IBM watsonx 에 대한 계정 보안 메커니즘은 IBM Cloud에서 제공됩니다. SSO및 역할 기반, 그룹 기반 및 서비스 기반 액세스 제어를 포함하는 이러한 보안 메커니즘은 자원에 대한 액세스를 보호하고 사용자 인증을 제공합니다.
| 메커니즘 | 용도 | 책임 | 다음에서 구성됨 |
|---|---|---|---|
| 액세스(IAM) 역할 | 서비스에 대한 역할 기반 액세스 제어 제공 | 고객 | IBM Cloud |
| 액세스 그룹 | 액세스 그룹 및 정책 구성 | 고객 | IBM Cloud |
| 자원 그룹 | 자원을 그룹으로 구성 및 액세스 지정 | 고객 | IBM Cloud |
| 서비스 ID | IBM Cloud 외부의 애플리케이션에서 IBM Cloud 서비스에 대한 액세스 사용 | 고객 | IBM Cloud |
| 서비스 ID API 키 | 서비스 ID로 애플리케이션 인증 | 고객 | IBM Cloud |
| Activity Tracker | IBM watsonx 관련 이벤트 모니터 | 고객 | IBM Cloud |
| 다단계 인증(MFA) | ID 및 비밀번호 이외 방법으로 사용자가 인증해야 함 | 고객 | IBM Cloud |
| 싱글 사인온 인증 | SAML 연합을 사용하여 싱글 사인온 (SSO) 인증을 위해 ID 제공자 (IdP) 와 연결 | 공유 | IBM Cloud |
IAM 액세스 역할
IAM 액세스 역할을 사용하여 사용자에게 리소스 그룹에 속한 모든 리소스에 대한 액세스를 제공할 수 있습니다. 또한 사용자에게 리소스 그룹을 관리하고 리소스 그룹에 지정된 새 서비스 인스턴스를 작성하기 위한 액세스 권한을 부여할 수도 있습니다.
단계별 지침은 IBM Cloud 문서: 자원에 대한 액세스 지정 참조
액세스 그룹
계정에서 자원 그룹을 설정 및 구성한 후에 액세스 그룹을 사용하여 액세스 관리를 간소화할 수 있습니다. 액세스 그룹을 작성하여 단일 엔티티로 사용자 및 서비스 ID 세트를 구성합니다. 그런 다음, 액세스 그룹에 지정하여 모든 그룹 멤버에 정책을 지정할 수 있습니다. 따라서 개별 사용자 또는 서비스 ID당 동일한 정책을 여러 번 지정하는 대신, 액세스 그룹에 단일 정책을 지정할 수 있습니다.
액세스 그룹을 사용하면 액세스 그룹의 모든 ID에 동일한 액세스를 제공하여 지정된 정책 수를 최소한으로 관리할 수 있습니다.
자세한 정보는 다음을 참조하십시오.
리소스 그룹
자원 그룹을 사용하여 액세스 제어에 도움이 되는 논리 그룹으로 계정의 자원을 구성하십시오. 개별 자원에 액세스를 지정하는 대신, 그룹에 액세스를 지정합니다. 자원은 데이터베이스와 같은 IAM에서 관리하는 서비스입니다. 클라우드 카탈로그에서 서비스 인스턴스를 작성할 때마다 자원 그룹에 지정해야 합니다.
자원 그룹은 액세스 그룹 정책과 함께 사용하여 사용자 가룹에 의한 자원에 대한 액세스를 관리하는 방법을 제공합니다. 액세스 그룹에 사용자를 포함하고 자원 그룹에 액세스 그룹을 지정하여 그룹에 포함된 자원에 대한 액세스를 제공합니다. 이러한 자원은 비멤버에 사용할 수 없습니다.
Lite 계정은 "기본값"으로 이름 지정된 단일 자원 그룹과 함께 제공되므로 모든 자원이 기본 자원 그룹에 배치됩니다. 유료 계정에서 관리자는 여러 자원 그룹을 작성하여 비즈니스를 지원하고 필요할 때 자원에 대한 액세스를 제공할 수 있습니다.
단계별 지침은 IBM Cloud 문서: 자원 그룹 관리 참조
보안 액세스를 제공하도록 자원 그룹을 구성하는 방법에 대한 팁은 IBM Cloud 문서: 자원 구성 및 액세스 지정을 위한 우수 사례 참조
서비스 ID
IBM Cloud에서 서비스 ID를 작성하여 IBM Cloud 외부의 애플리케이션이 IBM Cloud 서비스에 액세스할 수 있도록 합니다. 서비스 ID는 특정 사용자와 연결되어 있지 않습니다. 사용자가 조직을 떠나고 계정에서 삭제되는 경우 서비스가 계속 작동하도록 보장하기 위해 서비스 ID의 무결성이 유지됩니다. 각 서비스 ID에 지정된 액세스 정책은 IBM Cloud 서비스에서 인증하기 위해 애플리케이션에 적절한 액세스 권한이 있는지를 보장합니다. 프로젝트 협업자를 참조하십시오.
서비스 ID 및 액세스 정책을 사용할 수 있는 한 가지 방법은 Cloud Object Storage 버킷에 대한 액세스를 관리하는 것입니다. Cloud Object Storage 버킷에 대한 액세스 제어를 참조하십시오.
자세한 정보는 IBM Cloud 문서: 서비스 ID 작성 및 작업을 참조하십시오.
서비스 ID API 키
추가 보호를 위해 서비스 ID를 고유한 API 키와 결합할 수 있습니다. 서비스 ID와 연관된 API 키는 일회성 사용 또는 무제한 사용으로 설정할 수 있습니다. 자세한 정보는 IBM Cloud 문서: 서비스 ID API키 관리를 참조하십시오.
Activity Tracker
Activity Tracker는 IBM Cloud에서 실행되는 리소스에 대한 API 호출(이벤트)에 대한 감사 레코드를 수집 및 저장합니다. Activity Tracker를 사용하여 IBM Cloud 계정의 활동을 모니터링하여 비정상적인 활동 및 위험 조치를 조사하고 규제 감사 요구사항을 준수할 수 있습니다. 수집되는 이벤트는 CADF(Cloud Auditing Data Federation) 표준을 준수합니다. Activity Tracker 이벤트를 생성하는 IBM 서비스는 IBM Cloud 보안 정책을 따릅니다.
IBM watsonx에 적용되는 이벤트 목록은 Activity Tracker 이벤트를 참조하십시오.
' Activity Tracker 구성에 대한 지침은 ' IBM Cloud 문서: ' IBM Cloud Activity Tracker 시작하기 ' 를 참조하세요.
다단계 인증
다단계 인증(MFA)는 로그인할 때 여러 유형의 인증 방법을 요구하여 추가적인 보안 계층을 추가합니다. 올바른 사용자 이름 및 비밀번호를 입력한 후 사용자는 두 번째 인증 방법도 충족해야 합니다. 예를 들어, 제한 시간이 설정된 패스코드는 사용자에게 텍스트 또는 이메일로 전송됩니다. 로그인 프로세스를 완료하려면 올바른 패스코드를 입력해야 합니다.
자세한 정보는 IBM Cloud 문서: 다단계 인증 유형을 참조하십시오.
싱글 사인온 인증
싱글 사인온 (SSO) 은 사용자가 하나의 신임 정보 세트를 사용하는 여러 관련 애플리케이션에 로그인할 수 있도록 하는 인증 방법입니다.
IBM watsonx 는 SAML (Security Assertion Markup Language) 연합 ID를 사용하여 SSO를 지원합니다. SAML 연합을 사용하려면 IBM과의 조정을 구성해야 합니다. SAML은 ID 제공자 (IdP) 가 제공하는 사용자 신임 정보와 IBM ID를 연결합니다. IBM으로 SAML 연합을 구성한 회사의 경우 사용자는 회사 신임 정보를 사용하여 IBM watsonx 에 로그인할 수 있습니다. SAML 연합은 IBM watsonx를 사용한 SSO 구성에 권장되는 방법입니다.
IBMid 엔터프라이즈 페더레이션에서는 ID 공급자IdP를 페더레이션하는 데 필요한 단계에 대해 설명합니다. 사용자와 IBMid 팀 간의 담당자로 일하는 IBM 직원인 IBM 스폰서가 필요합니다.
SAML 페더레이션에 대한 개요는 다음을 참조하세요. IBM Cloud 문서: 어떤 SAML 연합 옵션이 존재합니까? IBM Cloud?, 에서 SAML 페더레이션과 IBM Cloud App ID 대해 설명합니다. IBM Cloud App ID IBM watsonx 베타 버전으로 지원됩니다.
상위 주제: 보안