Структура облікового запису IBM Cloud
Перш ніж налаштовувати IBM Quantum® Platform, важливо розуміти структуру облікового запису Identity and Access Management (IAM) IBM Cloud®. Як показано на наведеній нижче схемі високого рівня, на найвищому рівні знаходиться обліковий запис. Існує лише один власник облікового запису, який має виключний контроль над управлінням тарифікацією.
Цей обліковий запис містить кілька користувачів і екземплярів сервісу (наприклад, IBM Qiskit Runtime). Кожен екземпляр сервісу існує в певному регіоні і має один план, тому якщо ти хочеш надати своїм користувачам доступ до кількох планів, у тебе буде кілька екземплярів сервісу, кожен з яких пов'язаний з різним планом.
Кожному користувачу призначаються політики доступу, які надають йому різні рівні доступу до екземплярів сервісу. Політики доступу можна об'єднувати в групи доступу.
За замовчуванням усі користувачі в межах облікового запису можуть бачити один одного. У налаштуваннях облікового запису можна увімкнути опцію обмеження видимості, яка гарантує, що лише користувачі з дозволами на сервіс IAM зможуть бачити інших. Варто зазначити, що IBM Cloud не підтримує групи користувачів або адміністраторів, специфічних для групи.
Політики і групи доступу
Як описано вище, кожному користувачу можна призначити одну або кілька політик доступу: індивідуально, у складі групи доступу або обома способами одночасно.
У рамках політики доступу можна вказати дозволи, вибравши ролі платфо�рми та сервісу або створивши власні ролі. Ролі платформи визначають дії на рівні платформи, наприклад створення екземплярів або управління ними. Ролі сервісу надають доступ до виконання дій у межах сервісу, наприклад виклику API-ендпоінту "створити завдання" (тобто запуску завдання).
Цей посібник описує спрощене представлення моделі IAM. Щоб отримати повну інформацію, зверни увагу на документацію IBM Cloud IAM.
Ролі
Існує два сімейства ролей: управління платформою та доступ до сервісу.
Ролі управління платформою визначають допустимі дії, наприклад призначення доступу користувачів і створення екземплярів сервісу для управління ресурсами на рівні платформи. Ролі платформи також застосовуються до дій, які можна виконувати в контексті сервісів управління обліковим записом, наприклад запрошення та видалення користувачів, управління групами доступу і управління ідентифікаторами сервісів.
Ролі доступу до сервісу визначають допустимі дії, наприклад виклик API сервісу або доступ до панелі керування сервісу. Ці ролі налаштовуються залежно від сервісу, вибраного в політиці. У контексті цих посібників сервісом завжди є Qiskit Runtime.
Для виконання дій часто потрібна комбінація ролей управління платформою та доступу до сервісу. Наприклад, роль сервісу writer дозволяє запускати завдання, але не виводити список екземпля�рів. Щоб вивести список екземплярів, потрібна принаймні роль viewer для платформи. Нижче наведено кілька ролей, що часто використовуються:
- Для створення екземплярів потрібна роль доступу до сервісу
manager, а також роль управління платформоюviewerдля всіх сервісів управління обліковим записом.приміткаКористувачі з роллю управління платформою
viewerдля всіх сервісів управління обліковим записом також можуть переглядати такі сервіси, як тарифікація. Якщо ти хочеш запобігти цьому додатковому доступу на перегляд, скористайся IBM Cloud CLI, щоб надати їм доступ лише до груп ресурсів:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - Для запуску завдань потрібна роль доступу до сервісу
writerі доступ з роллю управління платформоюviewerдо екземпляра.
Під час створення політики доступу (для групи доступу або для користувача) можна перевірити, які дії входять до ролі, переглянувши опис. Наприклад: quantum-computing.job.create - Create a job to run a program.
Також можна визначити дії, дозволені кожною роллю, на сторінці IAM Roles. Вибери Qiskit Runtime у випадному меню у верхній частині сторінки. Потім для отримання детальнішого списку клацни число в стовпці поруч із назвою ролі. Наприклад, відвідавши цю сторінку і клацнувши число біля ролі Manager, можна побачити, що ця роль включає можливість видалення завдання (quantum-computing.job.delete).
Наступна таблиця містить приклади деяких дій управління платформою, які користувачі можуть виконувати в контексті сервісу Qiskit Runtime.
| Роль управління платформою | Сервіс Qiskit Runtime |
|---|---|
| Роль Viewer | Перегляд екземплярів і облікових даних |
| Роль Operator | Перегляд екземплярів і управління обліковими даними |
| Роль Editor | Створення, видалення, редагування та перегляд екземплярів. Управління обліковими даними |
| Роль Administrator | Усі дії управління для сервісів |
Наступна таблиця містить приклади деяких дій доступу до сервісу, які користувачі можуть виконувати в контексті сервісу Qiskit Runtime.
| Роль доступу до сервісу | Дії Qiskit Runtime |
|---|---|
| Reader | Виконання дій лише для читання, наприклад перегляд завдань |
| Writer | Дозволи понад роль Reader, включно із запуском завдань |
| Manager | Дозволи понад роль Writer, включно з підготовкою екземплярів, встановленням ліміту витрат для екземпляра та видаленням або скасуванням завдання |
Наступні кроки
- Створи екземпляри.
- Перейди з Open Plan.
- Ознайомся з IAM Roles (вибери Qiskit Runtime у випадному меню у верхній частині сторінки).