Tworzenie zasad dostępu i grup dostępu
Gdy tworzysz instancję w IBM Quantum® Platform, automatycznie generowana jest grupa dostępu, z której mogą korzystać współpracownicy. Jeśli chcesz dostosować tę grupę dostępu lub utworzyć inne grupy, skorzystaj z konsoli IBM® Cloud dla grup dostępu.
Grupa dostępu zawiera zasady, które określają działania, jakie mogą podejmować jej członkowie na konkretnych zasobach, takich jak usługi. W tym przewodniku zasobem jest zazwyczaj instancja usługi IBM Quantum.
Możesz tworzyć dodatkowe grupy dostępu, korzystając z IBM Cloud® konsoli, CLI, API, lub Terraform.
Aby sprawdzić, jakie działania są dozwolone dla każdej roli, na stronie IAM Roles wybierz Qiskit Runtime z menu rozwijanego u góry strony. Aby zobaczyć bardziej szczegółową listę, kliknij liczbę w kolumnie obok nazwy roli. Na przykład odwiedzając tę stronę i klikając liczbę przy roli Manager, możesz zobaczyć, że ta rola obejmuje możliwość usunięcia zadania (quantum-computing.job.delete).
Sekcja Porównanie predefiniowanych akcji ról usługi zawiera porównanie predefiniowanych ról: Manager, Writer i Reader.
Tworzenie grupy dostępu IBM Quantum Administrators
Po skonfigurowaniu konta dla organizacji zaleca się utworzenie grupy dostępu IBM Quantum Administrators. Ta grupa dostępu umożliwia innym użytkownikom tworzenie instancji i zarządzanie nimi oraz zarządzanie dostępem użytkowników do usługi Qiskit Runtime.
Podczas tworzenia tej grupy dostępu uwzględnij następujące zasady:
- Usługa Qiskit Runtime — przyznaj dostęp do zarządzania wszystkimi instancjami IBM Quantum na koncie i przeglądania analityki użycia konta.
- Rola dostępu do usługi: Manager
- Rola zarządzania platformą: Administrator
- Wszystkie usługi zarządzania kontem — przyznaj dostęp do wyświetlania listy wszystkich grup zasobów na koncie.
- Rola zarządzania platformą: Viewer
- Wszystkie usługi zarządzania kontem IAM — przyznaj dostęp do zapraszania użytkowników, zarządzania grupami dostępu i tworzenia zasad dostępu.
- Rola zarządzania platformą: Administrator
- Usługa Support Center — przyznaj dostęp umożliwiający użytkownikom otwieranie zgłoszeń do pomocy technicznej przez IBM Cloud Support Center.
- Rola zarządzania platformą: Administrator
Użytkownicy z rolą zarządzania platformą viewer dla „wszystkich usług zarządzania kontem" mogą również przeglądać usługi takie jak rozliczenia. Jeśli chcesz zapobiec temu dodatkowemu dostępowi, użyj IBM Cloud CLI, aby przyznać im dostęp tylko do grup zasobów:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Skorzystaj z poniższych przykładów, aby utworzyć grupę dostępu IBM Quantum Administrators przy użyciu IBM Cloud CLI lub konsoli.
Korzystanie z IBM Cloud CLI
Aby utworzyć grupę dostępu przy użyciu CLI, użyj polecenia ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Aby utworzyć zasadę grupy dostępu przy użyciu CLI, użyj polecenia ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Możesz użyć poniższego kodu JSON, aby utworzyć zasady dla grupy dostępu Administrators:
- Wszystkie usługi zarządzania kontem (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Usługa Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Wszystkie usługi zarządzania kontem IAM (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Usługa Support Center (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Korzystanie z konsoli IBM Cloud IAM
Jako właściciel konta lub administrator wykonaj poniższe kroki, aby utworzyć grupę dostępu IBM Quantum Administrator.
- Przejdź do Manage > Access (IAM) w konsoli IBM Cloud.
- W lewym panelu w sekcji Manage access kliknij Access groups, a następnie kliknij Create.
- W oknie Create access group, które się otworzy, dodaj nazwę i opis reprezentujące grupę użytkowników, których zamierzasz zaprosić. Na przykład IBM Quantum Administrators. Kliknij Create.
Następnie utwórz zasady dla usługi Qiskit Runtime, dla wszystkich usług zarządzania kontem IAM i dla wszystkich usług zarządzania kontem.
-
W właśnie utworzonej grupie dostępu kliknij kartę Access, a następnie kliknij Assign access.
-
Na stronie Create policy, która się otworzy, zdefiniuj następujące elementy:
- Service — wyszukaj Qiskit Runtime i wybierz go. Kliknij Next.
- Resources — wybierz All resources. Kliknij Next. Uwaga: jeśli tworzyłeś zasadę, którą chcesz zastosować tylko do określonej instancji, zamiast tego wybrałbyś Specific resources, Service instance, string equals, a następnie wybrał instancję.
- Roles and actions — wybierz następujące wartości:
- Dla Service access wybierz Manager.
- Dla Platform access wybierz Administrator.
Na dole kliknij Add. Zasada powinna pojawić się w prawym panelu. Kliknij Assign na dole tego panelu.
Pomyślnie utworzono grupę dostępu z jedną zasadą. Następnie utwórz drugą zasadę dla tej samej instancji.
- W tej samej grupie dostępu kliknij kartę Access, a następnie kliknij Assign access.
- Na stronie Create policy, która się otworzy, zdefiniuj następujące elementy:
- Service — wybierz All IAM Account Management services. Kliknij Next.
- Roles and actions — dla Platform access wybierz Administrator. Kliknij Next. Na dole kliknij Add, a następnie kliknij Assign.
Utwórz trzecią zasadę dla tej samej instancji.
- W tej samej grupie dostępu kliknij kartę Access, a następnie kliknij Assign access.
- Na stronie Create policy, która się otworzy, zdefiniuj następujące elementy:
- Service — wybierz All Account Management services. Kliknij Next.
- Roles and actions — dla Platform access wybierz Viewer. Kliknij Next. Na dole kliknij Add, a następnie kliknij Assign.
Utwórz czwartą zasadę dla tej samej instancji.
- W tej samej grupie dostępu kliknij kartę Access, a następnie kliknij Assign access.
- Na stronie Create policy, która się otworzy, zdefiniuj następujące elementy:
- Service — wybierz Support Center. Kliknij Next.
- Roles and actions — dla Platform access wybierz Administrator. Kliknij Next. Na dole kliknij Add, a następnie kliknij Assign.
Na koniec dodaj użytkowników do grupy dostępu. Możesz to zrobić ze strony Users grupy dostępu lub za pomocą strony Access management w IBM Quantum Platform.
Możesz zapraszać tylko użytkowników, którzy są już członkami konta. Jeśli nie widzisz użytkownika na stronie Add users, wykonaj kroki opisane w Zapraszanie użytkowników i zarządzanie nimi, aby najpierw dodać ich do konta. Po zaakceptowaniu zaproszenia możesz dodać ich do grupy dostępu.
Porównanie uprawnień
Poniższa tabela przedstawia, jakie uprawnienia są przyznawane trzem podmiotom: właścicielom kont, IBM Quantum Administrators (patrz sekcja Tworzenie grupy dostępu IBM Quantum Administrators) i współpracownikom instancji (grupa dostępu „Collaborators" jest generowana automatycznie przy każdym tworzeniu instancji za pomocą IBM Quantum Platform).
Legenda:
✅ Ma uprawnienie
✴️ Wymaga spełnienia zależności
❌ Nie ma uprawnienia
| Uprawnienia | Właściciel konta | IBM Quantum Administrators (grupa dostępu) | Współpracownicy instancji (grupa dostępu) |
|---|---|---|---|
| Pełny dostęp do wszystkich zasobów IBM Cloud | ✅ | ✅ (Tylko do instancji Qiskit Runtime) | ❌ (Tylko do konkretnej instancji Qiskit Runtime) |
| Przyznawanie dostępu innym | ✅ | ✅ (Tylko do usługi Qiskit Runtime) | ❌ |
| Tworzenie instancji usług | ✅ (Cały katalog IBM Cloud) | ✅ (Tylko instancje usługi Qiskit Runtime) | ❌ |
| Przeglądanie wszystkich użytkowników | ✅ | ✅ | ✴️ (Zależy od ustawień widoczności użytkownika) |
| Ustawianie widoczności użytkownika | ✅ | ❌ | ❌ |
| Zapraszanie użytkowników do konta | ✅ | ✅ | ❌ |
| Odpowiedzialność za rozliczenia | ✅ | ❌ | ❌ |
| Przeglądanie informacji o rozliczeniach | ✅ | ✅ | ❌ |
| Powiadomienia dla właściciela | ✅ | ❌ | ❌ |
| Przesyłanie obciążeń kwantowych | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (Tylko w konkretnej instancji Qiskit Runtime) |
| Przeglądanie obciążeń kwantowych | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (Tylko w konkretnej instancji Qiskit Runtime) |
| Anulowanie obciążeń kwantowych | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (Tylko w konkretnej instancji Qiskit Runtime) |
| Usuwanie obciążeń kwantowych | ✅ (We wszystkich instancjach Qiskit Runtime) | ✅ (We wszystkich instancjach Qiskit Runtime) | ❌ |
| Tworzenie zgłoszeń do pomocy technicznej | ✅ | ✅ (Jeśli zasada dostępu jest uwzględniona w grupie dostępu) | ✅ (Jeśli grupa dostępu daje dostęp do instancji Premium Plan) |
| Konfigurowanie dostawcy tożsamości w celu połączenia zewnętrznych repozytoriów użytkowników z kontem IBM Cloud | ✅ | ❌ | ❌ |
Porównanie predefiniowanych akcji ról usługi
Poniższa tabela zawiera przykłady działań, które mogą wykonywać predefiniowane role usługi: Manager, Writer i Reader. Aby zobaczyć pełne mapowanie ról usługi Quantum na działania, odwiedź tę tabelę w przewodniku po produktach IBM Cloud.
| Akcja | Opis | Role |
|---|---|---|
quantum-computing.session.create | Utwórz Session/Batch | Manager, Writer |
quantum-computing.job.create | Prześlij zadanie | Manager, Writer |
quantum-computing.job.read | Odczytaj wynik | Manager, Reader, Writer |
quantum-computing.job.cancel | Anuluj zadanie | Manager, Writer |
quantum-computing.job.delete | Usuń zadanie | Manager |
quantum-computing.direct-access-backend-properties.read | Odczytaj kalibracje QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Wyświetl analitykę konta | Manager, Writer (Tylko jeśli rola jest skonfigurowana dla wszystkich zasobów) |
quantum-computing.instance-usage.read | Wyświetl użycie instancji i pozostały czas | Manager, Reader, Writer |
Następne kroki
- Zapoznaj się ze strukturą konta IBM Cloud, w tym z zasadami dostępu, grupami i rolami.
- Przeczytaj o działaniu IBM Cloud IAM.
- Przeczytaj więcej o tym, jak konfigurować grupy dostępu.
- Zapoznaj się z rolami IAM (wybierz Qiskit Runtime z menu rozwijanego u góry strony).
- Dowiedz się więcej o tworzeniu ról niestandardowych.