ロールおよび特権の管理
ロールは、ユーザーが IBM® watsonx.dataで特定のタスクを実行および管理できるようにするためにユーザーに割り当てられる特権のセットです。
watsonx.data には、事前定義された一連の役割 (管理者、ユーザー、マネージャー、ライター、およびリーダー) が用意されています。
「アクセス制御」 ページを使用して、 watsonx.dataでユーザーおよび役割を管理します。 詳しくは、ユーザーのアクセス権限の管理を参照してください。
以下の表では、役割および関連する権限に割り当てることができる特権について説明します。
インスタンスとインストール
デフォルトの管理アクセス権限
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
デフォルトのユーザー・アクセス
IAM 形成の非管理者 (オペレーター、エディター、ビューアー) には、デフォルトのユーザー・アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | ユーザー | Metastore アクセス |
|---|---|---|---|
| Presto (Java) または Presto (C++) エンジンを作成します | ✓ | ||
| Spark エンジンの作成または登録 | ✓ | ||
| Milvusのサービス | ✓ | ||
| Milvusのサービスを削除 | ✓ | ||
| Milvusのサービスを見る | ✓ | ||
| 内部データシートを再起動する | ✓ | ||
| Presto (Java) または Presto (C++) エンジンをスケールします | ✓ | ||
| ストレージの登録解除 | ✓ | ||
| DB 接続の登録抹消 | ✓ | ||
| カタログ化されたストレージをアクティブにする(データシートを再起動する) | ✓ | ||
| 自社ストレージの登録と解除 | ✓ | ✓ | ✓ |
| 自身の DB 接続の登録および登録抹消 | ✓ | ✓ | ✓ |
| メタストアへのアクセス | ✓ | ✓ | |
| Spark ingestionジョブの実行 | ✓ | ✓ |
エンジン (Presto (Java) または Presto (C++))
デフォルトの管理アクセス権限
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | マネージャー | ユーザー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| の削除 | ✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| 一時停止して再開 | ✓ | ✓ | ||
| 再始動 | ✓ | ✓ | ||
| カタログの関連付けおよび関連付け解除 | ✓ | ✓ | ||
| Presto (Java) または Presto (C++) クエリ モニター UI にアクセスします | ✓ | ✓ | ||
| ビュー(UIとAPI) | ✓ | ✓ | ✓ | |
| エンジンに対するワークロードの実行 | ✓ | ✓ | ✓ |
エンジン (外部 Spark)
デフォルトの管理アクセス権限
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | マネージャー | ユーザー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| の削除 | ✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| Spark エンジン・メタデータ (タグや説明など) の更新 | ✓ | ✓ | ||
| Spark エンジンのスケーリング | ✓ | ✓ | ||
| ビュー(UIとAPI) | ✓ | ✓ | ✓ | |
| エンジンに対するワークロードの実行 | ✓ | ✓ | ✓ |
エンジン (ネイティブ Spark)
デフォルトの管理アクセス権限
デフォルトのユーザー・アクセス権限は、以下に付与されます。
- フォーメーション管理者 (IAM)
- インスタンス管理者 (CPD)
リソース・レベルのアクセス権
| アクション | Admin | マネージャー | ユーザー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| エンジンの作成および削除 | ✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| スケール・エンジン | ✓ | ✓ | ||
| 一時停止して再開 | ✓ | ✓ | ||
| Spark エンジン・メタデータ (タグや説明など) の更新 | ✓ | ✓ | ||
| Spark のデフォルト・バージョンの更新 | ✓ | ✓ | ||
| Spark のデフォルト構成の更新 | ✓ | ✓ | ||
| Spark エンジンのスケーリング | ✓ | ✓ | ||
| Spark ヒストリー・サーバーの開始と停止 | ✓ | ✓ | ✓ | |
| Spark 履歴 UI の表示 | ✓ | ✓ | ✓ | |
| Spark UIを見る | ✓ | ✓ | ✓ | |
| カタログの関連付けおよび関連付け解除 | ✓ | ✓ | ||
| ビュー(UIとAPI) | ✓ | ✓ | ✓ | |
| エンジンに対するワークロードの実行 | ✓ | ✓ | ✓ |
エンジン ( Db2 と Netezza )
デフォルトの管理アクセス権限
デフォルトのユーザー・アクセス権限は、以下に付与されます。
- フォーメーション管理者 (IAM)
- インスタンス管理者 (CPD)
リソース・レベルのアクセス権
| アクション | Admin | マネージャー | ユーザー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| エンジンの作成および削除 | ✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| エンジンの詳細を更新 | ✓ | ✓ | ||
| エンジンを見る | ✓ | ✓ | ✓ |
サービス Milvus
デフォルトの管理アクセス権限
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
デフォルトの管理者は、削除、一時停止、再開などの管理およびメンテナンス作業を実行できますが、 Milvus サービスへのアクセス権の付与や剥奪はできません。 Milvus サービスを作成したユーザーが、プライマリ管理者とみなされます。 Milvus サービスへのアクセス権の付与または剥奪は、プライマリ管理者またはプライマリ管理者から管理者アクセス権を付与されたユーザーのみが行うことができます。
リソース・レベルのアクセス権
| アクション | Admin | エディター | ビューアー | ユーザー | データベース作成者(暗黙の役割) | コレクション作成者(暗黙の役割) | パーティション作成者(暗黙の役割) |
|---|---|---|---|---|---|---|---|
| 指定されたMilvusのサービスを見る | ✓ | ✓ | ✓ | ✓ | |||
| 割り当てられた Milvus サービスを削除する | ✓ | ||||||
| 指定された Milvus サービスへのアクセスを許可する | ✓ | ||||||
| 指定された Milvus サービスからのアクセスを取り消す | ✓ | ||||||
| Milvusのサービスを一時停止 | ✓ | ||||||
| Milvus サービスの再開 | ✓ | ||||||
コレクション CreateIndex |
✓ | ✓ | ✓ | ✓ | |||
コレクション DropIndex |
✓ | ✓ | ✓ | ✓ | |||
コレクション DescribeCollection |
✓ | ✓ | ✓ | ✓ | ✓ | ||
グローバル CreateCollection |
✓ | ✓ | ✓ | ||||
グローバル ShowCollections |
✓ | ✓ | ✓ | ✓ | |||
グローバル CreateAlias |
✓ | ✓ | ✓ | ||||
グローバル DropAlias |
✓ | ✓ | ✓ | ||||
グローバル DescribeAlias |
✓ | ✓ | ✓ | ✓ | |||
グローバル ListAliases |
✓ | ✓ | ✓ | ✓ | ✓ | ||
グローバル FlushAll |
✓ | ✓ | |||||
グローバル CreateResourceGroup |
✓ | ||||||
グローバル DropResourceGroup |
✓ | ||||||
グローバル DescribeResourceGroup |
✓ | ||||||
グローバル ListResourceGroups |
✓ | ||||||
グローバル TransferNode |
✓ | ||||||
グローバル TransferReplica |
✓ | ||||||
グローバル CreateDatabase |
✓ | ✓ | |||||
グローバル DropDatabase |
✓ | ✓ | ✓ | ||||
グローバル ListDatabases |
✓ | ✓ | ✓ | ||||
コレクション IndexDetail |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション Search |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
コレクション Query |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
コレクション Load |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション GetLoadingProgress |
✓ | ✓ | ✓ | ✓ | |||
コレクション GetLoadState |
✓ | ✓ | ✓ | ✓ | |||
コレクション Release |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション RenameCollection |
✓ | ✓ | ✓ | ✓ | |||
コレクション DropCollection |
✓ | ✓ | ✓ | ✓ | |||
コレクション Insert |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション Delete |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション Flush |
✓ | ✓ | ✓ | ✓ | |||
コレクション GetFlushState |
✓ | ✓ | ✓ | ✓ | |||
コレクション Upsert |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション GetStatistics |
✓ | ✓ | ✓ | ✓ | |||
コレクション Compaction |
✓ | ✓ | ✓ | ✓ | |||
コレクション Import |
✓ | ✓ | ✓ | ✓ | |||
コレクション LoadBalance |
✓ | ✓ | ✓ | ✓ | |||
コレクション CreatePartition |
✓ | ✓ | ✓ | ✓ | |||
コレクション DropPartition |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション ShowPartitions |
✓ | ✓ | ✓ | ✓ | ✓ | ||
コレクション HasPartition |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ストレージ
デフォルトの管理アクセス権限 (作成者の場合のみ)
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | ライター | リーダー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| 登録抹消 | ✓ | |||
| ストレージのプロパティ(認証情報)を更新する | ✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| ファイルの変更 | ✓ | ✓ | ||
| ブラウズ(UIのストレージブラウザ) | ✓ | ✓ | ✓ | |
| ビュー(UIとAPI) | ✓ | ✓ | ✓ | ✓ |
ストレージの登録を解除または削除したい場合は、まずストレージを非アクティブにする必要があります。
S3 REST API権限(IBMスパークとS3プロキシ)
ユーザは、ストレージ内のすべてのサブフォルダとファイルに対して相対ストレージロールを取得したり、特定のフォルダやファイルに対してファイルアクションを付与することができます。 以下の表は、ストレージレベルとデータ・オブジェクトレベルの S3 REST API 権限について説明しています。
以下の表は、IBM SparkはデフォルトでS3署名または使用している場合S3プロキシ。
| 記憶役割 | S3 REST API 権限 |
|---|---|
| ライター | GET; HEAD; PUT; POST; PATCH; DELETE |
| リーダー | ゲット;ヘッド |
| Admin | GET; HEAD; PUT; POST; PATCH; DELETE |
| データオブジェクトアクション | S3 REST API 権限 |
|---|---|
| 読み取り | ゲット;ヘッド |
| 書き込み | GET; HEAD; PUT; PATCH; POSTなし ?delete パラメータ |
| の削除 | 削除; 投稿 ?delete パラメータ |
データベース
デフォルトの管理アクセス権限 (作成者の場合のみ)
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | ライター | リーダー | 明示的な役割を持たないユーザー |
|---|---|---|---|---|
| 登録抹消 | ✓ | |||
db conn プロパティー (資格情報) の更新 |
✓ | |||
| アクセス権限の付与および取り消し | ✓ | |||
| データベース・オブジェクトの変更 | ✓ | ✓ | ||
| ビュー(UIとAPI) | ✓ | ✓ | ✓ | ✓ |
catalog
デフォルトの管理アクセス権限 (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
デフォルトのユーザー・アクセス (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
IAM 形成の非管理者 (オペレーター、エディター、ビューアー) には、デフォルトのユーザー・アクセス権限があります。
リソース・レベルのアクセス権
| アクション | Admin | ユーザー | 明示的な役割を持たないユーザー |
|---|---|---|---|
| の削除 | ✓ | ||
| アクセス権限の付与および取り消し | ✓ | ||
| データへのアクセス | ✓ | データ・ポリシーに基づく | |
| ビュー(UIとAPI) | ✓ | ✓ |
スキーマ
デフォルトの管理アクセス権限 (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
デフォルトのユーザー・アクセス (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
IAM 形成の非管理者 (オペレーター、エディター、ビューアー) には、デフォルトのユーザー・アクセス権限があります。
リソース・レベルのアクセス権
| アクション | カタログ管理者またはスキーマ作成者 | その他 |
|---|---|---|
| アクセス権限の付与および取り消し | ✓ | |
| ドロップ | ✓ | |
| アクセス | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| 表の作成 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
表
デフォルトの管理アクセス権限 (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
フォーメーション管理者 (IAM) には、デフォルトの管理アクセス権限があります。
デフォルトのユーザー・アクセス (管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく)
IAM 形成の非管理者 (オペレーター、エディター、ビューアー) には、デフォルトのユーザー・アクセス権限があります。
リソース・レベルのアクセス権
| アクション | カタログ管理者またはスキーマ管理者または表作成者 | その他 |
|---|---|---|
| 作成、ドロップ、および変更 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| 列アクセス | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| 選択 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| 挿入 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| 更新 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |
| の削除 | ✓ | 管理者によって watsonx.data で定義されたアクセス・データ制御ポリシーに基づく |