Watson OpenScale Identity and Access Management
Der Zugriff auf IBM Watson OpenScale-Serviceinstanzen für Benutzer in Ihrem Konto wird von IBM Cloud Identity and Access Management (IAM) gesteuert. Jedem Benutzer, der die Modellevaluierung in Ihrem Konto durchführt, muss eine Zugriffsrichtlinie mit einer definierten IAM-Rolle zugewiesen werden. Die Richtlinie bestimmt, welche Aktionen ein Benutzer im Kontext des Service oder der Instanz ausführen kann, den/die Sie auswählen. Die zulässigen Aktionen werden durch den IBM Cloud-Service angepasst und als Operationen definiert, die für den Service ausgeführt werden dürfen. Die Aktionen werden dann IAM-Benutzerrollen zugeordnet.
Identity and Access Management (IAM) - Rollen und Aktionen
Mit Richtlinien können Sie Zugriff auf unterschiedlichen Ebenen gewähren. Einige der folgenden Optionen sind enthalten:
- Zugriff auf alle Instanzen des Service in Ihrem Konto
- Zugriff auf eine einzelne Serviceinstanz in Ihrem Konto
- Zugriff auf eine bestimmte Ressource in einer Instanz
Nachdem Sie den Geltungsbereich der Zugriffsrichtlinie definiert haben, weisen Sie eine Rolle zu, die die Zugriffsebene des Benutzers bestimmt. Sehen Sie sich die folgenden Tabellen an, in denen beschrieben wird, welche Aktionen jede Rolle zulässt.
Mit Plattformmanagementrollen können Benutzern unterschiedliche Berechtigungsstufen für die Durchführung von Plattformaktionen innerhalb des Kontos und für einen Service zugewiesen werden. Zum Beispiel ermöglichen die Plattformmanagementrollen, die für Katalogressourcen zugewiesen sind, dem Benutzer solche Aktionen wie das Erstellen, Löschen, Bearbeiten und Anzeigen von Serviceinstanzen. Zudem ermöglichen die Plattformmanagementrollen, die für Kontoverwaltungsservices zugewiesen sind, dem Benutzer Aktionen wie das Einladen und Entfernen von Benutzern, das Arbeiten mit Ressourcengruppen und das Anzeigen von Abrechnungsinformationen. Weitere Informationen zu den Kontomanagementservices finden Sie in Zugriff auf Kontomanagementservices zuordnen.
Wählen Sie beim Erstellen einer Richtlinie alle gültigen Rollen aus. Jede Rolle ermöglicht die Ausführung separater Aktionen und übernimmt nicht die Aktionen untergeordneter Rollen.
Die folgende Tabelle enthält Beispiele für einige der Plattformmanagementaktionen, die Benutzer im Kontext von Katalogressourcen und Ressourcengruppen durchführen können. In der Dokumentation zu den verschiedenen Katalogen finden Sie Informationen dazu, wie die Rollen im Kontext des aktuell verwendeten Service auf den Benutzer angewendet werden.
| Einen oder alle IAM-aktivierten Services | Ausgewählten Service in einer Ressourcengruppe | Ausgewählte Ressourcengruppe | |
|---|---|---|---|
| Anzeigeberechtigter/Operator | Instanzen, Aliasnamen, Bindungen und Berechtigungsnachweise anzeigen | Nur angegebene Instanzen in der Ressourcengruppe anzeigen | Ressourcengruppe anzeigen |
| Operatorrolle | Instanzen anzeigen und Aliasnamen, Bindungen und Berechtigungsnachweise verwalten | Nicht zutreffend | Nicht zutreffend |
| Editorrolle | Instanzen erstellen, löschen, bearbeiten und anzeigen. Aliasnamen, Bindungen und Berechtigungsnachweise verwalten | Nur angegebene Instanzen in der Ressourcengruppe erstellen, löschen, bearbeiten, aussetzen, wiederaufnehmen, anzeigen und binden | Name der Ressourcengruppe anzeigen und bearbeiten |
| Administratorrolle | Alle Verwaltungsaktionen für Services | Alle Verwaltungsaktionen für die angegebenen Instanzen in der Ressourcengruppe | Zugriff für die Ressourcengruppe anzeigen, bearbeiten und verwalten |
| Clusteradministrator (nur für IBM Watson OpenScale for IBM Cloud Pak for Data spezifisch) | Uneingeschränkter Zugriff auf die Plattform | Uneingeschränkter Zugriff auf die angegebenen Instanzen in der Ressourcengruppe | Die folgenden Aktionen können nur vom Clusteradministrator ausgeführt werden: Verbindung zu einem LDAP-Verzeichnis herstellen, Benutzer hinzufügen und IAM-Rollen zuordnen, Workloads, Infrastruktur und Anwendungen in allen Namensbereichen verwalten, Namensbereiche erstellen, Kontingente zuordnen, Sicherheitsrichtlinien für Pods hinzufügen, internes Helm-Repository hinzufügen, internes Helm-Repository löschen, Helm-Diagramme zum internen Helm-Repository hinzufügen, Helm-Diagramme im internen Helm-Repository entfernen und interne und externe Helm-Repositorys synchronisieren. |
Benutzer und Rollen für Modellevaluierung
Für Watson OpenScale sind die Rollen Bediener und Anzeigeberechtigter äquivalent. Weitere Informationen zum rollenbasierten Zugriff in Watson OpenScale finden Sie unter Identitäts- und Zugriffsmanagement konfigurieren.
| Operationen | Administratorrolle | Editorrolle | Anzeigeberechtigter/Operator |
|---|---|---|---|
| Enginekonfiguration für maschinelles Lernen hinzufügen | ✔ | ||
| Enginekonfiguration für maschinelles Lernen entfernen | ✔ | ||
| Konfiguration für maschinelles Lernen aktualisieren | ✔ | ||
| Konfiguration für maschinelles Lernen anzeigen | ✔ | ||
| Datenbankkonfiguration hinzufügen | ✔ | ||
| Datenbankkonfiguration entfernen | ✔ | ||
| Datenbankkonfiguration aktualisieren | ✔ | ||
| Datenbankkonfiguration anzeigen | ✔ | ||
| Modellgenehmigung | ✔ | ✔ | |
| Evaluierung | ✔ | ✔ | |
| Benutzer und Rollen anzeigen | ✔ | ||
| Subskription zu Dashboard hinzufügen | ✔ | ✔ | |
| Subskription von Dashboard entfernen | ✔ | ✔ | |
| Subskription anzeigen | ✔ | ✔ | ✔ |
| Überwachungsbedingung konfigurieren | ✔ | ✔ | |
| Überwachungsbedingung anzeigen | ✔ | ✔ | ✔ |
| Protokollierungdatensatz für Nutzdaten hochladen | ✔ | ✔ | |
| Rückmeldedaten hochladen | ✔ | ✔ | |
| CSV-Datei mit Trainingsdaten in Risikomanagement für Modell hochladen | ✔ | ✔ | |
| Automatische Konfiguration ausführen | ✔ | ||
| API-Aufrufe zur Aktualisierung des Systems | ✔ | ✔ | |
| API-Aufrufe zur Abfrage der Subskriptionen und der Überwachung | ✔ | ✔ | ✔ |
Grenzwerte des Kontingents
Damit Sie Ihre Ressourcen effizient verwalten und Leistungsprobleme vermeiden können, wendet Watson OpenScale die folgenden Kontingente standardmäßig an, wenn Benutzer Assets konfigurieren:
| Asset | Begrenzung |
|---|---|
| DataMart | 100 pro Instanz |
| Serviceanbieter | 100 pro Instanz |
| Integrierte Systeme | 100 pro Instanz |
| Subskriptionen | 100 pro Service-Provider |
| Instanzen überwachen | 100 pro Abonnement |
Jedes Asset in Watson OpenScale hat eine feste Begrenzung von 10000 Instanzen des Assets pro Serviceinstanz.
Nächste Schritte
Identitäts- und Zugriffsmanagement konfigurieren
Übergeordnetes Thema: Informationssicherheit