Перейти до основного вмісту

Міркування щодо налаштування IBM Quantum Platform для організації

В організації, де люди можуть працювати над кількома проєктами, керування IBM Quantum Platform може здаватися складним. Проте управління доступом дає змогу легко налагодити спільну роботу користувачів і за потреби обмежити видимість користувачів та проєктів. Управління доступом стає особливо актуальним для ресурсів IBM Quantum Platform, які не є безкоштовними, — тобто для екземплярів сервісу, що використовують платні плани (за які з організацій стягується плата).

Огляд

примітка

IBM Cloud® надає різні способи реалізації механізмів, описаних у цьому посібнику. Існує кілька способів досягти цих цілей. Крім того, більшість кроків у цьому посібнику є загальними для IBM Cloud і не стосуються виключно IBM Quantum Platform, за винятком деталей щодо користувацьких ролей.

Задіяні персони

У цьому посібнику згадуються кілька основних персон:

  • Користувач: Людина, яка отримує доступ до ресурсів IBM Quantum Platform (екземплярів сервісу) і може потенційно співпрацювати з іншими користувачами над цими ресурсами. Доступ користувачів контролюється адміністратором, і вони не можуть створювати або видаляти екземпляри сервісу.
  • Адміністратор хмари: Власник облікового запису IBM Cloud, який володіє ресурсами IBM Quantum Platform і керує тим, які користувачі можуть отримувати до них доступ. Як власник ресурсів, адміністратор несе витрати за будь-яке платне використання ресурсів.
  • Адміністратор IDP: Адміністратор, який визначає ідентичності та їхні атрибути в постачальнику ідентичностей (IDP).

Термінологія

У цьому посібнику використовуються такі терміни:

  • Ресурс: Загальний термін IBM Cloud, що позначає об'єкт, яким можна керувати через інтерфейс користувача Cloud, CLI або API. У цьому посібнику ресурс — це екземпляр сервісу IBM Quantum Platform.

  • Екземпляр сервісу: Екземпляр сервісу використовується для доступу до хмарних сервісів — зокрема, до квантових комп'ютерів. Він визначається через каталог. Можна визначити кілька екземплярів сервісу на основі однакових або різних планів, що надають доступ до різних квантових обчислювальних бекендів. Докладніше дивись у розділі Доступні плани IBM Cloud.

  • Проєкт: Одиниця групування, що дає змогу користувачам працювати з однаковими ресурсами. У цьому посібнику використовуються два проєкти: ml і finance. Дивись Ієрархічні структури проєктів для отримання додаткової інформації.

    примітка

    Цей проєкт не пов'язаний із концепцією «проєкту» в класичній версії IBM Quantum® Platform.

Сплануй своє налаштування

Перш ніж налаштовувати IBM Quantum Platform для своєї організації, потрібно прийняти такі рішення:

  • Як визначаються ідентичності користувачів? Можна налаштувати користувачів IBM Cloud, користувачів з іншого IDP або поєднати обидва варіанти.

    • Якщо ти використовуєш інший IDP, хто призначає користувачів до ресурсів проєктів — адміністратор хмари чи адміністратор IDP?
    • Якщо адміністратор IDP призначає користувачів до проєктів, потрібен рядок для використання як ключа, наприклад project (який використовується в цьому посібнику) для порівняння проєктів.

  • Які проєкти існують і які екземпляри сервісу будуть належати до кожного? Потрібно ретельно спланувати назви проєктів.

    • Не роби назви проєктів підрядками одна одної. Наприклад, якщо ти використовуєш ml і chemlab як назви проєктів, а потім налаштовуєш збіг для ml, це спрацює для обох значень, ненавмисно надаючи більше доступу, ніж очікується. Натомість використовуй унікальні назви, як-от ml і chem-lab. Або використовуй значення префіксів чи суфіксів, щоб уникнути таких ненавмисних збігів підрядків.
    • Використання угод про іменування разом із значеннями префіксів або суфіксів може допомогти легко надавати доступ до кількох проєктів одночасно.
    • Квантові експерименти (завдання) належать екземплярам сервісу, і користувачі, які мають доступ до екземпляра, можуть бачити його завдання.
    • Екземпляри сервісу можуть базуватися на різних планах, надаючи доступ до різних бекендів.

  • Які користувачі потребують доступу до яких проєктів?

  • Чи повинні користувачі мати можливість видаляти завдання? Зберігання завдань в екземплярах сервісу дає більше можливостей для відстеження витрат на виставлення рахунків.

  • Чи використовуватимеш ти групи доступу, що безпосередньо посилаються на екземпляри сервісу IBM Quantum Platform, чи організуєш сервіси в групи ресурсів?

    • Групи доступу — це зручний і поширений спосіб контролю доступу користувачів до ресурсів IBM Cloud. Це простий, але потужний засіб для послідовного призначення доступу користувачів. Ми створюємо групу доступу для кожного проєкту та зіставляємо користувачів із групами доступу. Кожна група доступу використовує користувацьку роль, яка дозволяє користувачам звертатися до конкретних екземплярів сервісу або груп ресурсів.
    • Групи ресурсів використовуються лише тоді, коли потрібно підтримувати чітке розмежування екземплярів сервісу. Якщо в групі ресурсів створюються нові екземпляри сервісу, усі користувачі, які мають доступ до групи ресурсів, бачать їх автоматично без оновлення груп доступу. Якщо ти вирішиш використовувати групи ресурсів, потрібно буде створити групи доступу, а потім призначити їх групам ресурсів.
    примітка

    Екземпляр сервісу може належати лише до однієї групи ресурсів, і після призначення екземплярів до груп ресурсів це не можна змінити. Це також означає, що призначення групи ресурсів може відбутися лише під час створення екземпляра сервісу. Тому групи ресурсів можуть не забезпечувати достатньої гнучкості, якщо призначення екземплярів сервісу до груп ресурсів може знадобитися змінити.

Міркування

Під час налаштування середовища слід враховувати такі аспекти.

Визначення більш деталізованих ролей

Дії у користувацьких ролях можна використовувати для більш деталізованого контролю доступу. Наприклад, деяким користувачам може знадобитися повний доступ для роботи з екземплярами сервісу, тоді як іншим — лише доступ на читання до екземплярів сервісу, програм та завдань.

Щоб досягти цього, визнач дві різні користувацькі ролі, наприклад MLreader і MLwriter. Видали всі ролі скасування, видалення та оновлення з користувацької ролі MLreader, а до MLwriter включи всі дії. Далі додай ці ролі до двох різних груп доступу відповідно.

примітка

Використовуючи динамічні правила, тобто коли адміністратор постачальника ідентичностей (IDP) керує доступом через користувацькі атрибути IDP-користувачів, не використовуй атрибути IDP, що є підрядками один одного. Наприклад, не використовуй ml і mlReader, оскільки порівняння рядків для ml прийматиме і mlReader. Можна використовувати MLreader і MLwriter, щоб уникнути цього конфлікту.

Приклад налаштування користувацьких ролей дивись у розділі Створення груп доступу для проєктів.

Спільний доступ до навантаження

Важливо зазначити, що доступ застосовується до екземплярів сервісу. Таким чином, користувачі з правом запису до екземпляра можуть скасовувати власні навантаження, але також можуть переглядати й скасовувати навантаження інших користувачів. Це особливість роботи IAM, яку неможливо змінити.

Інші хмарні ресурси

Кроки цього посібника також можна використовувати для управління доступом до інших хмарних ресурсів. Включи відповідні дозволи до груп доступу відповідних проєктів.

Ієрархічні структури проєктів

У цьому посібнику зіставлення користувачів із проєктами та екземплярами сервісу залишалося простим. Однак, асоціюючи кількох користувачів із групами доступу та посилаючись на екземпляри сервісу з кількох груп доступу, можна реалізувати складніші зіставлення.

Цей метод може враховувати ієрархічну структуру. Тобто він може відповідати тому, як користувачі можуть бути призначені до структури доступу Hub/Group/Project у класичній версії IBM Quantum® Platform. Наприклад, група може бути групою доступу, призначеною до всіх екземплярів сервісу проєктів групи. Тоді користувачів, яким потрібен доступ до всіх проєктів групи, достатньо додати лише до групи доступу цієї групи.

Послідовне та відтворюване розгортання конфігурації

Кроки цього посібника можна автоматизувати для послідовного та відтворюваного управління користувачами, проєктами та зіставленням між ними. Зверніться до документації Terraform IBM Cloud® Provider для отримання шаблонів.

Наступні кроки

Рекомендації