계정에서 사용자의 IBM Watson OpenScale 서비스 인스턴스에 대한 액세스는 IAM(IBM Cloud Identity and Access Management)으로 제어됩니다. 계정의 모델 평가를 수행하는 모든 사용자에게 IAM 역할이 정의된 액세스 정책이 지정되어야 합니다. 이 정책은 선택된 서비스 또는 인스턴스의 컨텍스트에서 사용자가 수행할 수 있는 조치를 결정합니다. 허용 가능한 조치는 서비스에서 수행되도록 허용되는 오퍼레이션으로 IBM Cloud 서비스를 통해 사용자 정의된 후 정의됩니다. 그리고 조치는 IAM 사용자 역할에 맵핑됩니다.
IAM(Identity and Access Management) 역할 및 조치
정책을 사용하면 서로 다른 레벨에서 액세스 권한을 부여할 수 있습니다. 다음 옵션 중 일부가 포함되어 있습니다:
- 계정에 있는 서비스의 모든 인스턴스에 대한 액세스
- 계정의 개별 서비스 인스턴스에 액세스
- 인스턴스 내의 특정 리소스에 액세스
액세스 정책의 범위를 정의한 후에는 사용자의 액세스 레벨을 결정하는 역할을 지정합니다. 각 역할이 허용하는 조치를 설명하는 다음 테이블을 검토하십시오.
플랫폼 관리 역할을 사용하면 계정 및 서비스 내에서 플랫폼 조치를 수행할 수 있는 다양한 권한 레벨을 사용자에게 지정할 수 있습니다. 예를 들어, 카탈로그 리소스에 대해 지정된 플랫폼 관리 역할을 통해 사용자는 서비스 인스턴스 작성, 삭제, 편집, 보기와 같은 조치를 완료할 수 있습니다. 그리고 계정 관리 서비스에 대해 지정된 플랫폼 관리 역할을 통해 사용자는 사용자 초대 및 제거, 리소스 그룹에 대한 작업, 청구 정보 보기와 같은 조치를 완료할 수 있습니다. 계정 관리 서비스에 대한 자세한 정보는 계정 관리 서비스에 액세스 권한 지정을 참조하십시오.
정책을 작성할 때 적용할 모든 역할을 선택하십시오. 각 역할을 통해 별도의 조치를 완료할 수 있으며 더 작은 역할의 조치를 상속하지 않습니다.
다음 표에서는 사용자가 카탈로그 리소스 및 리소스 그룹 컨텍스트 내에서 수행할 수 있는 일부 플랫폼 관리 조치의 예를 제공합니다. 각 카탈로그 오퍼링에 대한 문서를 참조하면 사용 중인 서비스의 컨텍스트 내에서 사용자에게 역할이 적용되는 방법을 파악할 수 있습니다.
| 하나 또는 모든 IAM 사용 서비스 | 리소스 그룹의 선택된 서비스 | 선택된 리소스 그룹 | |
|---|---|---|---|
| 뷰어/운영자 역할 | 인스턴스, 별명, 바인딩 및 인증 정보 보기 | 리소스 그룹의 지정된 인스턴스만 보기 | 리소스 그룹 보기 |
| 운영자 역할 | 인스턴스 보기 및 별명, 바인딩 및 인증 정보 관리 | 해당되지 않음 | 해당되지 않음 |
| 편집자 역할 | 인스턴스를 작성, 삭제, 편집하고 봅니다. 별명, 바인딩 및 인증 정보를 관리합니다. | 리소스 그룹의 지정된 인스턴스만 작성, 삭제, 편집, 일시중단, 재개, 보기 및 바인드 | 리소스 그룹의 이름 보기 및 편집 |
| 관리자 역할 | 서비스에 대한 모든 관리 조치 | 리소스 그룹의 지정된 인스턴스에 대한 모든 관리 조치 | 리소스 그룹에 대한 액세스 보기, 편집 및 관리 |
| 클러스터 관리자 역할(IBM Cloud Pak for Data에 대한 IBM Watson OpenScale에만 해당) | 플랫폼에 대해 완전한 액세스 권한이 있습니다. | 리소스 그룹의 지정된 인스턴스에 대한 완전한 액세스 권한이 있습니다. | 클러스터 관리자만 완료할 수 있는 조치는 LDAP 디렉토리에 연결, 사용자 추가 후 사용자에게 IAM 역할 지정, 모든 네임스페이스에서 워크로드, 인프라 및 애플리케이션 관리, 네임스페이스 작성, 할당량 지정, 팟(Pod) 보안 정책 추가, 내부 Helm 저장소 추가, 내부 Helm 저장소 삭제, 내부 Helm 저장소에 Helm 차트 추가, 내부 Helm 저장소에서 Helm 차트 제거 및 내부 Helm 저장소와 외부 Helm 저장소 동기화입니다. |
모델 평가를 위한 사용자 및 역할
Watson OpenScale의 경우 운영자 및 뷰어 역할은 동등합니다. Watson OpenScale의 역할 기반 액세스에 대한 자세한 정보는 ID 및 액세스 관리 구성을 참조하십시오.
| 오퍼레이션 | 관리자 역할 | 편집자 역할 | 뷰어/운영자 역할 |
|---|---|---|---|
| 기계 학습 엔진 추가 | ✔ | ||
| 기계 학습 엔진 구성 제거 | ✔ | ||
| 기계 학습 구성 업데이트 | ✔ | ||
| 기계 학습 구성 보기 | ✔ | ||
| 데이터베이스 구성 추가 | ✔ | ||
| 데이터베이스 구성 제거 | ✔ | ||
| 데이터베이스 구성 업데이트 | ✔ | ||
| 데이터베이스 구성 보기 | ✔ | ||
| 모델 승인 | ✔ | ✔ | |
| 평가 | ✔ | ✔ | |
| 사용자 및 역할 보기 | ✔ | ||
| 대시보드에 구독 추가 | ✔ | ✔ | |
| 대시보드에서 구독 제거 | ✔ | ✔ | |
| 구독 보기 | ✔ | ✔ | ✔ |
| 모니터링 조건 구성 | ✔ | ✔ | |
| 모니터링 조건 보기 | ✔ | ✔ | ✔ |
| 페이로드 로깅 레코드 업로드 | ✔ | ✔ | |
| 피드백 데이터 업로드 | ✔ | ✔ | |
| 모델 위험 관리에서 훈련 데이터 CSV 파일 업로드 | ✔ | ✔ | |
| 자동 설정 실행 | ✔ | ||
| 시스템 업데이트를 위한 API 호출 | ✔ | ✔ | |
| 구독 및 모니터링 조회를 위한 API 호출 | ✔ | ✔ | ✔ |
할당량 한계
리소스를 효율적으로 관리하고 성능 문제를 방지할 수 있도록, Watson OpenScale 사용자가 자산을 구성할 때 기본적으로 다음과 같은 할당량 제한을 적용합니다:
| 자산 | 제한 |
|---|---|
| DataMart | 인스턴스당 100 |
| 서비스 제공자 | 인스턴스당 100 |
| 통합 시스템 | 인스턴스당 100 |
| 구독 | 서비스 제공업체당 100달러 |
| 인스턴스 모니터링 | 구독당 100달러 |
Watson OpenScale 모든 자산에는 서비스 인스턴스당 자산 인스턴스 수가 10000개로 제한되어 있습니다.
다음 단계
IAM(Identity and Access Management) 구성
상위 주제: 정보 보안