使用受信任配置文件管理访问权限
本指南介绍了如何在 IBM Cloud Identity and Access Management (IAM)中创建、配置受信任配置文件并为其分配访问权限。 “受信任的配置文件”使 IBM Cloud 服务(例如 IBM 和 watsonx Orchestrate )能够安全地获取权限并与其他云资源进行交互,而无需 API 密钥或用户凭据。 这种方法通过消除对服务凭据的管理和轮换需求,从而提高了安全性。
准备工作
开始之前,请确保您已准备好以下内容:
对将创建受信任配置文件的 IBM Cloud 账户的管理员访问权限
IAM 访问组服务的 “编辑”或“管理员”角色
将被信任的资源或服务实例的 CRN(云资源名称)
获取可信来源的CRN
云资源名称(CRN)用于唯一标识将采用该受信任配置的服务实例。 查找您的课程编号(CRN):
- 在 IBM Cloud 仪表板中,从资源列表中打开您的 watsonx Orchestrate 实例。
- 在资源概览页面上,点击右上角的 “详细信息”。
- 此时会弹出一个侧边面板,显示该服务实例的元数据。
- 请在此面板中查找 CRN。
- CRN的格式如下:
crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<instance-id>:: - 点击 CRN 旁边的复制图标即可复制该编号。
请将 CRN 安全地保存下来,以便在后续步骤中使用。
创建并配置受信任的配置文件
请按照以下步骤,在单一工作流中创建受信任配置文件、添加受信任来源并分配 IAM 访问权限。
在 IBM Cloud 控制台中,转到 “管理” > “访问”(IAM)。
在左侧导航菜单中,选择 “受信任的配置文件 ”,然后点击 “创建 ”。
在 “创建受信任配置文件 ”窗口的 “配置文件详细信息 ”下,输入以下名称: watsonx -orchestrate-trusted-profile
名称“ watsonx -orchestrate-trusted-profile”必须完全一致,以确保配置成功。
(可选)添加描述,例如: watsonx Orchestrate 访问 IBM Cloud 资源的受信任配置文件。
单击继续。
在 “选择受信任的实体类型 ”下,选择“ IBM Cloud 服务 ”。
请将您的 watsonx Orchestrate 实例的 CRN 粘贴到CRN字段中。
(可选)为可信来源添加描述。
单击继续。
在 “您希望如何分配访问权限? ”下, 选择访问策略。
在搜索栏中搜索并选择 “IAM 访问组服务 ”,然后单击 “下一步 ”。
在 “资源 ”下,选择 “所有资源 ”,然后单击 “下一步 ”。
在 “角色和操作 ”下,选择 “管理员 ”角色。 单击 下一步。
查看政策摘要,然后点击 “添加”。
点击 “创建 ”以完成受信任配置文件的设置。
您将看到一条确认消息,提示受信任配置文件和访问策略已成功创建。 当受信任配置文件的 “访问 ”选项卡显示以下内容时,即确认设置成功:
向可信概要文件分配访问权
创建受信任配置文件后,请按照以下步骤操作,以验证受信任源是否配置正确 ,并在一条连续的操作流程中授予所需的访问权限:
打开“受信任的配置文件”,然后转到 “信任关系 ”选项卡。
选择“ IBM Cloud ”服务 ,并确认您添加的CRN是否出现在表格中。
接下来,转到受信任配置文件的 “访问 ”选项卡。
点击 “分配访问权限 ”。
在 “创建策略 ”面板中,打开 “服务 ”下拉菜单。
查找并选择“ watsonx Orchestrate ”。
单击下一步。
在 “资源 ”下,选择 “特定资源 ”。
使用以下方式添加资源条件:实例名称 > 字符串等于 > 您的确切实例名称(例如,“ watsonx Orchestrate -preprod”)。
请确认资源状态与您期望的实例相符。
单击下一步。
在 “角色和操作 ”下,选择 “管理员 ”角色。
- 查看右侧显示的访问摘要,然后点击 “添加”。
- 点击 “分配” 以完成该操作。
系统将显示一条确认信息,提示访问权限已成功分配。
“助理建筑师”权限的影响
当您将用户的服务实例角色从 “管理员 ”或 “构建者” 更改为 “WO 用户 ”,然后为其分配特定于工作区的角色时,该用户将完全无法访问“助理构建者”。
是什么导致了这种现象
作为工作区 IAM 变更的一部分, watsonx Orchestrate 现已在 Assistant Builder 中支持选择子范围,该功能与 watsonx Assistant 中提供的功能完全一致。 启用细粒度工作区访问控制时,您还必须为 Assistant Builder 实施细粒度访问控制,以维持用户访问权限。
必需操作
如果您采用了精细化的工作区访问控制,且您的用户需要访问 Assistant Builder:
配置工作区级别的访问权限
通过为特定助手及其他 Assistant Builder 资源分配相应角色,为同一组用户配置 Assistant Builder 的访问控制
有关配置 Assistant Builder 访问控制的详细说明,请参阅 《访问控制的工作原理》。
为“全局工作区”访问创建访问组
若要允许用户在无需完整服务实例权限的情况下访问全局工作区,请创建一个带有定向策略的访问组。
创建访问组
在 IBM Cloud 控制台中,转到 “管理” > “访问(IAM) ” >“访问组”。 单击 “创建 ”,输入名称(例如 “全局访问组 ”),然后单击 “创建”。
分配实例级策略
- 选择 “访问 ”选项卡,点击 “分配访问权限 ”
- 搜索您的实例名称(例如 watsonx Orchestrate Dev ),然后单击 “下一步 ”。
- 选择 “特定资源 ”,并添加条件:实例名称 > 字符串等于 > 您的确切实例名称。 点击 “下一步”。
- 在 “角色和操作 ”下,于 “服务访问 ”中选择 “WO 用户 ”,在 “平台访问 ”中选择 “查看者 ”。
- 单击下一步。
- 查看政策摘要,然后点击 “添加”。
- 点击 “分配 ”以完成操作。
分配全局工作区策略
- 选择 “访问 ”选项卡,然后单击 “分配访问权限 ”。
- 搜索您的实例名称(例如 watsonx Orchestrate Dev ),然后单击 “下一步 ”。
- 选择 “特定资源 ”,并添加三个条件:
- 1. 实例名称 > 字符串等于 > 您的确切实例名称
- 2. 资源类型 > 字符串等于 > 工作区 ID
- 3. 助手、技能或环境 > 字符串等于 >
00000000-0000-0000-0000-000000000001 - 点击 “下一步 ”,选择 “编辑 ”和 “撰稿人 ”角色,然后点击 “审核并分配 ”。
将用户添加到组中
导航至访问组,转到 “用户 ”选项卡,点击 “添加用户 ”,选择用户,然后点击 “添加到组 ”。
该访问组中的用户将在全局工作区(ID: 00000000-0000-0000-0000-000000000001)上拥有编辑权限,但不具备更广泛的服务实例访问权限。
- 使用 watsonx Orchestrate 用户界面将用户添加到私有工作区,并自动授予其全局工作区访问权限。
- 如果您更倾向于集中式或基于策略的访问管理,请使用 IBM Cloud 控制台手动创建一个带有针对性策略的访问组。
限制对私人工作区的访问
默认情况下,在 watsonx Orchestrate 中拥有高级服务实例角色的用户会自动继承广泛的工作区访问权限:
- 服务实例级别的管理员在所有工作区中授予 “所有者 ”权限
- 在服务实例级别授予 “构建者” 权限,可在所有工作区中授予 “编辑者 ”权限
此默认行为可确保管理员和构建人员能够管理并构建整个租户范围内的资源。 有关更多详细信息,请参阅 “了解工作区角色和权限 ”。
如果您希望将现有管理员或构建者的权限限制在特定工作区,同时仍允许其访问全局工作区中的工件,可以按照以下说明调整其角色。
- 在 watsonx Orchestrate 中,具有“管理员”或“构建者”角色的用户将自动拥有该实例中所有工作区的访问权限,包括所有私有工作区,无论其是否为私有工作区的成员。 工作区级别的访问控制不会限制管理员或构建者的权限。
- 请勿将“构建者”角色授予仅需在部分工作区中构建工件的用户。 若要限制对特定工作区的访问权限,请为用户分配 “WO User ”服务实例角色,将其添加到 “全局工作区访问组 ”,并仅在其应访问的工作区上明确授予 “所有者 ”或 “编辑者 ”角色。
如何限制现有管理员或建设者的权限
请按照以下步骤,限制具有提升服务实例角色的用户的 Workspace 访问权限:
降低用户的服务实例角色
将用户的“ watsonx Orchestrate ”服务实例角色从 “管理员 ”或 “构建者” 更改为 “WO 用户 ”。 只有具有管理员权限的用户才能在 watsonx Orchestrate 中管理用户和角色。
“WO User”是访问该服务所需的最低权限角色。
授予对全局工作区的访问权限
您可以创建一个带有定向策略的访问组。 如需更多信息,请参阅上一节“为全局工作区访问创建访问组”。
授予访问特定工作区的权限(如有需要)
在 watsonx Orchestrate 中使用“工作区”界面,仅对用户应访问的工作区分配 “所有者 ”或 “编辑者 ”角色。
此方法在保留对全局工作区的访问权限的同时,取消了对所有工作区的自动访问权限。