Creează politici de acces și grupuri de acces
Când creezi o instanță în IBM Quantum® Platform, un grup de acces este generat automat pentru colaboratori, ca să poată folosi acea instanță. Dacă vrei să personalizezi acel grup de acces sau să creezi alte grupuri de acces, folosește consola IBM® Cloud pentru Grupuri de acces.
Un grup de acces conține politici, care definesc acțiunile pe care membrii grupului de acces le pot efectua asupra unor resurse specifice, cum ar fi serviciile. În acest ghid, resursa este în general o instanță de serviciu IBM Quantum.
Poți crea grupuri de acces suplimentare folosind consola, CLI, API, sau Terraform IBM Cloud®.
Pentru a determina acțiunile permise de fiecare rol, din pagina Roluri IAM, selectează Qiskit Runtime din meniul derulant din partea de sus a paginii. Pentru o listă mai detaliată, dă clic pe numărul din coloana de lângă numele rolului. De exemplu, vizitând acea pagină și dând clic pe numărul de lângă rolul Manager, poți vedea că acest rol include capacitatea de a șterge un job (quantum-computing.job.delete).
Secțiunea Comparare acțiuni ale rolurilor de serviciu predefinite oferă o comparație a rolurilor predefinite Manager, Writer și Reader.
Creează un grup de acces IBM Quantum Administrators
După configurarea unui cont pentru organizația ta, este recomandat să creezi un grup de acces IBM Quantum Administrators. Acest grup de acces permite altor utilizatori să creeze și să gestioneze instanțe și să administreze accesul utilizatorilor pentru serviciul Qiskit Runtime.
Când creezi acest grup de acces, include următoarele politici:
- Serviciul Qiskit Runtime - Acordă acces pentru a gestiona toate instanțele IBM Quantum din cont și pentru a vizualiza analizele de utilizare ale contului.
- Rol de acces la serviciu Manager
- Rol de gestionare a platformei Administrator
- Toate serviciile de gestionare a contului - Acordă acces pentru a lista toate grupurile de resurse din cont.
- Rol de gestionare a platformei Viewer
- Toate serviciile de gestionare a contului IAM - Acordă acces pentru a invita utilizatori, a gestiona grupuri de acces și a crea politici de acces.
- Rol de gestionare a platformei Administrator
- Serviciul Support Center - Acordă acces pentru a permite utilizatorilor să deschidă cazuri de suport prin IBM Cloud Support Center.
- Rol de gestionare a platformei Administrator
Utilizatorii cu rolul de gestionare a platformei viewer pe „toate serviciile de gestionare a contului" pot vizualiza și servicii precum facturarea. Dacă vrei să previi acest acces suplimentar de vizualizare, folosește IBM Cloud CLI pentru a le acorda acces doar la grupurile de resurse:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Urmează aceste exemple pentru a crea un grup de acces IBM Quantum Administrators folosind IBM Cloud CLI sau consola.
Folosește IBM Cloud CLI
Pentru a crea un grup de acces folosind CLI, utilizează comanda ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Pentru a crea o politică pentru un grup de acces folosind CLI, utilizează comanda ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Poți folosi următorul cod JSON pentru a crea politici pentru un grup de acces Administrators:
- Toate serviciile de gestionare a contului (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Serviciul Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Toate serviciile de gestionare a contului IAM (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Serviciul Support Center (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Folosește consola IBM Cloud IAM
Ca proprietar sau administrator de cont, urmează acești pași pentru a crea un grup de acces IBM Quantum Administrator.
- Mergi la Manage > Access (IAM) în consola IBM Cloud.
- În panoul din stânga, în secțiunea Manage access, dă clic pe Access groups, apoi dă clic pe Create.
- În fereastra Create access group care se deschide, adaugă un nume și o descriere care să reprezinte grupul de utilizatori pe care îl vei invita. De exemplu, IBM Quantum Administrators. Dă clic pe Create.
Apoi, creează politici pentru serviciul Qiskit Runtime, pentru All IAM Account Management services și pentru All Account Management services.
-
În grupul de acces tocmai creat, dă clic pe fila Access, apoi dă clic pe Assign access.
-
În pagina Create policy care se deschide, definește aceste elemente:
- Service - Caută Qiskit Runtime și selectează-l. Dă clic pe Next.
- Resources - Selectează All resources. Dă clic pe Next. Notă: Dacă ai fi creat o politică pe care să o aplici doar unei anumite instanțe, ai fi ales în schimb Specific resources, Service instance, string equals, apoi ai fi selectat instanța.
- Roles and actions - Selectează următoarele valori:
- Pentru Service access, selectează Manager.
- Pentru Platform access, selectează Administrator.
La baza paginii, dă clic pe Add. Ar trebui să vezi politica în panoul din dreapta. Dă clic pe Assign la baza acelui panou.
Ai creat cu succes un grup de acces cu o politică. Acum, creează o a doua politică pentru aceeași instanță.
- În același grup de acces, dă clic pe fila Access, apoi dă clic pe Assign access.
- În pagina Create policy care se deschide, definește aceste elemente:
- Service - Selectează All IAM Account Management services. Dă clic pe Next.
- Roles and actions - Pentru Platform access, selectează Administrator, Dă clic pe Next. La baza paginii, dă clic pe Add, apoi pe Assign.
Creează o a treia politică pentru aceeași instanță.
- În același grup de acces, dă clic pe fila Access, apoi dă clic pe Assign access.
- În pagina Create policy care se deschide, definește aceste elemente:
- Service - Selectează All Account Management services. Dă clic pe Next.
- Roles and actions - Pentru Platform access, selectează Viewer, Dă clic pe Next. La baza paginii, dă clic pe Add, apoi pe Assign.
Creează o a patra politică pentru aceeași instanță.
- În același grup de acces, dă clic pe fila Access, apoi dă clic pe Assign access.
- În pagina Create policy care se deschide, definește aceste elemente:
- Service - Selectează Support Center. Dă clic pe Next.
- Roles and actions - Pentru Platform access, selectează Administrator. Dă clic pe Next. La baza paginii, dă clic pe Add, apoi pe Assign.
În final, adaugă utilizatori la grupul de acces. Poți face acest lucru din pagina Users a grupului de acces sau folosind pagina Access management din IBM Quantum Platform.
Poți invita doar utilizatori care sunt deja membri ai contului. Dacă nu vezi un utilizator pe pagina Add users, urmează pașii din Invită și gestionează utilizatori pentru a-l adăuga mai întâi la cont. După ce acceptă invitația, îl poți adăuga la grupul de acces.
Comparare permisiuni
Următorul tabel arată ce permisiuni sunt acordate pentru trei entități: proprietarii de cont, IBM Quantum Administrators (vezi secțiunea Creează un grup de acces IBM Quantum Administrators) și colaboratorii de instanță (un grup de acces „Collaborators" este generat automat ori de câte ori creezi o instanță folosind IBM Quantum Platform).
Legendă:
✅ Are permisiunea
✴️ Implică o dependență
❌ Nu are permisiunea
| Permisiuni | Proprietar de cont | IBM Quantum Administrators (grup de acces) | Colaboratori de instanță (grup de acces) |
|---|---|---|---|
| Acces complet la toate resursele IBM Cloud | ✅ | ✅ (Doar la instanțele Qiskit Runtime) | ❌ (Doar la o anumită instanță Qiskit Runtime) |
| Acordarea accesului altor utilizatori | ✅ | ✅ (Doar la serviciul Qiskit Runtime) | ❌ |
| Crearea de instanțe de serviciu | ✅ (Tot catalogul IBM Cloud) | ✅ (Doar instanțe ale serviciului Qiskit Runtime) | ❌ |
| Vizualizarea tuturor utilizatorilor | ✅ | ✅ | ✴️ (Depinde de setările de vizibilitate ale utilizatorului) |
| Setarea vizibilității utilizatorilor | ✅ | ❌ | ❌ |
| Invitarea utilizatorilor în cont | ✅ | ✅ | ❌ |
| Responsabilitatea facturării | ✅ | ❌ | ❌ |
| Vizualizarea informațiilor de facturare | ✅ | ✅ | ❌ |
| Notificări pentru proprietar | ✅ | ❌ | ❌ |
| Trimiterea sarcinilor de lucru cuantice | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Doar pe o anumită instanță Qiskit Runtime) |
| Vizualizarea sarcinilor de lucru cuantice | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Doar pe o anumită instanță Qiskit Runtime) |
| Anularea sarcinilor de lucru cuantice | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Doar pe o anumită instanță Qiskit Runtime) |
| Ștergerea sarcinilor de lucru cuantice | ✅ (Pe toate instanțele Qiskit Runtime) | ✅ (Pe toate instanțele Qiskit Runtime) | ❌ |
| Crearea de cazuri de suport | ✅ | ✅ (Dacă politica de acces este inclusă în grupul de acces) | ✅ (Dacă grupul de acces acordă acces la o instanță de plan Premium) |
| Configurarea unui furnizor de identitate pentru a conecta depozitele externe de utilizatori la contul tău IBM Cloud | ✅ | ❌ | ❌ |
Comparare acțiuni ale rolurilor de serviciu predefinite
Următorul tabel afișează exemple de acțiuni care pot fi efectuate de rolurile de serviciu predefinite: Manager, Writer și Reader. Pentru a vedea o mapare completă a rolurilor Quantum Service la acțiuni, vizitează acest tabel din ghidul IBM Cloud Product.
| Acțiune | Descriere | Roluri |
|---|---|---|
quantum-computing.session.create | Creează o Session/Batch | Manager, Writer |
quantum-computing.job.create | Trimite un Job | Manager, Writer |
quantum-computing.job.read | Citește un rezultat | Manager, Reader, Writer |
quantum-computing.job.cancel | Anulează un job | Manager, Writer |
quantum-computing.job.delete | Șterge un job | Manager |
quantum-computing.direct-access-backend-properties.read | Citește calibrările QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Vizualizează analiza contului | Manager, Writer (Doar dacă rolul este configurat pentru toate resursele) |
quantum-computing.instance-usage.read | Vizualizează utilizarea instanței și timpul rămas | Manager, Reader, Writer |
Pași următori
- Înțelege structura contului IBM Cloud, inclusiv politicile de acces, grupurile și rolurile.
- Citește despre cum funcționează IBM Cloud IAM.
- Citește mai mult despre cum să configurezi grupuri de acces.
- Înțelege Rolurile IAM (selectează Qiskit Runtime din meniul derulant din partea de sus a paginii).
- Află despre crearea de roluri personalizate.