IBM Cloud 帳戶安全
IBM Cloud提供 IBM watsonx 的帳戶安全機制。 這些安全機制 (包括 SSO 及角色型、群組型及服務型存取控制) 會保護對資源的存取權,並提供使用者鑑別。
| 機制 | 目的 | 職責 | 配置於 |
|---|---|---|---|
| 存取 (IAM) 角色 | 提供服務的角色型存取控制 | 客戶 | IBM Cloud |
| 存取群組 | 配置存取群組及原則 | 客戶 | IBM Cloud |
| 資源群組 | 將資源組織成群組並指派存取權 | 客戶 | IBM Cloud |
| 服務 ID | 讓 IBM Cloud 外部的應用程式可以存取 IBM Cloud 服務 | 客戶 | IBM Cloud |
| 服務 ID API 金鑰 | 向服務 ID 鑑別應用程式 | 客戶 | IBM Cloud |
| Activity Tracker | 監視與 IBM watsonx 相關的事件 | 客戶 | IBM Cloud |
| 多因子鑑別 (MFA) | 需要使用者使用 ID 及密碼以外的方法進行鑑別 | 客戶 | IBM Cloud |
| 單一登入鑑別 | 使用 SAML 聯合連接身分提供者 (IdP) 以進行單一登入 (SSO) 鑑別 | 已共用 | IBM Cloud |
IAM 存取角色
您可以使用 IAM 存取角色來提供使用者對於屬於資源群組之所有資源的存取權。 您也可以授與使用者管理資源群組的存取權,以及建立指派給資源群組的新服務實例。
如需逐步指示,請參閱 IBM Cloud 文件:指派對資源的存取權
存取群組
在設定和組織帳戶中的資源群組之後,您可以使用存取群組來簡化存取管理。 建立存取群組,以將一組使用者及服務 ID 組織到單一實體中。 然後,您可以透過將原則指派給存取群組來將其指派給所有群組成員。 因此,您可以將單一原則指派給存取群組,而不是為個別使用者或服務 ID 多次指派相同的原則。
藉由使用存取群組,您可以透過對存取群組中的所有身分授與相同的存取權來最低限度地管理指派的原則數。
如需相關資訊,請參閱:
資源群組
使用資源群組,將您帳戶的資源組織成有助於存取控制的邏輯群組。 您可以指派群組的存取權,而非指派個別資源的存取權。 資源是由 IAM 管理的任何服務,例如資料庫。 無論何時從雲端型錄建立服務實例,您都必須將其指派給資源群組。
資源群組與存取群組原則配合工作,提供了依使用者群組管理資源存取權的方法。 透過將使用者包含在存取群組中並將存取群組指派給資源群組,您可以提供對群組中所含資源的存取權。 非成員無法使用這些資源。
Lite 帳戶隨附名為 "Default" 的單一資源群組,因此所有資源都放置在 Default 資源群組中。 使用付費帳戶時,管理者可以建立多個資源群組來支援您的業務,並依需要提供資源的存取權。
如需逐步指示,請參閱 IBM Cloud 文件:管理資源群組
如需配置資源群組以提供安全存取的提示,請參閱 IBM Cloud 文件:組織資源及指派存取權的最佳實務
服務 ID
您可以在 IBM Cloud 中建立服務 ID,讓 IBM Cloud 外部的應用程式可以存取 IBM Cloud 服務。 服務 ID 與特定使用者無關。 如果使用者離開組織並從帳戶中刪除,服務 ID 會保持不變,以確保您的服務繼續運作。 指派給每個服務 ID 的存取原則可確保您的應用程式具有適當的存取權,以便向 IBM Cloud 服務進行鑑別。 請參閱專案合作人員。
使用服務 ID 及存取原則的一種方式是管理對 Cloud Object Storage 儲存區的存取權。 請參閱 控制對 Cloud Object Storage 儲存區的存取權。
如需相關資訊,請參閱 IBM Cloud 文件: 建立及使用服務 ID。
服務 ID API 金鑰
可以將服務 ID 和唯一的 API 金鑰結合使用,以獲得額外的保護。 與服務 ID 相關聯的 API 金鑰可以設定為一次性使用或無限制使用。 如需相關資訊,請參閱 IBM Cloud 文件: 管理服務 ID API 金鑰。
Activity Tracker
Activity Tracker 會收集並儲存對 IBM Cloud 中執行的資源進行的 API 呼叫(事件)的審核記錄。 您可以使用 Activity Tracker 來監視 IBM Cloud 帳戶的活動,以調查異常活動和重要動作,以及符合法規審核需求。 所收集的事件符合「雲端審核資料聯合 (CADF)」標準。 產生 Activity Tracker 事件的 IBM 服務遵循 IBM Cloud 安全原則。
如需適用於 IBM watsonx的事件清單,請參閱 Activity Tracker 事件。
如需配置 Activity Tracker的指示,請參閱 IBM Cloud 文件: 開始使用 IBM Cloud Activity Tracker。
多因子鑑別
多因子鑑別(或 MFA)在登入時需要多種類型的鑑別方法,從而增加了一層額外的安全保護。 輸入有效的使用者名稱及密碼之後,使用者也必須滿足第二個鑑別方法。 例如,透過文字或電子郵件向使用者傳送具有時效性的密碼。 必須輸入正確的密碼才能完成登入程序。
如需相關資訊,請參閱 IBM Cloud 文件: 多因子鑑別類型。
單一登入鑑別
單一登入 (SSO) 是一種鑑別方法,可讓使用者登入使用一組認證的多個相關應用程式。
IBM watsonx 支援使用「安全主張標記語言 (SAML)」聯合 ID 的 SSO。 SAML 聯合需要與 IBM 進行協調才能配置。 SAML 會使用身分提供者 (IdP) 提供的使用者認證來連接 IBMid。 對於已使用 IBM配置 SAML 聯合的公司,使用者可以使用其公司認證來登入 IBM watsonx 。 SAML 聯合是使用 IBM watsonx進行 SSO 配置的建議方法。
IBMid Enterprise Federation Adoption Guide 說明聯合身分提供者 (IdP) 所需的步驟。 您需要 IBM 贊助者,這是 IBM 員工,擔任您與 IBMid 團隊之間的聯絡人。
如需 SAML 聯合的概觀,請參閱 IBM Cloud SAML 聯合手冊。 此部落格討論 SAML 聯合及 IBM Cloud App ID。 IBM Cloud App ID 支援作為 IBM watsonx的測試版。
上層主題: 安全