Structura contului IBM Cloud
Înainte de a configura IBM Quantum® Platform, este important să înțelegi structura contului Identity and Access Management (IAM) din IBM Cloud®. Așa cum este ilustrat în diagrama generală de mai jos, există un cont la cel mai înalt nivel. Există un singur proprietar al contului, care deține controlul exclusiv asupra gestionării facturării.
Acest cont conține mai mulți utilizatori și instanțe de servicii (cum ar fi IBM Qiskit Runtime). Fiecare instanță de serviciu există într-o regiune specifică și are un singur plan, astfel că, dacă dorești să ai mai multe planuri disponibile pentru utilizatorii tăi, vei avea mai multe instanțe de servicii, fiecare asociată cu un plan diferit.
Fiecărui utilizator i se atribuie politici de acces, care îi acordă diferite niveluri de acces la instanțele de servicii. Politicile de acces pot fi grupate împreună ca un grup de acces.
În mod implicit, toți utilizatorii din cont se pot vedea reciproc. În setările contului, poți activa opțiunea de restricționare a vizibilității, asigurând că doar utilizatorii cu permisiuni pentru serviciul IAM îi pot vedea pe ceilalți. De remarcat că IBM Cloud nu acceptă grupuri de utilizatori sau administratori specifici grupurilor.
Politici de acces și grupuri
Așa cum s-a descris anterior, fiecărui utilizator i se poate atribui una sau mai multe politici de acces: individual, ca parte a unui grup de acces sau ambele.
În cadrul unei politici de acces, poți specifica permisiuni selectând roluri de platformă și de serviciu sau creând roluri personalizate. Rolurile de platformă definesc acțiuni la nivel de platformă, cum ar fi crearea sau gestionarea instanțelor. Rolurile de serviciu acordă acces pentru a efectua acțiuni în cadrul serviciului, cum ar fi invocarea unui endpoint API „create jobs" (adică, rularea unui job).
Acest ghid descrie o reprezentare simplificată a modelului IAM. Pentru detalii complete, consultă documentația IBM Cloud IAM.
Roluri
Există două familii de roluri: gestionarea platformei și accesul la servicii.
Rolurile de gestionare a platformei definesc acțiunile permise, cum ar fi atribuirea accesului utilizatorilor și crearea instanțelor de servicii pentru gestionarea resurselor la nivel de platformă. Rolurile de platformă se aplică și acțiunilor care pot fi efectuate în contextul serviciilor de gestionare a contului, cum ar fi invitarea și eliminarea utilizatorilor, gestionarea grupurilor de acces și gestionarea ID-urilor de servicii.
Rolurile de acces la servicii definesc acțiunile permise, cum ar fi apelarea API-urilor serviciului sau accesarea tabloului de bord al unui serviciu. Aceste roluri sunt personalizate în funcție de serviciul selectat în cadrul politicii. În contextul acestor ghiduri, serviciul este întotdeauna Qiskit Runtime.
Efectuarea acțiunilor necesită adesea o combinație de roluri de gestionare a platformei și de acces la servicii. Rolul de serviciu writer îți permite, de exemplu, să rulezi joburi, dar nu să listezi instanțele. Pentru a lista instanța, ai nevoie de cel puțin rolul viewer pentru platformă. Urmează câteva roluri utilizate frecvent:
- Crearea instanțelor necesită rolul de acces la servicii
manager, precum și rolul de gestionare a platformeiviewerpentru toate serviciile de gestionare a contului.notăUtilizatorii cu rolul de gestionare a platformei
viewerpentru toate serviciile de gestionare a contului pot vizualiza și servicii precum facturarea. Dacă dorești să previi acest acces suplimentar de vizualizare, folosește CLI-ul IBM Cloud pentru a le acorda acces doar la grupurile de resurse:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - Rularea joburilor necesită rolul de acces la servicii
writerși accesul cu rolul de gestionare a platformeiviewerla instanță.
Când creezi o politică de acces (fie pe un grup de acces, fie pentru un utilizator), poți verifica ce acțiuni fac parte din rol prin citirea descrierii. De exemplu, quantum-computing.job.create - Create a job to run a program.
Poți, de asemenea, să determini acțiunile permise de fiecare rol din pagina Roluri IAM. Selectează Qiskit Runtime din meniul dropdown din partea de sus a paginii. Apoi, pentru o listă mai detaliată, fă clic pe numărul din coloana de lângă numele rolului. De exemplu, vizitând acea pagină și făcând clic pe numărul de lângă rolul Manager, poți vedea că acest rol include capacitatea de a șterge un job (quantum-computing.job.delete).
Tabelul următor oferă exemple pentru unele dintre acțiunile de gestionare a platformei pe care utilizatorii le pot efectua în contextul serviciului Qiskit Runtime.
| Rol de gestionare a platformei | Serviciul Qiskit Runtime |
|---|---|
| Rolul Viewer | Vizualizarea instanțelor și a acreditărilor |
| Rolul Operator | Vizualizarea instanțelor și gestionarea acreditărilor |
| Rolul Editor | Crearea, ștergerea, editarea și vizualizarea instanțelor. Gestionarea acreditărilor |
| Rolul Administrator | Toate acțiunile de gestionare pentru servicii |
Tabelul următor oferă exemple pentru unele dintre acțiunile de gestionare a platformei pe care utilizatorii le pot efectua în contextul serviciului Qiskit Runtime.
| Rol de acces la servicii | Acțiuni Qiskit Runtime |
|---|---|
| Reader | Efectuarea acțiunilor doar pentru citire, cum ar fi vizualizarea joburilor |
| Writer | Permisiuni care depășesc rolul reader, inclusiv rularea joburilor |
| Manager | Permisiuni care depășesc rolul writer, inclusiv provizionarea instanțelor, setarea limitei de cost a instanței și ștergerea sau anularea unui job |
Pași următori
- Creează instanțe.
- Fă upgrade de la Planul Open.
- Înțelege Rolurile IAM (selectează Qiskit Runtime din dropdown-ul din partea de sus a paginii).