Control de accesos a actividades IBM Analytics Engine

El acceso a las instancias sin servidor de IBM Analytics Engine se controla mediante la autenticación y la autorización de IAM. IAM es el servicio de gestión de identidades y acceso de IBM Cloud®. La autenticación de usuario y el control de accesos se produce a través de IAM cuando inicia sesión con el IBMId. Consulte cómo recuperar la señal IAM.

Como administrador o creador de la instancia de servicio, puede otorgar o denegar el acceso a otros usuarios con los que desee compartir la instancia de servicio. Todas las actividades de la gestión del ciclo de vida de la instancia de servicio, como la modificación de la configuración de la instancia, el envío y el seguimiento de las aplicaciones de Spark o la personalización de la instancia con conjuntos de bibliotecas personalizados se controlan mediante la autenticación y la autorización de IAM. Consulte Cómo otorgar permisos a los usuarios para saber qué operaciones están soportadas y cuál es el nivel de acceso necesario para cada una de esas operaciones.

Cifrado en reposo

IBM Cloud Object Storage es el almacén de datos recomendado para almacenar los datos necesarios para ejecutar trabajos Spark en el clúster. IBM Cloud Object Storage se suministra con el cifrado incorporado predeterminado. Consulte Cifrado de datos.

Además, o como alternativa al uso del cifrado de almacenamiento IBM Cloud Object Storage en escenarios analíticos para datos a gran escala, puede utilizar el cifrado modular Parquet, especialmente cuando el control de accesos preciso es importante. Consulte Trabajar con cifrado modular Parquet.

Cifrado de puntos finales

Todos los puntos finales de servicio del clúster están cifrados con SSL (TLS 1.2 habilitado). Además, cuando utiliza IBM Analytics Engine con IBM Cloud Object Storage, el enlace entre la instancia de servicio de Object Storage y IBM Analytics Engine está cifrado.

Aislamiento y acceso a la red

Cada instancia sin servidor de IBM Analytics Engine tiene su propio recinto de pruebas aislado que está desconectado de otras instancias desde un punto de vista de red y seguridad.

Las cargas de trabajo de Spark desplegadas en una instancia pueden:

• Comunicarse con otras cargas de trabajo de Spark desplegadas en la misma instancia.
• Comunicarse con Internet público
• Puede conectarse con otros servicios de IBM Cloud® sobre puntos finales privados

Las cargas de trabajo de Spark de una instancia de IBM Analytics Engine no se pueden comunicar con las cargas de trabajo de Spark de otra instancia. Consulte Arquitectura de instancia para obtener más información sobre el aislamiento de instancia.

Cómo garantizar la seguridad del código

Se recomienda aplicar con cautela las bibliotecas o la personalización de paquetes a su instancia. Sólo debe utilizar código seguro de orígenes de confianza para no comprometer la seguridad global de las instancias.

IBM recomienda que explore cualquier código fuente, bibliotecas y paquetes que utilice antes de subirlos a su instancia. Aunque el uso de código no fiable no afectará a otros, puede que le afecte a usted.

Cifrado de datos de red interna para la carga de trabajo de Spark

IBM Analytics Engine permite cifrar la comunicación interna entre los componentes de la aplicación Spark. Para habilitar el cifrado en la red privada, especifique la configuración de cualquiera de las dos maneras siguientes:

• En el momento de suministrar una instancia de IBM Analytics Engine, especifique la configuración bajo el atributo default_config.

  Ejemplo:

  
  "default_config": {
      "spark.ssl.enabled":"true"
  }
  

• En el momento de enviar un trabajo, especifique las opciones en la carga útil bajo conf.

  Ejemplo:

  
  {
   "conf": {
  "spark.ssl.enabled":"true"
   }
  }