Vytváření přístupových politik a přístupových skupin

Když vytvoříš instanci v IBM Quantum® Platform, automaticky se pro ni vygeneruje přístupová skupina pro spolupracovníky. Pokud chceš tuto přístupovou skupinu přizpůsobit nebo vytvořit jiné přístupové skupiny, použij konzoli IBM® Cloud pro přístupové skupiny.

Přístupová skupina obsahuje politiky, které definují akce, jež mohou členové přístupové skupiny provádět s konkrétními zdroji, jako jsou služby. V tomto průvodci je zdrojem zpravidla instance služby IBM Quantum.

Další přístupové skupiny můžeš vytvářet pomocí IBM Cloud® konzole, CLI, API, nebo Terraformu.

Důležité

Chceš-li zjistit, jaké akce jsou povoleny pro jednotlivé role, přejdi na stránku IAM Roles, v rozbalovací nabídce v horní části stránky vyber Qiskit Runtime. Pro podrobnější seznam klikni na číslo ve sloupci vedle názvu role. Například navštívením této stránky a kliknutím na číslo u role Manager zjistíš, že tato role zahrnuje možnost smazání úlohy (quantum-computing.job.delete).

Část Porovnání předdefinovaných akcí servisní role poskytuje srovnání předdefinovaných rolí Manager, Writer a Reader.

Vytvoření přístupové skupiny IBM Quantum Administrators

Po nastavení účtu pro svou organizaci se doporučuje vytvořit přístupovou skupinu IBM Quantum Administrators. Tato přístupová skupina umožňuje ostatním uživatelům vytvářet a spravovat instance a spravovat přístup uživatelů ke službě Qiskit Runtime.

Při vytváření této přístupové skupiny zahrň následující politiky:

Služba Qiskit Runtime – udělení přístupu ke správě všech IBM Quantum instancí v účtu a zobrazení analytiky využití účtu.
- Servisní přístupová role Manager
- Přístupová role platformy Administrator
Všechny správcovské služby účtu – udělení přístupu k výpisu všech skupin zdrojů v účtu.
- Přístupová role platformy Viewer
Všechny IAM správcovské služby účtu – udělení přístupu k pozývání uživatelů, správě přístupových skupin a vytváření přístupových politik.
- Přístupová role platformy Administrator
Služba Support Center – udělení přístupu, který umožňuje uživatelům otvírat případy podpory prostřednictvím IBM Cloud Support Center.
- Přístupová role platformy Administrator

poznámka

Uživatelé s přístupovou rolí viewer platformy na „všechny správcovské služby účtu" mohou také zobrazovat služby jako například fakturaci. Chceš-li tomuto dodatečnému přístupu k zobrazení zabránit, použij IBM Cloud CLI a uděl jim přístup pouze ke skupinám zdrojů:

ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group

Postupuj podle těchto příkladů a vytvoř přístupovou skupinu IBM Quantum Administrators pomocí IBM Cloud CLI nebo konzole.

Použití IBM Cloud CLI

Pro vytvoření přístupové skupiny pomocí CLI použij příkaz ibmcloud iam access-group-create.

ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]

Pro vytvoření politiky přístupové skupiny pomocí CLI použij příkaz ibmcloud iam access-group-policy-create.

ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}

Pro vytvoření politik pro přístupovou skupinu Administrators můžeš použít následující JSON kód:

Všechny správcovské služby účtu (viewer)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceType",
                    "value": "platform_service"
                }
            ]
        }
    ]
}

Služba Qiskit Runtime (Manager, Administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
        },
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceName",
                    "value": "quantum-computing"
                }
            ]
        }
    ]
}

Všechny IAM správcovské služby účtu (administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "service_group_id",
                    "value": "IAM"
                }
            ]
        }
    ]
}

Služba Support Center (administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        },
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceName",
                    "value": "support"
                }
            ]
        }
    ]
}

Použití konzole IBM Cloud IAM

Jako vlastník nebo správce účtu postupuj podle těchto kroků a vytvoř přístupovou skupinu IBM Quantum Administrator.

V konzoli IBM Cloud přejdi na Manage > Access (IAM).
V levém panelu v části Manage access klikni na Access groups a poté na Create.
V okně Create access group, které se otevře, přidej název a popis reprezentující skupinu uživatelů, které budeš zvát. Například IBM Quantum Administrators. Klikni na Create.

Dále vytvoř politiky pro službu Qiskit Runtime, pro všechny IAM správcovské služby účtu a pro všechny správcovské služby účtu.

V právě vytvořené přístupové skupině klikni na záložku Access a poté na Assign access.
Na stránce Create policy, která se otevře, definuj tyto prvky:
- Service – Vyhledej Qiskit Runtime a vyber jej. Klikni na Next.
- Resources – Vyber All resources. Klikni na Next. Poznámka: Pokud bys chtěl/a vytvořit politiku, která se má vztahovat pouze na určitou instanci, místo toho bys zvolil/a Specific resources, Service instance, string equals a pak vybral/a instanci.
- Roles and actions – Vyber následující hodnoty:
  - Pro Service access vyber Manager.
  - Pro Platform access vyber Administrator.
Dole klikni na Add. V pravém panelu bys měl/a vidět politiku. Klikni na Assign v dolní části tohoto panelu.

Úspěšně jsi vytvořil/a přístupovou skupinu s jednou politikou. Dále vytvoř druhou politiku pro stejnou instanci.

Ve stejné přístupové skupině klikni na záložku Access a poté na Assign access.
Na stránce Create policy, která se otevře, definuj tyto prvky:
- Service – Vyber All IAM Account Management services. Klikni na Next.
- Roles and actions – Pro Platform access vyber Administrator, klikni na Next. Dole klikni na Add a poté na Assign.

Vytvoř třetí politiku pro stejnou instanci.

Ve stejné přístupové skupině klikni na záložku Access a poté na Assign access.
Na stránce Create policy, která se otevře, definuj tyto prvky:
- Service – Vyber All Account Management services. Klikni na Next.
- Roles and actions – Pro Platform access vyber Viewer, klikni na Next. Dole klikni na Add a poté na Assign.

Vytvoř čtvrtou politiku pro stejnou instanci.

Ve stejné přístupové skupině klikni na záložku Access a poté na Assign access.
Na stránce Create policy, která se otevře, definuj tyto prvky:
- Service – Vyber Support Center. Klikni na Next.
- Roles and actions – Pro Platform access vyber Administrator. Klikni na Next. Dole klikni na Add a poté na Assign.

Nakonec přidej uživatele do přístupové skupiny. To lze provést ze stránky Users přístupové skupiny nebo pomocí stránky Správa přístupu na IBM Quantum Platform.

poznámka

Pozvat lze pouze uživatele, kteří jsou již členy účtu. Pokud uživatele na stránce Add users nevidíš, postupuj podle kroků v Pozvání a správa uživatelů a nejprve je přidej do účtu. Po přijetí pozvánky je pak můžeš přidat do přístupové skupiny.

Porovnání oprávnění

Následující tabulka zobrazuje, jaká oprávnění jsou udělena třem entitám: vlastníkům účtů, správcům IBM Quantum (viz část Vytvoření přístupové skupiny IBM Quantum Administrators) a spolupracovníkům instancí (přístupová skupina „Collaborators" se automaticky vygeneruje při každém vytvoření instance pomocí IBM Quantum Platform).

Legenda:

✅ Má oprávnění

✴️ Závisí na podmínce

❌ Nemá oprávnění

Oprávnění	Vlastník účtu	IBM Quantum Administrators (přístupová skupina)	Spolupracovníci instance (přístupová skupina)
Plný přístup ke všem zdrojům IBM Cloud	✅	✅ (Pouze k instancím Qiskit Runtime)	❌ (Pouze k určité instanci Qiskit Runtime)
Přidělení přístupu ostatním	✅	✅ (Pouze ke službě Qiskit Runtime)	❌
Vytváření instancí služeb	✅ (Celý katalog IBM Cloud)	✅ (Pouze instance služby Qiskit Runtime)	❌
Zobrazení všech uživatelů	✅	✅	✴️ (Závisí na nastavení viditelnosti uživatele)
Nastavení viditelnosti uživatele	✅	❌	❌
Pozvání uživatelů do účtu	✅	✅	❌
Odpovědnost za fakturaci	✅	❌	❌
Zobrazení informací o fakturaci	✅	✅	❌
Oznámení vlastníkovi	✅	❌	❌
Odesílání kvantových pracovních zátěží	✅ (Na všechny instance Qiskit Runtime)	✅ (Na všechny instance Qiskit Runtime)	✅ (Pouze na určitou instanci Qiskit Runtime)
Zobrazení kvantových pracovních zátěží	✅ (Na všechny instance Qiskit Runtime)	✅ (Na všechny instance Qiskit Runtime)	✅ (Pouze na určitou instanci Qiskit Runtime)
Zrušení kvantových pracovních zátěží	✅ (Na všechny instance Qiskit Runtime)	✅ (Na všechny instance Qiskit Runtime)	✅ (Pouze na určitou instanci Qiskit Runtime)
Smazání kvantových pracovních zátěží	✅ (Na všechny instance Qiskit Runtime)	✅ (Na všechny instance Qiskit Runtime)	❌
Vytváření případů podpory	✅	✅ (Pokud je přístupová politika zahrnuta v přístupové skupině)	✅ (Pokud přístupová skupina poskytuje přístup k instanci Premium Plan)
Konfigurace poskytovatele identity pro propojení externích uživatelských úložišť s účtem IBM Cloud	✅	❌	❌

Porovnání předdefinovaných akcí servisní role

Následující tabulka zobrazuje příklady akcí, které mohou provádět předdefinované servisní role: Manager, Writer a Reader. Kompletní mapování rolí služby Quantum na akce najdeš v této tabulce v průvodci produktem IBM Cloud.

Akce	Popis	Role
`quantum-computing.session.create`	Vytvoření Session/Batch	Manager, Writer
`quantum-computing.job.create`	Odeslání úlohy	Manager, Writer
`quantum-computing.job.read`	Čtení výsledku	Manager, Reader, Writer
`quantum-computing.job.cancel`	Zrušení úlohy	Manager, Writer
`quantum-computing.job.delete`	Smazání úlohy	Manager
`quantum-computing.direct-access-backend-properties.read`	Čtení kalibrací QPU	Manager, Reader, Writer
`quantum-computing.account-analytics-usage.read`	Zobrazení analytiky účtu	Manager, Writer (Pouze pokud je role nastavena pro všechny zdroje)
`quantum-computing.instance-usage.read`	Zobrazení využití instance a zbývajícího času	Manager, Reader, Writer

Další kroky

Doporučení

Prozkoumej strukturu účtu IBM Cloud, včetně přístupových politik, skupin a rolí.
Přečti si o tom, jak funguje IBM Cloud IAM.
Přečti si více o tom, jak nastavit přístupové skupiny.
Prozkoumej IAM Role (v rozbalovací nabídce v horní části stránky vyber Qiskit Runtime).
Zjisti více o vytváření vlastních rolí.

Vytvoření přístupové skupiny IBM Quantum Administrators​

Použití IBM Cloud CLI​

Použití konzole IBM Cloud IAM​

Porovnání oprávnění​

Porovnání předdefinovaných akcí servisní role​

Další kroky​