。 IBMを使用して SAML 連携を構成した企業の場合、ユーザーは会社の資格情報を使用して IBM watsonx にログインできます。 IBM watsonxを使用した SSO 構成では、SAML フェデレーションが推奨される方法です。
IBMidEnterprise Federationでは、ID プロバイダIdPをフェデレートするために必要な手順を説明しています。 IBM スポンサーが必要です。これは、お客様と IBMid チームの間の連絡先担当者として働く IBM の従業員です。
SAMLフェデレーションの概要については、 IBM Cloudドキュメント: SAMLフェデレーションオプションはどれですか? IBM Cloud?、 SAML フェデレーションとIBM Cloud App IDの両方について説明している。 IBM Cloud App IDは IBM watsonxでベータ版としてサポートされている。
親トピック: セキュリティー