Dostęp do instancji usług IBM Watson OpenScale dla użytkowników na Twoim koncie jest kontrolowany przez IBM Cloud Identity and Access Management (IAM). Każdy użytkownik, który wykonuje wartościowanie modelu na koncie, musi mieć przypisaną strategię dostępu z przypisaną rolą IAM. Strategia określa działania, które mogą być wykonywane przez użytkownika w kontekście wybranej usługi lub instancji. Dozwolone czynności są dostosowywane i definiowane przez usługę IBM Cloud jako operacje, które mogą być wykonywane w usłudze. Działania są następnie odwzorowywane na role użytkowników IAM.
Role i działania związane z tożsamością i dostępem
Strategie umożliwiają dostęp do uprawnień na różnych poziomach. Dostępne są niektóre z następujących opcji:
- Dostęp we wszystkich instancjach usługi na koncie
- Dostęp do pojedynczej instancji usługi na koncie
- Dostęp do konkretnego zasobu w instancji
Po zdefiniowaniu zasięgu strategii dostępu przypisuje się rolę, która określa poziom dostępu użytkownika. Przejrzyj następujące tabele, w których opisano działania, które mogą być wykonywane przez poszczególne role.
Za pomocą ról zarządzania platformą użytkownicy mogą być przypisani różnym poziomom uprawnień do wykonywania działań platformy w ramach konta i w usłudze. Na przykład role zarządzania platformą, które są przypisane do zasobów katalogu, umożliwiają użytkownikom wykonywanie działań, takich jak tworzenie, usuwanie, edytowanie i wyświetlanie instancji usług. Role zarządzania platformą przypisane do usług zarządzania kontami umożliwiają użytkownikom wykonywanie takich działań, jak zapraszanie i usuwanie użytkowników, praca z grupami zasobów oraz wyświetlanie informacji rozliczeniowych. Więcej informacji na temat usług zarządzania kontami zawiera sekcja Przypisywanie dostępu do usług zarządzania kontami.
Wybierz wszystkie role, które mają zastosowanie podczas tworzenia strategii. Każda rola umożliwia wykonywanie oddzielnych działań i nie dziedziczy działań o mniejszych rolach.
W poniższej tabeli przedstawiono przykłady niektórych działań zarządzania platformą, które mogą być wykonywane przez użytkowników w kontekście zasobów katalogu i grup zasobów. Aby zrozumieć, w jaki sposób role mają zastosowanie do użytkowników w kontekście używanej usługi, należy zapoznać się z dokumentacją każdego z ofert katalogu.
| Jedna lub wszystkie usługi z włączoną obsługą IAM | Wybrana usługa w grupie zasobów | Wybrana grupa zasobów | |
|---|---|---|---|
| Rola przeglądania/operatora | Wyświetlanie instancji, aliasów, powiązań i referencji | Wyświetlanie tylko określonych instancji w grupie zasobów | Wyświetl grupę zasobów |
| Rola operatora | Wyświetlanie instancji i zarządzanie aliasami, powiązaniami i referencjami | Nie dotyczy | Nie dotyczy |
| Rola Edytujący | Umożliwia tworzenie, usuwanie, edytowanie i wyświetlanie instancji. Zarządzanie aliasami, powiązaniami i referencjami | Tworzenie, usuwanie, edytowanie, zawieszanie, wznawianie, wyświetlanie i wiązanie tylko określonych instancji w grupie zasobów. | Wyświetl i edytuj nazwę grupy zasobów |
| Rola administratora | Wszystkie działania zarządzania dla usług | Wszystkie działania zarządzania dla określonych instancji w grupie zasobów | Wyświetlanie, edytowanie i zarządzanie dostępem dla grupy zasobów |
| Rola administratora klastra (tylko w przypadku produktu IBM Watson OpenScale for IBM Cloud Pak for Data ) | Ma pełny dostęp do platformy | Ma pełny dostęp do określonych instancji w grupie zasobów | Tylko administrator klastra może wykonać następujące działania: połącz się z katalogiem LDAP, dodaj użytkowników i przypisz im role IAM, zarządzaj obciążeniami, infrastrukturą i aplikacjami we wszystkich przestrzeniach nazw, utwórz przestrzenie nazw, przypisz limity, dodaj strategie bezpieczeństwa, dodaj wewnętrzne repozytorium Helm , usuń wewnętrzne repozytorium Helm , Dodaj wykresy Helm do wewnętrznego repozytorium Helm , usuń wykresy Helm z wewnętrznego repozytorium Helm , a następnie zsynchronizuj wewnętrzne i zewnętrzne repozytoria Helm |
Użytkownicy i role dla oceny modelu
W przypadku systemu Watson OpenScalerole Operator i Przeglądarka są równoważne. Więcej informacji na temat dostępu opartego na rolach w systemie Watson OpenScalemożna znaleźć w sekcji Konfigurowanie tożsamości i zarządzania dostępem.
| Operacje | Rola administratora | Rola Edytujący | Rola przeglądania/operatora |
|---|---|---|---|
| Dodaj konfigurację mechanizmu uczenia maszynowego | ✔ | ||
| Usuń konfigurację mechanizmu uczenia maszynowego | ✔ | ||
| Aktualizuj konfigurację uczenia maszynowego | ✔ | ||
| Wyświetl konfigurację uczenia maszynowego | ✔ | ||
| Dodaj konfigurację bazy danych | ✔ | ||
| Usuń konfigurację bazy danych | ✔ | ||
| Aktualizuj konfigurację bazy danych | ✔ | ||
| Wyświetl konfigurację bazy danych | ✔ | ||
| Zatwierdzenie modelu | ✔ | ✔ | |
| Ewaluacja | ✔ | ✔ | |
| Wyświetlanie użytkowników i ról | ✔ | ||
| Dodaj subskrypcję do panelu kontrolnego | ✔ | ✔ | |
| Usuń subskrypcję z panelu kontrolnego | ✔ | ✔ | |
| Wyświetl subskrypcję | ✔ | ✔ | ✔ |
| Skonfiguruj warunek monitorowania | ✔ | ✔ | |
| Wyświetl warunek monitorowania | ✔ | ✔ | ✔ |
| Prześlij rekord rejestrowania ładunku | ✔ | ✔ | |
| Prześlij dane opinii | ✔ | ✔ | |
| Prześlij plik CSV danych treningowych w zarządzaniu ryzykiem modelu | ✔ | ✔ | |
| Uruchom automatyczną konfigurację | ✔ | ||
| Wywołania funkcji API w celu aktualizacji systemu | ✔ | ✔ | |
| Wywołania interfejsu API w celu wysłania zapytania o subskrypcje i monitorowanie | ✔ | ✔ | ✔ |
Limity kwot
Aby ułatwić efektywne zarządzanie zasobami i uniknąć problemów z wydajnością, Watson OpenScale domyślnie stosuje następujące limity kwot, gdy użytkownicy konfigurują zasoby aplikacyjne:
| Zasób | Ograniczenie |
|---|---|
| DataMart | 100 na instancję |
| Usługodawcy | 100 na instancję |
| Systemy zintegrowane | 100 na instancję |
| Subskrypcje | 100 na dostawcę usług |
| Monitoruj instancje | 100 na subskrypcję |
Każdy zasób aplikacyjny w systemie Watson OpenScale ma twarde ograniczenie 10000 instancji zasobu na instancję usługi.
Dalsze kroki
Konfigurowanie tożsamości i zarządzania dostępem
Temat nadrzędny: Bezpieczeństwo informacji