访问管理和治理 watsonx.data
本主题提供了 watsonx.data 中访问管理和治理的详细信息。
watsonx.data 访问管理是安全性的一个关键方面,它确保只有授权人员才能访问 watsonx.data,同时它还涉及定义正确的人员对正确组件和服务的正确访问权限和特权。
watsonx.data 中的访问管理包括三个级别的访问控制:
用户认证(1级)
用户认证是用户登录 watsonx.data 所需的第一级访问权限。 它由两部分组成。
- 访问部署了 watsonx.data 的平台。 例如,watsonx.data 在 IBM 云上,AWS。 更多信息,请参阅 管理用户。
- watsonx.data 内的基于角色的访问控制。 例如,管理员和用户角色具有特定的访问权限,privileges.For 更多信息,请参阅 管理用户角色。
watsonx.data 上的1级认证与 IBM Cloud 上的 IBM Cloud 认证框架一致。 如需了解更多信息,请参阅 IBM Cloud IAM角色 和 操作以及账户管理服务角色。
您可以创建访问组,或授予访问权限,以访问任何目标或特定权限。
除了认证之外,在 IBM 云中,IAM平台角色默认被赋予一些特权和权限。 下表提供了详细信息。 这些角色将被分配给用户或用户组。
字段 | 描述 |
---|---|
IAM平台角色 | 操作 |
IAM平台管理员 | lakehouse.metastore.admin lakehouse.dashboard.view |
IAM平台运营商、编辑、查看器 | lakehouse.dashboard.view |
其他 | 取决于管理员分配的操作 |
jdbc.url | 提供 JDBC URL。 |
下表提供了 watsonx.data、IBM Cloud 和 AWS 的服务角色详情。 Metastore Admin角色用于 Db2、Netezza 和Spark。 Metastore Admin拥有HMS Thrift API的完全访问权限。 元存储查看器角色具有HMS Rest API的读取权限。 数据访问角色仅用于IKC集成的数据分析。
字段 | 描述 |
---|---|
服务角色 | 操作 |
Metastore管理员 | lakehouse.metastore.admin |
元存储查看器 | lakehouse.metastore.view |
数据访问(主要用于服务集成)。 例如,IKC与WXD的整合) | lakehouse.data.access |
验证选项
用户可以使用 IBM API密钥或IAM令牌进行身份验证,以通过API或CLI访问 watsonx.data API和服务。 访问 watsonx.data 用户界面的用户名和密码。
presto-cli的认证选项 用户还可以使用presto-cli,或通过 JDBC 与 IBM Cloud – IBM API密钥或IAM令牌连接到 Presto。 更多信息,请参阅 watsonx.data 中的 IBM Cloud 连接到 Presto 服务器。
用户访问资源(2级)
通过二级访问控制,可以为 watsonx.data 用户分配查看、编辑和管理资源(包括引擎、目录、存储和数据库)的角色。
对许多企业而言,控制对发动机和其他部件的访问是一项关键要求。 为了确保资源使用得到控制,IBM® watsonx.data 提供了对这些资源进行访问控制管理的能力。 拥有资源管理权限的用户可以授予其他用户访问权限。
有关 L2 访问控制的更多信息,请参阅 watsonx.data 上的 IBM Cloud 和 AWS,请参阅 管理用户 和 管理角色和权限。
高级用户访问资源(3级)
在数据访问级别,您可以定义数据访问策略,并授予或限制对 watsonx.data 中的架构、表和列的访问权限。 您可以通过使用 watsonx.data 访问管理系统、IBM Knowledge Catalog 集成或 Apache Ranger集成来定义策略。
watsonx.data 访问管理系统 有关 上数据访问策略的更多信息,请参阅 watsonx.data IBM Cloud管理数据策略规则。
IBM Knowledge Catalog 数据管理和访问控制集成 将 与 集成,为需要使用数据资产获取洞察力的知识工作者提供自助访问数据资产的功能。watsonx.data IBM Knowledge Catalog
更多信息,请参阅 与 IBM Knowledge Catalog 集成。
Apache Ranger集成,用于数据管理和访问控制 支持 Ranger策略,通过与多种管理工具和引擎集成,实现全面的数据安全。IBM watsonx.data Apache
更多信息,请参阅 启用 Apache Ranger资源策略。
共同政策网关(CPG)
CPG 是一项独立的服务,能够根据请求做出或委托做出管理决策(包括内置和外部政策)。 这是一种统一的服务,允许所有应用程序利用单一服务来批准或委托外部系统进行访问控制和治理批准。这是一种关键的差异化能力,允许 watsonx.data 与任何策略引擎集成,以提供更大的灵活性和与客户生态系统集成的便利性。
数据访问服务(DAS)
watsonx.data 中的数据访问服务(DAS)代理提供了访问对象存储、管理外部引擎和审计数据访问的统一方式。 所有这些都是在不暴露凭据或不需要对引擎进行复杂修改的情况下完成的,引擎不受 watsonx.data 的控制。
更多信息,请参阅 数据访问服务概述。
获取连接信息
您可以从“配置”页面的“连接信息”磁贴和“实例详细信息”页面查看 watsonx.data 的连接信息。 有关 watsonx.data 连接的更多信息,请参阅 获取连接信息。
watsonx.data 上的默认用户名和密码 IBM Cloud
Username- 用户名可以是 ibmlhapikey
或 ibmlhtoken
。
密码- 密码可以是 IBM Cloud API key
或 IBM IAM access token
。 更多信息,请参阅 获取 IBM API 密钥 和 获取 IBM 访问管理(IAM)令牌。
要使用 API 密钥与 watsonx.data 通信,必须从提供 watsonx.data 的账户创建 API 密钥。