Struktura konta IBM Cloud
Przed skonfigurowaniem IBM Quantum® Platform ważne jest, żeby zrozumieć strukturę konta Identity and Access Management (IAM) w IBM Cloud®. Jak pokazano na poniższym diagramie wysokiego poziomu, na najwyższym poziomie znajduje się konto. Istnieje tylko jeden właściciel konta, który ma wyłączną kontrolę nad zarządzaniem rozliczeniami.
Konto zawiera wielu użytkowników i instancje usług (takich jak IBM Qiskit Runtime). Każda instancja usługi istnieje w określonym regionie i ma jeden plan, więc jeśli chcesz udostępnić użytkownikom wiele planów, będziesz mieć wiele instancji usług, z których każda jest powiązana z innym planem.
Każdemu użytkownikowi przypisywane są polityki dostępu, które nadają mu różne poziomy dostępu do instancji usług. Polityki dostępu można grupować w grupę dostępu.
Domyślnie wszyscy użytkownicy w ramach konta mogą nawzajem się widzieć. W ustawieniach konta możesz włączyć opcję ograniczenia widoczności, zapewniając, że tylko użytkownicy z uprawnieniami do usługi IAM mogą widzieć innych. Warto zaznaczyć, że IBM Cloud nie obsługuje grup użytkowników ani administratorów specyficznych dla grup.
Polityki dostępu i grupy
Jak opisano wcześniej, każdemu użytkownikowi można przypisać jedną lub więcej polityk dostępu: indywidualnie, jako część grupy dostępu lub w obu tych formach jednocześnie.
W ramach polityki dostępu możesz określić uprawnienia, wybierając role platformy i usługi lub tworząc role niestandardowe. Role platformy definiują działania na poziomie platformy, takie jak tworzenie instancji lub zarządzanie nimi. Role usług przyznają dostęp do wykonywania działań w ramach usługi, takich jak wywoływanie punktu końcowego API „utwórz zadania" (czyli uruchamianie zadania).
Ten przewodnik opisuje uproszczoną reprezentację modelu IAM. Pełne szczegóły znajdziesz w dokumentacji IBM Cloud IAM.
Role
Istnieją dwie rodziny ról: zarządzanie platformą i dostęp do usług.
Role zarządzania platformą definiują dozwolone działania, takie jak przypisywanie dostępu użytkownikom i tworzenie instancji usług na potrzeby zarządzania zasobami na poziomie platformy. Role platformy mają również zastosowanie do działań, które można podjąć w kontekście usług zarządzania kontem, takich jak zapraszanie i usuwanie użytkowników, zarządzanie grupami dostępu oraz zarządzanie identyfikatorami usług.
Role dostępu do usług definiują dozwolone działania, takie jak wywoływanie interfejsów API usługi lub uzyskiwanie dostępu do pulpitu nawigacyjnego usługi. Role te są dostosowane na podstawie usługi wybranej w polityce. W kontekście tych przewodników usługą jest zawsze Qiskit Runtime.
Wykonywanie działań często wymaga kombinacji ról zarządzania platformą i dostępu do usług. Rola usługi writer pozwala na przykład uruchamiać zadania, ale nie wyświetlać listy instancji. Aby wyświetlić instancję, potrzebujesz co najmniej roli viewer dla platformy. Poniżej przedstawiono niektóre często używane role:
- Tworzenie instancji wymaga roli dostępu do usług
manageroraz roli zarządzania platformąviewerdla wszystkich usług zarządzania kontem.uwagaUżytkownicy z rolą zarządzania platformą
viewerdla wszystkich usług zarządzania kontem mogą również wyświetlać usługi takie jak rozliczenia. Jeśli chcesz zapobiec temu dodatkowemu dostępowi do widoku, użyj interfejsu CLI IBM Cloud, aby przyznać im dostęp tylko do grup zasobów:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - Uruchamianie zadań wymaga roli dostępu do usług
writeroraz roli zarządzania platformąviewerdla dostępu do instancji.
Podczas tworzenia polityki dostępu (zarówno dla grupy dostępu, jak i dla użytkownika) możesz sprawdzić, które działania są częścią roli, przeglądając opis. Na przykład quantum-computing.job.create - Create a job to run a program.
Możesz również określić działania dozwolone przez każdą rolę na stronie Role IAM. Wybierz Qiskit Runtime z menu rozwijanego u góry strony. Następnie, aby uzyskać bardziej szczegółową listę, kliknij liczbę w kolumnie obok nazwy roli. Na przykład, odwiedzając tę stronę i klikając liczbę przy roli Manager, możesz zobaczyć, że ta rola obejmuje możliwość usunięcia zadania (quantum-computing.job.delete).
Poniższa tabela przedstawia przykłady niektórych działań zarządzania platformą, które użytkownicy mogą podejmować w kontekście usługi Qiskit Runtime.
| Rola zarządzania platformą | Usługa Qiskit Runtime |
|---|---|
| Rola Viewer | Wyświetlanie instancji i poświadczeń |
| Rola Operator | Wyświetlanie instancji i zarządzanie poświadczeniami |
| Rola Editor | Tworzenie, usuwanie, edytowanie i wyświetlanie instancji. Zarządzanie poświadczeniami |
| Rola Administrator | Wszystkie działania zarządzania usługami |
Poniższa tabela przedstawia przykłady niektórych działań zarządzania platformą, które użytkownicy mogą podejmować w kontekście usługi Qiskit Runtime.
| Rola dostępu do usług | Działania Qiskit Runtime |
|---|---|
| Reader | Wykonywanie działań tylko do odczytu, takich jak wyświetlanie zadań |
| Writer | Uprawnienia wykraczające poza rolę reader, w tym uruchamianie zadań |
| Manager | Uprawnienia wykraczające poza rolę writer, w tym udostępnianie instancji, ustawianie limitu kosztów instancji oraz usuwanie lub anulowanie zadania |
Następne kroki
- Utwórz instancje.
- Przejdź na wyższy poziom niż Open Plan.
- Zapoznaj się z rolami IAM (wybierz Qiskit Runtime z menu rozwijanego u góry strony).