Gestión del acceso mediante perfiles de confianza

Editar en línea

Esta guía explica cómo crear, configurar y asignar acceso a un perfil de confianza en « IBM Cloud Identity and Access Management » (IAM). Los perfiles de confianza permiten que los servicios de IBM Cloud, como IBM y watsonx Orchestrate, asuman permisos de forma segura e interactúen con otros recursos en la nube sin necesidad de claves API ni credenciales de usuario. Este enfoque mejora la seguridad al eliminar la necesidad de gestionar y rotar las credenciales de servicio.

Importante: Actualmente, los espacios de trabajo solo son compatibles con IBM Cloud.

Antes de empezar

Antes de empezar, asegúrate de que dispones de lo siguiente:

  • Acceso de administrador a la cuenta IBM Cloud, donde se creará el perfil de confianza

  • Rol de editor o administrador para el servicio de grupos de acceso de IAM

  • El CRN (Cloud Resource Name) del recurso o de la instancia del servicio en el que se depositará la confianza

Advertencia: Si habilitas el control de acceso detallado para los espacios de trabajo y utilizas Assistant Builder, también debes configurar el control de acceso detallado para los recursos de Assistant Builder (como los asistentes y los artefactos relacionados). Consulte las implicaciones del acceso de Assistant Builder para obtener más detalles.

Obtenga el CRN de la fuente de confianza

El nombre de recurso en la nube (CRN) identifica de forma única la instancia del servicio que adoptará el perfil de confianza. Para encontrar tu CRN:

  1. En el panel de control de « IBM Cloud », abre tu instancia de « watsonx Orchestrate » desde la lista de recursos.
  2. En la página de resumen del recurso, haz clic en «Detalles» en la esquina superior derecha.
  3. Aparece un panel lateral con los metadatos de la instancia del servicio.
  4. Busca el CRN en este panel.
  5. El CRN sigue el siguiente formato: crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<instance-id>::
  6. Haz clic en el icono de copiar situado junto al CRN para copiarlo.

Guarda el CRN de forma segura para utilizarlo en los pasos siguientes.

Crear y configurar el perfil de confianza

Sigue estos pasos para crear el perfil de confianza, añadir la fuente de confianza y asignar acceso de IAM en un único flujo de trabajo.

  1. En la consola de IBM Cloud, ve a «Administrar» > «Acceso» (IAM).

  2. En el menú de navegación de la izquierda, selecciona «Perfiles de confianza » y, a continuación, haz clic en «Crear ».

  3. En la ventana «Crear perfil de confianza », en la sección «Detalles del perfil », introduzca el siguiente nombre: watsonx -orchestrate-trusted-profile

  4. El nombre « watsonx -orchestrate-trusted-profile » debe coincidir exactamente para garantizar que la configuración se realice correctamente.

  5. (Opcional) Añade una descripción, por ejemplo: Perfil de confianza para que watsonx Orchestrate pueda acceder a los recursos de IBM Cloud.

  6. Pulse en Continue (Continuar).

  7. En «Seleccionar tipo de entidad de confianza », seleccione «Servicios de IBM Cloud ».



  8. Pega el CRN de tu instancia de « watsonx Orchestrate » en el campo CRN.

  9. (Opcional) Añade una descripción de la fuente de confianza.

  10. Pulse en Continue (Continuar).

  11. En «¿Cómo quieres asignar el acceso? », Selecciona «Política de acceso ».

  12. En la barra de búsqueda, busca y selecciona «IAM Access Groups Service » y, a continuación, haz clic en «Siguiente ».



  13. En «Recursos», selecciona «Todos los recursos » y, a continuación, haz clic en «Siguiente ».

  14. En «Roles y acciones », selecciona el rol de administrador. Pulse Siguiente.

  15. Revisa el resumen de la póliza y haz clic en «Añadir ».

  16. Haz clic en «Crear» para finalizar el perfil de confianza.

Aparecerá un mensaje de confirmación indicando que el perfil de confianza y las políticas de acceso se han creado correctamente. La configuración se considera correcta cuando en la pestaña «Acceso» del perfil de confianza aparece lo siguiente:



Asignar acceso al perfil de confianza

Una vez creado el perfil de confianza, siga estos pasos para comprobar que la fuente de confianza está configurada correctamente y asignar el acceso necesario en un proceso continuo:

  1. Abre el perfil de confianza y ve a la pestaña «Relación de confianza ».

  2. Seleccione los servicios de « IBM Cloud » y compruebe que el CRN que ha añadido aparece en la tabla.

  3. A continuación, ve a la pestaña «Acceso» del perfil de confianza.

  4. Pulse Asignar acceso.

  5. En el panel «Crear política », abre el menú desplegable «Servicio ».

  6. Busca y selecciona « watsonx Orchestrate ».

  7. Pulse Siguiente.

  8. En «Recursos», selecciona «Recursos específicos ».

  9. Añade una condición de recurso utilizando: Nombre de la instancia > cadena igual a > el nombre exacto de tu instancia (por ejemplo, « watsonx Orchestrate -preprod»).

  10. Comprueba que las características del recurso se ajusten a la instancia que deseas.

  11. Pulse Siguiente.

  12. En «Roles y acciones », selecciona el rol de administrador.

  13. Revisa el resumen de acceso que aparece a la derecha y haz clic en «Añadir ».
  14. Haz clic en «Asignar» para completar el proceso.

Aparecerá un mensaje de confirmación indicando que el acceso se ha asignado correctamente.

Consecuencias del acceso de los constructores auxiliares

Cuando se cambia la función de una instancia de servicio de un usuario de «Admin» o «Builder» a «WO User» y, a continuación, se le asignan funciones específicas del espacio de trabajo, el usuario pierde todo acceso a Assistant Builder.

¿Qué provoca este comportamiento?

Como parte de los cambios en la gestión de identidades y accesos (IAM) del espacio de trabajo, watsonx Orchestrate ahora permite seleccionar subámbitos en Assistant Builder, de forma idéntica a como se hace en watsonx Assistant. Al habilitar el control de acceso detallado al espacio de trabajo, también debe implementar el control de acceso detallado para Assistant Builder a fin de mantener el acceso de los usuarios.

Acción necesaria

Si ha implementado un control de acceso al espacio de trabajo muy detallado y sus usuarios necesitan acceder a Assistant Builder:

  1. Configurar el acceso a nivel de espacio de trabajo

  2. Configure el control de acceso a Assistant Builder para los mismos usuarios asignando los roles adecuados a asistentes específicos y a otros recursos de Assistant Builder

Para obtener instrucciones detalladas sobre cómo configurar el control de acceso de Assistant Builder, consulta «Cómo funciona el control de acceso ».

Creación de un grupo de acceso para el acceso al espacio de trabajo global

Para conceder a los usuarios acceso al espacio de trabajo global sin privilegios de instancia de servicio completo, cree un grupo de acceso con políticas específicas.

  1. Crear el grupo de acceso

    En la consola de IBM Cloud, ve a «Gestionar» > «Acceso (IAM) » > «Grupos de acceso ». Haga clic en «Crear», introduzca un nombre (por ejemplo, «Grupo de acceso global ») y haga clic en «Crear ».

  2. Asignar una política a nivel de instancia

    • Selecciona la pestaña «Acceso » y haz clic en «Asignar acceso»
    • Busca el nombre de tu instancia (por ejemplo, « watsonx Orchestrate Dev ») y haz clic en «Siguiente ».
    • Selecciona «Recursos específicos » y añade una condición: «Nombre de la instancia» > «cadena igual a» > el nombre exacto de tu instancia. Haz clic en «Siguiente ».
    • En «Roles y acciones », seleccione «Usuario de WO» en «Acceso al servicio» y «Visor» en «Acceso a la plataforma ».
    • Pulse Siguiente.
    • Revisa el resumen de la póliza y haz clic en «Añadir ».
    • Haz clic en «Asignar» para finalizar.

  3. Asignar política de espacio de trabajo global

    • Selecciona la pestaña «Acceso » y, a continuación, haz clic en «Asignar acceso ».
    • Busca el nombre de tu instancia (por ejemplo, « watsonx Orchestrate Dev ») y haz clic en «Siguiente ».
    • Selecciona «Recursos específicos » y añade tres condiciones:
    • 1. Nombre de la instancia > cadena igual a > el nombre exacto de tu instancia
    • 2. Tipo de recurso > cadena igual a > ID del espacio de trabajo
    • 3. Asistente, Habilidad o Entorno > cadena igual a > 00000000-0000-0000-0000-000000000001
    • Haz clic en «Siguiente», selecciona el rol de «Editor» y «Redactor» y, a continuación, haz clic en «Revisar y asignar ».

  4. Añadir usuarios al grupo

    Ve al grupo de acceso, ve a la pestaña «Usuarios», haz clic en «Añadir usuarios », selecciona los usuarios y haz clic en «Añadir al grupo ».

Los usuarios de este grupo de acceso tendrán permisos de editor en el espacio de trabajo global (ID: 00000000-0000-0000-0000-000000000001) sin acceso a otras instancias del servicio.

Nota: Cuando se añade un miembro a un espacio de trabajo privado directamente a través de la interfaz de usuario de watsonx Orchestrate, se le concede automáticamente la pertenencia a la política del espacio de trabajo global. En este caso, no es necesario realizar ninguna acción adicional en la consola de IBM Cloud para acceder al espacio de trabajo global. Puedes elegir el método que mejor se adapte a tus necesidades:
  • Utiliza la interfaz de usuario de watsonx Orchestrate para añadir usuarios a un espacio de trabajo privado y concederles automáticamente acceso global al espacio de trabajo.
  • Utilice la consola de IBM Cloud para crear manualmente un grupo de acceso con políticas específicas, si prefiere una gestión del acceso centralizada o basada en políticas.

Restricción del acceso a los espacios de trabajo privados

De forma predeterminada, los usuarios con roles de instancia de servicio con privilegios elevados en watsonx Orchestrate heredan automáticamente un acceso amplio al espacio de trabajo:

  • El administrador a nivel de instancia del servicio concede privilegios de propietario en todos los espacios de trabajo
  • El rol «Builder» a nivel de instancia de servicio otorga privilegios de «Editor» en todos los espacios de trabajo

Este comportamiento predeterminado garantiza que los administradores y los creadores puedan gestionar y crear recursos en todo el inquilino. Consulte «Comprender las funciones y los permisos del espacio de trabajo » para obtener más información.

Si deseas restringir el acceso de un administrador o desarrollador existente a espacios de trabajo específicos, pero permitiéndole al mismo tiempo acceder a los artefactos del espacio de trabajo global, puedes modificar sus roles tal y como se describe a continuación.

Importante:
  • Los usuarios con roles de administrador o creador en watsonx Orchestrate tienen acceso automático a todos los espacios de trabajo de la instancia, incluidos los espacios de trabajo privados, independientemente de a qué espacios de trabajo privados pertenezcan. Los controles de acceso a nivel de espacio de trabajo no restringen a los administradores ni a los creadores.
  • No utilices el rol «Builder» para usuarios que solo necesiten compilar artefactos en un subconjunto de espacios de trabajo. Para restringir el acceso a espacios de trabajo específicos, asigne a los usuarios el rol de instancia de servicio «WO User», añádalos al grupo «Global Workspace Access Group» y concédales roles explícitos de «Propietario» o «Editor» únicamente en los espacios de trabajo a los que deban acceder.

Cómo restringir el acceso a los administradores o creadores existentes

Siga estos pasos para restringir el acceso al espacio de trabajo a los usuarios con roles de instancia de servicio con privilegios elevados:

  1. Reducir el rol de la instancia de servicio del usuario

    Cambia el rol de la instancia del servicio « watsonx Orchestrate » del usuario de «Admin» o «Builder» a «WO User ». Solo los usuarios con permisos de administrador pueden gestionar usuarios y roles en watsonx Orchestrate.

    El rol de usuario WO es el mínimo necesario para acceder al servicio.

  2. Conceder acceso al espacio de trabajo global

    Puedes crear un grupo de acceso con políticas específicas. Para obtener más información, consulte la sección anterior «Creación de un grupo de acceso para el acceso al espacio de trabajo global ».

  3. Conceder acceso a espacios de trabajo específicos (si es necesario)

    Utilice la interfaz de usuario de «Espacios de trabajo» en watsonx Orchestrate para asignar los roles de «Propietario» o «Editor» únicamente a los espacios de trabajo a los que el usuario deba tener acceso.

Este enfoque mantiene el acceso al espacio de trabajo global, al tiempo que elimina el acceso automático a todos los demás espacios de trabajo.