アカウント内のユーザーによる IBM Watson OpenScale サービス・インスタンスへのアクセスは、IBM Cloud Identity and Access Management (IAM) によって制御されます。 アカウントでモデル評価を実行するすべてのユーザーに、IAM 役割が定義されたアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキストでユーザーが実行できるアクションが決まります。 許可されるアクションは、IBM Cloud サービスで実行することを許可される操作として、このサービスによってカスタマイズされ、定義されます。 その後、操作は IAM ユーザー役割にマップされます。
Identity and Access Management の役割とアクション
ポリシーでは、さまざまなレベルのアクセス権限を付与できます。 以下のいくつかのオプションが含まれています。
- アカウント内のすべてのサービス・インスタンスに対するアクセス権限
- アカウント内の個別のサービス・インスタンスに対するアクセス権限
- インスタンス内の特定のリソースに対するアクセス権限
アクセス・ポリシーの範囲を定義したら、ユーザーのアクセス権限のレベルを決定する役割を割り当てます。 各ロールで許可されるアクションの概要を示す以下の表を確認してください。
プラットフォーム管理の役割では、アカウント内またはサービスでプラットフォーム・アクションを実行するためのさまざまなレベルの許可をユーザーに割り当てることができます。 例えば、カタログ・リソース用に割り当てられたプラットフォーム管理の役割により、ユーザーは、サービス・インスタンスの作成、削除、編集、および表示などのアクションを実行できるようになります。 また、アカウント管理サービス用に割り当てられたプラットフォーム管理の役割により、ユーザーは、ユーザーの招待と削除、リソース・グループの操作、請求情報の表示などのアクションを実行できるようになります。 アカウント管理サービスについて詳しくは、アカウント管理サービスへのアクセス権限の割り当てを参照してください。
ポリシーの作成時に適用されるすべての役割を選択します。 各役割は、個々のアクションの実行を許可するものであり、より低い役割のアクションを継承することはありません。
以下の表に、カタログ・リソースおよびリソース・グループに関連してユーザーが実行できるプラットフォーム管理アクションのいくつかの例を示します。 使用されるサービスのコンテキストで役割がどのようにユーザーに適用されるのかを理解するには、各カタログ・オファリングの資料を参照してください。
| 1 つまたはすべての IAM 対応サービス | リソース・グループ内の選択されたサービス | 選択されたリソース・グループ | |
|---|---|---|---|
| ビューアー/オペレーター役割 | インスタンス、別名、バインディング、および資格情報の表示 | リソース・グループ内の指定されたインスタンスのみの表示 | リソース・グループの表示 |
| オペレーターの役割 | インスタンスの表示と、別名、バインディング、および資格情報の管理 | 適用外 | 適用外 |
| Editor 役割 | インスタンスの作成、削除、編集、および表示。 別名、バインディング、および資格情報の管理 | リソース・グループ内の指定されたインスタンスのみの作成、削除、編集、一時停止、再開、表示、およびバインド | リソース・グループ名の表示および編集 |
| 管理者ロール | サービスに対するすべての管理アクション | リソース・グループ内の指定されたインスタンスに対するすべての管理アクション | リソース・グループのアクセス権限の表示、編集、および管理 |
| クラスター管理者役割 (IBM Watson OpenScale for IBM Cloud Pak for Data のみに固有) | プラットフォームに対する完全なアクセス権限 | リソース・グループ内の指定されたインスタンスに対する完全なアクセス権限を持つ | クラスター管理者のみが実行できるアクション: LDAP ディレクトリーへの接続、ユーザーの追加と IAM 役割の割り当て、すべての名前空間でのワークロード、インフラストラクチャー、アプリケーションの管理、名前空間の作成、割り当て量の割り当て、ポッド・セキュリティー・ポリシーの追加、内部 Helm リポジトリーの追加、内部 Helm リポジトリーの削除、内部 Helm リポジトリーへの Helm チャートの追加、内部 Helm リポジトリーからの Helm チャートの削除、内部 Helm リポジトリーと外部 Helm リポジトリーの同期 |
モデル評価のためのユーザーと役割
Watson OpenScaleの場合、 演算子 役割と ビューアー 役割は同等です。 Watson OpenScaleでの役割ベースのアクセスについて詳しくは、 ID およびアクセス管理の構成を参照してください。
| 操作 | Admin 役割 | Editor 役割 | ビューアー/オペレーター役割 |
|---|---|---|---|
| 機械学習エンジン構成の追加 | ✔ | ||
| 機械学習エンジン構成の削除 | ✔ | ||
| 機械学習構成の更新 | ✔ | ||
| 機械学習構成の表示 | ✔ | ||
| データベース構成の追加 | ✔ | ||
| データベース構成の削除 | ✔ | ||
| データベース構成の更新 | ✔ | ||
| データベース構成の表示 | ✔ | ||
| モデル承認 | ✔ | ✔ | |
| 評価 | ✔ | ✔ | |
| ユーザーと役割の表示 | ✔ | ||
| ダッシュボードへのサブスクリプションの追加 | ✔ | ✔ | |
| ダッシュボードからのサブスクリプションの削除 | ✔ | ✔ | |
| サブスクリプションの表示 | ✔ | ✔ | ✔ |
| モニター条件の構成 | ✔ | ✔ | |
| モニター条件の表示 | ✔ | ✔ | ✔ |
| ペイロード・ロギング・レコードのアップロード | ✔ | ✔ | |
| フィードバック・データのアップロード | ✔ | ✔ | |
| モデル・リスク管理でのトレーニング・データ CSV ファイルのアップロード | ✔ | ✔ | |
| 自動セットアップの実行 | ✔ | ||
| システムを更新するための API 呼び出し | ✔ | ✔ | |
| サブスクリプションとモニターを照会するための API 呼び出し | ✔ | ✔ | ✔ |
割り当て量の限度
リソースを効率的に管理し、パフォーマンスの問題を回避するために、 Watson OpenScale は、ユーザーが資産を構成するときにデフォルトで以下の割り当て量制限を適用します。
| 資産 | 制限 |
|---|---|
| DataMart | インスタンスごとに 100 |
| サービス・プロバイダー | インスタンスごとに 100 |
| 統合システム | インスタンスごとに 100 |
| サブスクリプション | サービス・プロバイダーごとに 100 |
| インスタンスのモニター | サブスクリプションごとに 100 |
Watson OpenScale のすべての資産には、サービス・インスタンスごとに資産の 10000 個のインスタンスというハード制限があります。
次のステップ
親トピック: 機密保護