作为 管理员,您可以将组织中需要访问 Cloud Pak for Data as a Service 的人员添加到 IBM Cloud 帐户,然后为其任务分配相应角色。
- 添加非管理用户 到 IBM Cloud 帐户,并分配访问组或角色,以便他们可以在 Cloud Pak for Data as a Service中工作。 新用户将收到加入帐户的电子邮件邀请。 他们必须接受邀请才能添加到此帐户。
- 设置访问组以简化许可权和角色分配。 请参阅 设置访问组。
- 可选: 添加管理用户 到 IBM Cloud 帐户。
向 IBM Cloud 帐户添加非管理用户
您可以通过发送电子邮件邀请来邀请用户加入 IBM Cloud 帐户。 用户接受加入帐户的邀请。 您必须为其分配角色 (或访问组) ,以提供在 Cloud Pak for Data as a Service中工作所需的许可权。 对于基线角色分配,您可以通过在 IBM Cloud中的 " 管理> 访问权 (IAM)> 用户> 邀请用户> 访问策略 " 屏幕中分配以下角色来提供最低许可权:
| 级别 | 角色 | 描述 |
|---|---|---|
| 服务 | 所有启用“身份和访问权”的服务 | 可以访问所有使用 IAM 进行访问管理的服务; 通常仅分配给生产环境中的管理员 |
| 资源 | 全部资源 | 用户有权访问的资源的作用域 |
| 资源组访问权 | 查看者 | 可以查看但不能修改资源组 |
| 服务访问权 | 阅读者 | 可以在服务中执行只读操作 |
| 平台访问权 | 查看者 | 可以查看但不能修改服务实例 |
分配角色的方便方法是创建访问组并将新用户分配到一个或多个访问组。 提供了基本访问组的示例,作为如何开始使用访问组的建议。 请参阅 IAM 访问组示例。 您可以将新用户分配到 CPD-Common-User 组以提供最低许可权。
稍后,您可以根据用户在 Cloud Pak for Data as a Service中执行的任务来分配特定角色或访问组。
IBM 帐户成员资格
要获得 Cloud Pak for Data 即服务授权,用户必须具有现有 IBMid。 如果受邀用户没有 IBMid,那么会在他们加入帐户时为他们创建该标识。
分配角色
通过对大量用户的许可权进行分组,访问组可加速角色分配。 创建组并将策略和规则分配给该组。 当您将用户分配到访问组时,将根据组参数授予他们访问权。 访问组的所有成员都具有相同的访问许可权,并且在编辑策略时将更新所有成员。
创建一组访问组后,请执行以下步骤以将用户添加为访问组的成员:
- 从 Cloud Pak for Data as a Service中,单击 管理> 访问权 (IAM) 以打开 IBM Cloud 帐户的 管理访问权和用户 页面。
- 单击 用户> 邀请用户。
- 输入一个或多个以逗号,空格或换行符分隔的电子邮件地址。 限制为 100 个电子邮件地址。 这些设置将应用于所有电子邮件地址。
- 单击 访问组 磁贴并选择一个或多个访问组,然后单击 添加。 在添加用户之前创建访问组。 请参阅 设置 IAM 访问组 和 IAM 访问组示例。
- 单击 邀请 以向每个电子邮件地址发送电子邮件邀请。 当用户接受加入帐户的邀请时,会将该用户分配给访问组。
或者,您可以向个别用户分配最低许可权:
从 Cloud Pak for Data as a Service中,单击 管理> 访问权 (IAM) 以打开 IBM Cloud 帐户的 管理访问权和用户 页面。
单击 用户> 邀请用户 +。
输入一个或多个以逗号,空格或换行符分隔的电子邮件地址。 限制为 100 个电子邮件地址。 这些设置将应用于所有电子邮件地址。
单击 访问策略 磁贴。
选择 所有启用身份和访问权的服务,然后单击 下一步 以分配资源访问权。
对于 资源,选择 所有资源。 单击 下一步。
对于 资源组访问权,请选择 查看器。 单击 下一步
对于 角色和操作,请选择以下最低许可权:
- 在 " 服务访问权 " 部分中,选择 读者
- 在 平台访问权 部分中,选择 查看器。
查看设置并根据需要进行编辑。
单击 添加 以保存策略。
单击 邀请 以向每个电子邮件地址发送电子邮件邀请。 当用户接受加入帐户的邀请时,会将这些策略分配给他们。
观看此视频以了解如何邀请用户加入您的帐户。
此视频提供了一种可视方法来学习本文档中的概念和任务。
修改用户角色
当您更改用户的角色时,他们对服务的访问权将发生更改。 如果他们没有必需的访问权,那么他们在 Cloud Pak for Data as a Service 中完成工作的能力可能会受到影响。
可选: 将管理用户添加到 IBM Cloud 帐户
您可以添加具有 管理员 角色的管理用户以进行帐户管理。 此角色还为帐户中的所有服务提供 管理者 角色。 例如,具有此角色的用户可以使用IBM Knowledge Catalog创建目录、治理工件、类别和报告。
要将用户添加为 IBM Cloud 帐户管理员,请执行下列操作:
- 执行以下步骤以 添加非管理用户,但针对个别用户的角色更改这些设置除外:
- 在服务访问权部分中,选择管理者。
- 在平台访问权部分中,选择管理员。
- 或者,创建包含这些角色的访问组,并将该用户分配给该访问组。 请参阅 设置 IAM 访问组。
- 单击邀请。 新用户将收到加入帐户的电子邮件邀请。 他们必须接受邀请才能添加到此帐户。
- 用户加入帐户后,添加帐户管理许可权。 单击用户的名称,然后单击 访问策略下的 访问权> 分配访问权 。
- 对于要分配访问权的服务,请选择 所有帐户管理服务。
- 接下来,在 " 平台访问权 " 部分中,选择 管理员 ,然后单击 添加。
- 单击分配。
后续步骤
- 设置 IAM 访问组。
- 完成 设置平台。
- 将服务实例升级 到计费套餐。
了解更多信息
- 使用 IAM 访问组
- Cloud Pak for Data 即服务中的角色
- IBM Cloud 文档:帐户类型
- IBM Cloud文档:IAM 访问
- IBM Cloud文档:什么是IBM Cloud Identity and Access Management
- IBM Cloud文档:设置访问组
- IBM Cloud文档:允许访问资源组中的资源
父主题: 管理用户和访问权