Lumikha ng mga access policy at access group
Kapag lumikha ka ng instance sa IBM Quantumยฎ Platform, awtomatikong nalilikha ang isang access group para magamit ng mga collaborator ang instance na iyon. Kung gusto mong i-customize ang access group na iyon o lumikha ng ibang mga access group, gamitin ang IBMยฎ Cloud console para sa Access groups.
Ang isang access group ay naglalaman ng mga policy, na nagtatakda ng mga aksyon na maaaring gawin ng mga miyembro ng access group sa mga partikular na resource, tulad ng mga serbisyo. Sa gabay na ito, ang resource ay karaniwang isang IBM Quantum service instance.
Maaari kang lumikha ng karagdagang mga access group gamit ang IBM Cloudยฎ console, CLI, API, o Terraform.
Para malaman ang mga aksyon na pinapayagan ng bawat role, mula sa pahina ng IAM Roles, piliin ang Qiskit Runtime sa dropdown menu sa itaas ng pahina. Para sa mas detalyadong listahan, i-click ang numero sa kolum na katabi ng pangalan ng role. Halimbawa, sa pamamagitan ng pagbisita sa pahinang iyon at pag-click sa numero sa tabi ng Manager role, makikita mo na kasama sa role na ito ang kakayahang mag-delete ng job (quantum-computing.job.delete).
Ang seksyong Ikumpara ang mga pre-defined service role action ay nagbibigay ng paghahambing ng mga pre-defined na Manager, Writer, at Reader role.
Lumikha ng IBM Quantum Administrators access groupโ
Pagkatapos mag-set up ng account para sa iyong organisasyon, inirerekomenda na lumikha ka ng IBM Quantum Administrators access group. Ang access group na ito ay nagbibigay-daan sa ibang mga user na lumikha at pamahalaan ang mga instance, at pamahalaan ang access ng user para sa Qiskit Runtime service.
Kapag lumikha ka ng access group na ito, isama ang mga sumusunod na policy:
- Qiskit Runtime service โ Bigyan ng access para pamahalaan ang lahat ng IBM Quantum instance sa account at tingnan ang analytics ng paggamit ng account.
- Manager service access role
- Administrator platform management access role
- All account management services โ Bigyan ng access para ilista ang lahat ng resource group sa account.
- Viewer platform management access role
- All IAM Account Management services โ Bigyan ng access para mag-imbitasyon ng mga user, pamahalaan ang mga access group, at lumikha ng mga access policy.
- Administrator platform management access role
- Support Center service โ Bigyan ng access para mapayagan ang mga user na magbukas ng mga support case sa pamamagitan ng IBM Cloud Support Center.
- Administrator platform management access role
Ang mga user na may viewer platform management role sa "all account management services" ay maaari ring tingnan ang mga serbisyo tulad ng billing. Kung gusto mong pigilan ang karagdagang view access na ito, gamitin ang IBM Cloud CLI para bigyan sila ng access sa Resource groups lamang:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Sundin ang mga halimbawang ito para lumikha ng IBM Quantum Administrators access group gamit ang IBM Cloud CLI o console.
Gamitin ang IBM Cloud CLIโ
Para lumikha ng access group gamit ang CLI, gamitin ang command na ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Para lumikha ng policy ng access group gamit ang CLI, gamitin ang command na ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Maaari mong gamitin ang sumusunod na JSON code para lumikha ng mga policy para sa isang Administrators access group:
- All Account Management services (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Qiskit Runtime Service (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- All IAM Account Management services (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Support Center service (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Gamitin ang IBM Cloud IAM consoleโ
Bilang may-ari ng account o administrator, sundin ang mga hakbang na ito para lumikha ng IBM Quantum Administrator access group.
- Pumunta sa Manage > Access (IAM) sa IBM Cloud console.
- Sa kaliwang panel sa seksyong Manage access, i-click ang Access groups, pagkatapos i-click ang Create.
- Sa window na Create access group na magbubukas, magdagdag ng pangalan at paglalarawan na kumakatawan sa grupo ng mga user na iimbitahan mo. Halimbawa, IBM Quantum Administrators. I-click ang Create.
Susunod, lumikha ng mga policy para sa Qiskit Runtime service, para sa All IAM Account Management services, at para sa All Account Management services.
-
Sa access group na kabubukas lang, i-click ang tab na Access, pagkatapos i-click ang Assign access.
-
Sa pahina ng Create policy na magbubukas, tukuyin ang mga elementong ito:
- Service โ Hanapin ang Qiskit Runtime at piliin ito. I-click ang Next.
- Resources โ Piliin ang All resources. I-click ang Next. Tandaan: Kung lumilikha ka ng policy na gusto mong ilapat lamang sa isang partikular na instance, pipiliin mo ang Specific resources, Service instance, string equals, pagkatapos piliin ang instance.
- Roles and actions โ Piliin ang mga sumusunod na value:
- Para sa Service access, piliin ang Manager.
- Para sa Platform access, piliin ang Administrator.
Sa ibaba, i-click ang Add. Makikita mo ang policy sa kanang panel. I-click ang Assign sa ibaba ng panel na iyon.
Matagumpay kang nakalikha ng access group na may isang policy. Susunod, lumikha ng pangalawang policy para sa parehong instance.
- Sa parehong access group, i-click ang tab na Access, pagkatapos i-click ang Assign access.
- Sa pahina ng Create policy na magbubukas, tukuyin ang mga elementong ito:
- Service โ Piliin ang All IAM Account Management services. I-click ang Next.
- Roles and actions โ Para sa Platform access, piliin ang Administrator. I-click ang Next. Sa ibaba, i-click ang Add, pagkatapos i-click ang Assign.
Lumikha ng ikatlong policy para sa parehong instance.
- Sa parehong access group, i-click ang tab na Access, pagkatapos i-click ang Assign access.
- Sa pahina ng Create policy na magbubukas, tukuyin ang mga elementong ito:
- Service โ Piliin ang All Account Management services. I-click ang Next.
- Roles and actions โ Para sa Platform access, piliin ang Viewer. I-click ang Next. Sa ibaba, i-click ang Add, pagkatapos i-click ang Assign.
Lumikha ng ikaapat na policy para sa parehong instance.
- Sa parehong access group, i-click ang tab na Access, pagkatapos i-click ang Assign access.
- Sa pahina ng Create policy na magbubukas, tukuyin ang mga elementong ito:
- Service โ Piliin ang Support Center. I-click ang Next.
- Roles and actions โ Para sa Platform access, piliin ang Administrator. I-click ang Next. Sa ibaba, i-click ang Add, pagkatapos i-click ang Assign.
Sa wakas, magdagdag ng mga user sa access group. Maaari mong gawin ito mula sa pahina ng Users ng access group, o sa pamamagitan ng pahina ng Access management ng IBM Quantum Platform.
Maaari ka lamang mag-imbitasyon ng mga user na miyembro na ng account. Kung hindi mo makita ang isang user sa pahina ng Add users, sundin ang mga hakbang sa Imbitahan at pamahalaan ang mga user para idagdag sila sa account muna. Pagkatapos tanggapin nila ang imbitasyon, maaari mo na silang idagdag sa access group.
Ikumpara ang mga pahintulotโ
Ang sumusunod na talahanayan ay nagpapakita kung aling mga pahintulot ang ipinagkaloob sa tatlong entity: mga may-ari ng account, IBM Quantum Administrators (tingnan ang seksyong Lumikha ng IBM Quantum Administrators access group), at mga instance collaborator (awtomatikong nalilikha ang "Collaborators" access group tuwing lumilikha ka ng instance gamit ang IBM Quantum Platform).
Susi:
โ May pahintulot
โด๏ธ May dependency
โ Walang pahintulot
| Mga Pahintulot | May-ari ng account | IBM Quantum Administrators (access group) | Mga instance collaborator (access group) |
|---|---|---|---|
| Buong access sa lahat ng IBM Cloud resource | โ | โ (Sa mga Qiskit Runtime instance lamang) | โ (Sa isang partikular na Qiskit Runtime instance lamang) |
| Mag-assign ng access sa iba | โ | โ (Sa Qiskit Runtime service lamang) | โ |
| Lumikha ng mga service instance | โ (Lahat ng IBM Cloud catalog) | โ (Qiskit Runtime service instance lamang) | โ |
| Tingnan ang lahat ng user | โ | โ | โด๏ธ (Depende sa mga setting ng visibility ng user) |
| I-set ang visibility ng user | โ | โ | โ |
| Imbitahan ang mga user sa account | โ | โ | โ |
| Responsibilidad sa billing | โ | โ | โ |
| Tingnan ang impormasyon sa billing | โ | โ | โ |
| Mga notification ng may-ari | โ | โ | โ |
| Mag-submit ng mga quantum workload | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa isang partikular na Qiskit Runtime instance lamang) |
| Tingnan ang mga quantum workload | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa isang partikular na Qiskit Runtime instance lamang) |
| Kanselahin ang mga quantum workload | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa isang partikular na Qiskit Runtime instance lamang) |
| I-delete ang mga quantum workload | โ (Sa lahat ng Qiskit Runtime instance) | โ (Sa lahat ng Qiskit Runtime instance) | โ |
| Lumikha ng mga support case | โ | โ (Kung kasama ang access policy sa access group) | โ (Kung nagbibigay ng access ang access group sa isang Premium Plan instance) |
| Mag-configure ng identity provider para ikonekta ang iyong mga panlabas na user repository sa iyong IBM Cloud account | โ | โ | โ |
Ikumpara ang mga pre-defined service role actionโ
Ang sumusunod na talahanayan ay nagpapakita ng mga halimbawa ng mga aksyon na maaaring gawin ng mga pre-defined service role: Manager, Writer, at Reader. Para makita ang kumpletong mapa ng mga Quantum Service role sa mga aksyon, bisitahin ang talahanayan na ito sa IBM Cloud Product guide.
| Aksyon | Paglalarawan | Mga Role |
|---|---|---|
quantum-computing.session.create | Lumikha ng Session/Batch | Manager, Writer |
quantum-computing.job.create | Mag-submit ng Job | Manager, Writer |
quantum-computing.job.read | Basahin ang resulta | Manager, Reader, Writer |
quantum-computing.job.cancel | Kanselahin ang job | Manager, Writer |
quantum-computing.job.delete | I-delete ang job | Manager |
quantum-computing.direct-access-backend-properties.read | Basahin ang mga QPU calibration | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Tingnan ang analytics ng account | Manager, Writer (Kung naka-set up ang role para sa lahat ng resource lamang) |
quantum-computing.instance-usage.read | Tingnan ang paggamit ng instance at natitirang oras | Manager, Reader, Writer |
Mga susunod na hakbangโ
- Alamin ang istraktura ng IBM Cloud account, kasama ang mga access policy, grupo, at role.
- Basahin ang kung paano gumagana ang IBM Cloud IAM.
- Basahin ang higit pa tungkol sa kung paano mag-set up ng mga access group.
- Alamin ang IAM Roles (piliin ang Qiskit Runtime mula sa dropdown sa itaas ng pahina).
- Alamin ang tungkol sa paglikha ng mga custom role.