お客様のアカウントのユーザーによるAWSサービスインスタンス上のサービスとしてのwatsonx.governanceへのアクセスは、Identity and Access Management (IAM) によって制御されます。 さらなるアクセス制御はガバナンス・コンソールで管理される。
お客様のアカウントでwatsonx.governanceサービスにアクセスするすべてのユーザーには、IAM ロールを持つアクセス ポリシーを割り当てる必要があります。 watsonx.governance へのアクセスを割り当てる最適な方法を決定するために、以下の役割、アクションなどを確認してください。
アカウント内のユーザーに割り当てるアクセス・ポリシーによって、サービスのコンテキスト内で、または選択する特定のインスタンスでユーザーが実行できるアクションが決まります。 許可されるアクションは、watsonx.governanceによってカスタマイズされ、サービス上で実行が許可される操作として定義される。 各アクションは、ユーザーまたはグループに割り当てることができるIAMロールにマッピングされる。
IAMアクセス・ポリシーにより、アカウント内の個々のサービス・インスタンスにアクセスを許可することができます
以下の表では、watsonx.governanceサービスで作業する際に、各役割でどのような種類の作業ができるかを概説しています。 サブスクリプション管理ロールは、ユーザがサービス・サブスクリプションに対してタスクを実行できるようにします。たとえば、サービスへのユーザ・アクセスの割り当て、インスタンスの作成または削除などがあります。 サービスアクセスロールを使用すると、ユーザーは Governance コンソールにアクセスし、Governance コンソール API を呼び出すことができます。
| サブスクリプションの役割 | アクションの説明 |
|---|---|
| サブスクリプション・ビューア | ビューワとして、サブスクリプションのインスタンスを表示し、インスタンスのステータスをチェックすることができます。 |
| サブスクリプション・オーナー | オーナーとして、watsonx.governanceサブスクリプションを表示および管理できます。 インスタンスをプロビジョニングすることもできる。 |
| サブスクリプション管理者 | 管理者として、インスタンスを管理することができます。 管理者のアクションには、ユーザーを招待したり、ロールを割り当てたりすることが含まれます。 管理者はサブスクリプションのインスタンスを作成、更新、削除することもできます。 |
| サービスインスタンスの役割 | アクションの説明 |
|---|---|
| サービスユーザー | サービスユーザーとして Governance コンソールにログインできます。 さらなるアクセスはガバナンス・コンソールで定義される。 |
| サービス・オーナー | サービスオーナーとして、あなたは Governance コンソールの管理者アクセス権を持っています。 |
| サービスの 管理者 | サービス管理者として、Governance コンソールの管理者アクセス権を持っています。 |
サービスIDとAPIアクセス
サービスIDとAPIキーを使用して、サービスまたはアプリケーションにサービスインスタンスへのアクセスを許可できます。
詳細については、「 IBM SaaSコンソールからサービス ID および API キーを使用してアクセスを許可する」を参照してください。
IBM SaaSコンソールでアクセスを割り当てる
サービス ユーザー ロールを割り当てて、ユーザーに Governance コンソールへのアクセス権を与えます。
Governance コンソールでユーザーに管理者アクセス権を与えるために、サービス所有者またはサービス管理者ロールを割り当てます。
IBM SaaSコンソールでは、以下のいずれかの方法でアクセスを割り当てることができます:
- ユーザー別のアクセス・ポリシー。 コンソールの「アクセス管理」>「ユーザー」タブから、ユーザーごとのアクセスポリシーを管理できます。
- アクセス・グループ。 アクセス・グループは、アクセス権限をグループに 1 回割り当てることによってアクセス管理を簡素化するために使用されます。その後、ユーザーのアクセス権限を制御するために、必要に応じてグループにユーザーを追加したり、グループからユーザーを削除したりすることができます。 アクセスグループとそのアクセスは、コンソールの「アクセス管理」>「ユーザーグループ」タブで管理できます。
詳細については、アカウントを使っIBM SaaSConsole を始めるを/span>てを参照してください。
ユーザーとグループは Governance コンソールに同期されます。 グループは、アクセスが割り当てられると同期される。
Governance コンソールでのアクセス権の割り当て
管理者は Governance コンソールを使用して、ユーザーのアクセス制御をさらに設定します。 詳細については、ビジネスユーザー向けの Governance コンソールの設定を参照してください。