Aspekty nastavení IBM Quantum Platform pro organizaci

V organizaci, kde jednotlivci mohou pracovat na několika projektech, může správa IBM Quantum Platform působit složitě. Správa přístupu však umožňuje snadno zapnout spolupráci uživatelů a v případě potřeby omezit viditelnost uživatelů a projektů. Řízení přístupu je důležitější u placených prostředků IBM Quantum Platform – tedy u instancí služby využívajících placené plány (za které jsou organizacím účtovány poplatky).

Přehled

poznámka

IBM Cloud® poskytuje různé způsoby implementace mechanismů popsaných v tomto průvodci. Existuje několik způsobů, jak těchto cílů dosáhnout. Kromě toho je většina kroků v tomto průvodci obecná pro IBM Cloud a není specifická pro IBM Quantum Platform – s výjimkou podrobností o vlastních rolích.

Zúčastněné role

V tomto průvodci jsou zmíněny tyto hlavní role:

• Uživatel: Osoba, která získá přístup k prostředkům IBM Quantum Platform (instancím služby) a může potenciálně spolupracovat s dalšími uživateli na těchto prostředcích. Přístup uživatelů je řízen administrátorem a uživatelé nemohou vytvářet ani mazat instance služby.
• Správce cloudu: Vlastník účtu IBM Cloud, který vlastní prostředky IBM Quantum Platform a spravuje, kteří uživatelé k nim mají přístup. Jako vlastník prostředků nese správce náklady za veškeré placené využití prostředků.
• Správce IDP: Administrátor, který definuje identity a jejich atributy v poskytovateli identit (IDP).

Terminologie

Tento průvodce používá následující pojmy:

• Prostředek: Obecný termín IBM Cloud označující objekt, který lze spravovat prostřednictvím cloudového uživatelského rozhraní, CLI nebo API. V tomto průvodci je prostředkem instance služby IBM Quantum Platform.

• Instance služby: Instance služby slouží k přístupu ke cloudovým službám – konkrétně ke kvantovým počítačům. Je definována prostřednictvím katalogu. Můžeš definovat několik instancí služby na základě stejných nebo různých plánů, které nabízejí přístup k různým Backend kvantového výpočtu. Podrobnosti najdeš v části Dostupné plány IBM Cloud.

• Projekt: Seskupovací jednotka, která umožňuje uživatelům pracovat na stejných prostředcích. Tento průvodce používá dva projekty: ml a finance. Více informací najdeš v části Hierarchické struktury projektů.

  poznámka

  Tento projekt nesouvisí s konceptem „projektu" v klasické IBM Quantum® Platform.

Naplánuj si nastavení

Před nastavením IBM Quantum Platform pro svou organizaci musíš učinit tato rozhodnutí:

• Jak jsou definovány identity uživatelů? Můžeš nastavit uživatele IBM Cloud, uživatele z jiného IDP nebo obojí.

  • Pokud používáš jiný IDP, přiřazuje uživatele k prostředkům projektů správce cloudu nebo správce IDP?
  • Pokud správce IDP přiřazuje uživatele k projektům, potřebuješ řetězec, který bude použit jako klíč, například project (který tento průvodce používá) pro porovnávání projektů.

• Jaké jsou projekty a které instance služby budou do každého z nich patřit? Názvy projektů musíš pečlivě naplánovat.

  • Názvy projektů nesmí být podřetězci jiných názvů. Pokud například použiješ ml a chemlab jako názvy projektů a poté nastavíš porovnávání projektů pro ml, bude toto porovnání platit pro obě hodnoty a neúmyslně tak udělíš více přístupu, než bylo zamýšleno. Místo toho používej jedinečné názvy, například ml a chem-lab. Alternativně používej předpony nebo přípony, aby se zabránilo takovým neúmyslným shodám podřetězců.
  • Konvence pojmenování spolu s předponami nebo příponami ti mohou pomoci snadno umožnit přístup k několika projektům najednou.
  • Kvantové experimenty (úlohy) patří k instancím služby a uživatelé s přístupem k instanci mohou vidět její úlohy.
  • Instance služby mohou být založeny na různých plánech, které umožňují přístup k různým Backend.

• Kteří uživatelé potřebují přístup ke kterým projektům?

• Mají mít uživatelé možnost mazat úlohy? Uchovávání úloh v instancích služby poskytuje lepší sledovatelnost nákladů na fakturaci.

• Budeš používat přístupové skupiny, které přímo odkazují na instance služby IBM Quantum Platform, nebo budeš organizovat služby do skupin prostředků?

  • Přístupové skupiny jsou pohodlný a běžný způsob řízení přístupu uživatelů ke zdrojům IBM Cloud. Jsou jednoduchým, ale účinným prostředkem ke konzistentnímu přiřazování přístupu uživatelů. Pro každý projekt vytvoříme přístupovou skupinu a namapujeme uživatele na přístupové skupiny. Každá přístupová skupina používá vlastní roli, která uživatelům umožňuje přístup ke konkrétním instancím služby nebo skupinám prostředků.
  • Skupiny prostředků se používají pouze tehdy, když je potřeba udržovat jasné oddělení instancí služby. Pokud jsou ve skupině prostředků vytvořeny další instance služby, všichni uživatelé s přístupem ke skupině prostředků je automaticky uvidí bez nutnosti aktualizovat přístupové skupiny. Pokud se rozhodneš používat skupiny prostředků, vytvoříš přístupové skupiny a poté je přiřadíš ke skupinám prostředků.
  poznámka

  Instance služby může patřit pouze do jedné skupiny prostředků a po přiřazení instancí do skupin prostředků je nelze změnit. To také znamená, že přiřazení do skupiny prostředků může proběhnout pouze při vytvoření instance služby. Skupiny prostředků proto nemusí poskytovat dostatečnou flexibilitu, pokud by bylo nutné přiřazení instancí služby ke skupinám prostředků měnit.

Aspekty

Při nastavování svého prostředí bys měl/a znát následující aspekty.

Definuj podrobnější role

Akce ve vlastních rolích lze použít pro podrobnější řízení přístupu. Někteří uživatelé například mohou potřebovat úplný přístup k instancím služby, zatímco jiní potřebují pouze přístup ke čtení instancí služby, programů a úloh.

Toho dosáhneš tak, že definuješ dvě různé vlastní role, například MLreader a MLwriter. Z vlastní role MLreader odstraníš všechny akce zrušení, mazání a aktualizace a do vlastní role MLwriter zahrneš všechny akce. Poté odpovídajícím způsobem přidáš role do dvou různých přístupových skupin.

poznámka

Při používání dynamických pravidel – tedy když správce poskytovatele identit (IDP) spravuje přístup prostřednictvím vlastních atributů uživatelů IDP – nepoužívej vlastní atributy uživatelů IDP, které jsou podřetězci navzájem. Například nepoužívej ml a mlReader, protože porovnání řetězce ml by akceptovalo i mlReader. Abys předešel/a tomuto konfliktu, můžeš použít MLreader a MLwriter.

Příklad nastavení vlastních rolí najdeš v části Vytvoření přístupových skupin pro projekty.

Sdílený přístup k pracovní zátěži

Je důležité poznamenat, že přístup se vztahuje na instance služby. Uživatelé s přístupem pro zápis k instanci tedy mohou zrušit vlastní pracovní zátěže, ale mohou také zobrazovat a rušit pracovní zátěže ostatních uživatelů. Toto je způsobeno fungováním IAM a nelze to změnit.

Další cloudové prostředky

Kroky v tomto průvodci lze použít také ke správě přístupu k dalším cloudovým prostředkům. Do přístupových skupin příslušných projektů zahrň odpovídající oprávnění.

Hierarchické struktury projektů

V tomto průvodci bylo mapování uživatelů na projekty a instance služby udržováno jednoduché. Asociováním několika uživatelů s přístupovými skupinami a odkazováním instancí služby z několika přístupových skupin však lze implementovat složitější mapování.

Tato metoda umožňuje hierarchickou strukturu. To znamená, že může odpovídat způsobu, jakým mohou být uživatelé přiřazeni ke struktuře přístupu Hub/Group/Project v klasické verzi IBM Quantum® Platform. Například skupina může být přístupová skupina přiřazená ke všem instancím služby projektů dané skupiny. Uživatelé, kteří by měli získat přístup ke všem projektům skupiny, pak musí být přidáni pouze do přístupové skupiny dané skupiny.

Konzistentní a opakovatelné nasazení konfigurace

Kroky tohoto průvodce lze automatizovat pro konzistentní a opakovatelnou správu uživatelů, projektů a mapování mezi nimi. Šablony najdeš v dokumentaci poskytovatele Terraform IBM Cloud®.

Další kroky

Doporučení

• Postup nastavení IBM Quantum Platform najdeš v části Konfigurace IBM Quantum Platform pro organizaci.
• Porozumění dostupným plánům.
• Vytváření instancí.
• Porozumění struktuře IBM Cloud.
• Vytváření zásad a přístupových skupin.
• Správa uživatelů.