Налаштування власних ролей

Коли власники облікових записів та адміністратори налаштовують доступ користувачів до облікового запису, вони призначають ролі (наприклад: Editor, Viewer, Operator тощо) політикам доступу та групам доступу, а потім додають користувачів до цих політик або груп. Користувач може виконувати всі дії, що відповідають ролі або ролям, призначеним його групі доступу або політиці.

Окрім попередньо налаштованих ролей, перелічених на сторінці Roles, власники облікових записів та адміністратори можуть створювати ролі, що краще відповідають їхнім потребам. Наприклад, можна створити власну роль, яка надає користувачеві доступ до перегляду аналітики використання облікового запису без надання будь-якого іншого доступу до управління. У наступному розділі наведено покрокову демонстрацію цього прикладу.

Приклад: створення власної ролі, що дозволяє користувачам виконувати дії для роботи з екземплярами сервісу IBM Quantum

Ця власна роль надає квантово-специфічні ролі користувачам.

1. На сторінці Manage → IAM → Roles натисни Create.
2. Введи ім'я, ID, опис і обери Qiskit Runtime для сервісу.
3. Вибери наступні ролі, потім натисни Create.
   • quantum-computing.device.read
   • quantum-computing.job.cancel
   • quantum-computing.job.create
   • quantum-computing.job.read
   • quantum-computing.program.delete
   • quantum-computing.program.read
   • quantum-computing.user.logout
   • Вибери quantum-computing.job.delete, якщо хочеш дозволити користувачам видаляти задачі.

Приклад: створення власної ролі для користувача, що переглядає лише аналітику

1. Перейди до Manage → IAM → Roles в IBM Cloud. Вибери сервіс Qiskit Runtime із випадного меню, щоб переглянути наявні ролі для цього сервісу.

2. Натисни кнопку Create +.

3. Введи ім'я для власної ролі, наприклад Analytics Viewer.

4. Введи ID. Можна використати будь-який унікальний рядок для цього ID, за умови що він починається з великої літери та містить лише буквено-цифрові символи (без пробілів) — наприклад, AnalyticsViewer.

5. Введи опис для власної ролі. У цьому прикладі відповідним описом може бути "As an Analytics Viewer, you can view account analytics only."

6. У випадному меню Service вибери Qiskit Runtime. З'явиться таблиця з усіма діями, які можна зіставити з роллю.

7. У цьому прикладі знайди будь-які дії, що стосуються аналітики, наприклад "Read usage filters for analytics" і "Read usage for analytics". Також додай дію "Read account configuration". Щоб додати дії до власної ролі, натисни Add у кінці рядка відповідної дії.

8. Після того як додаш усі потрібні дії до ролі, натисни Create.

9. Перейди до Manage → IAM → Access groups. Натисни Create +, щоб створити нову групу доступу. (Рекомендується створити нову групу доступу спеціально для цієї ролі, а не додавати роль до групи Public Access, якщо не хочеш, щоб усі твої користувачі мали доступ, наданий власною роллю.) Після натискання Create + та введення назви нової групи (або, якщо редагуєш наявну групу доступу, після натискання її назви) перейди на вкладку Access. Натисни Assign access +.

10. У розділі Service вибери Qiskit Runtime, потім натисни Next.

11. У розділі Resources вибери All resources, потім натисни Next. (Зверни увагу: якщо не обмежити доступ усіма ресурсами, роль Analytics Viewer не зможе переглядати аналітику з усіх екземплярів.)

12. У розділі Roles and actions постав галочку навпроти Viewer (у розділі Platform) і Analytics Viewer (у розділі Custom access), потім натисни Next.

13. Натисни Add >, потім натисни Assign. Тепер ти створив(ла) політику, яка включає твою власну роль, а також роль Viewer.

14. Перегляни групу доступу та натисни вкладку Users, щоб додати користувача до цієї групи. Цей користувач тепер зможе виконувати дії, передбачені твоєю власною роллю (а також іншими ролями, призначеними до політики).

Щоб дізнатися більше, перегляди теми Creating custom roles і What are IAM policies and who can assign them?.