Creare policy di accesso e gruppi di accesso
Quando crei un'istanza in IBM Quantum® Platform, viene generato automaticamente un gruppo di accesso affinché i collaboratori possano utilizzarla. Se vuoi personalizzare quel gruppo di accesso o crearne altri, usa la console IBM® Cloud per Gruppi di accesso.
Un gruppo di accesso contiene policy, che definiscono le azioni che i membri del gruppo possono eseguire su risorse specifiche, come i servizi. In questa guida, la risorsa è generalmente un'istanza del servizio IBM Quantum.
Puoi creare ulteriori gruppi di accesso utilizzando la console, la CLI, l'API, o Terraform di IBM Cloud®.
Per determinare le azioni consentite da ciascun ruolo, dalla pagina Ruoli IAM seleziona Qiskit Runtime nel menu a tendina in cima alla pagina. Per un elenco più dettagliato, fai clic sul numero nella colonna accanto al nome del ruolo. Ad esempio, visitando quella pagina e facendo clic sul numero accanto al ruolo Manager, puoi vedere che questo ruolo include la possibilità di eliminare un job (quantum-computing.job.delete).
La sezione Confronto delle azioni dei ruoli di servizio predefiniti fornisce un confronto tra i ruoli predefiniti Manager, Writer e Reader.
Creare un gruppo di accesso IBM Quantum Administrators
Dopo aver configurato un account per la tua organizzazione, si raccomanda di creare un gruppo di accesso IBM Quantum Administrators. Questo gruppo di accesso consente ad altri utenti di creare e gestire istanze e di gestire l'accesso degli utenti al servizio Qiskit Runtime.
Quando crei questo gruppo di accesso, includi le seguenti policy:
- Servizio Qiskit Runtime - Concedi l'accesso per gestire tutte le istanze IBM Quantum nell'account e visualizzare le analisi sull'utilizzo dell'account.
- Ruolo di accesso al servizio Manager
- Ruolo di gestione della piattaforma Administrator
- Tutti i servizi di gestione account - Concedi l'accesso per elencare tutti i gruppi di risorse nell'account.
- Ruolo di gestione della piattaforma Viewer
- Tutti i servizi di gestione account IAM - Concedi l'accesso per invitare utenti, gestire gruppi di accesso e creare policy di accesso.
- Ruolo di gestione della piattaforma Administrator
- Servizio Support Center - Concedi l'accesso per permettere agli utenti di aprire casi di supporto tramite IBM Cloud Support Center.
- Ruolo di gestione della piattaforma Administrator
Gli utenti con il ruolo di gestione della piattaforma viewer su "tutti i servizi di gestione account" possono anche visualizzare servizi come la fatturazione. Se vuoi impedire questo accesso aggiuntivo in sola lettura, usa la CLI di IBM Cloud per concedere loro l'accesso solo ai gruppi di risorse:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Segui questi esempi per creare un gruppo di accesso IBM Quantum Administrators usando la CLI o la console di IBM Cloud.
Usare la CLI di IBM Cloud
Per creare un gruppo di accesso tramite la CLI, usa il comando ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Per creare una policy del gruppo di accesso tramite la CLI, usa il comando ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Puoi usare il seguente codice JSON per creare le policy per un gruppo di accesso Administrators:
- Tutti i servizi di gestione account (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Servizio Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Tutti i servizi di gestione account IAM (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Servizio Support Center (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Usare la console IAM di IBM Cloud
In qualità di proprietario o amministratore dell'account, segui questi passaggi per creare un gruppo di accesso IBM Quantum Administrator.
- Vai su Gestisci > Accesso (IAM) nella console IBM Cloud.
- Nel pannello sinistro, nella sezione Gestisci accesso, fai clic su Gruppi di accesso, poi fai clic su Crea.
- Nella finestra Crea gruppo di accesso che si apre, aggiungi un nome e una descrizione che rappresentino il gruppo di utenti che inviterai. Ad esempio, IBM Quantum Administrators. Fai clic su Crea.
Successivamente, crea le policy per il servizio Qiskit Runtime, per tutti i servizi di gestione account IAM e per tutti i servizi di gestione account.
-
Nel gruppo di accesso appena creato, fai clic sulla scheda Accesso, poi fai clic su Assegna accesso.
-
Nella pagina Crea policy che si apre, definisci questi elementi:
- Servizio - Cerca Qiskit Runtime e selezionalo. Fai clic su Avanti.
- Risorse - Seleziona Tutte le risorse. Fai clic su Avanti. Nota: se stessi creando una policy da applicare solo a una determinata istanza, sceglieresti invece Risorse specifiche, Istanza del servizio, stringa uguale a, quindi selezioneresti l'istanza.
- Ruoli e azioni - Seleziona i seguenti valori:
- Per Accesso al servizio, seleziona Manager.
- Per Accesso alla piattaforma, seleziona Administrator.
In fondo alla pagina, fai clic su Aggiungi. Dovresti vedere la policy nel pannello di destra. Fai clic su Assegna in fondo a quel pannello.
Hai creato con successo un gruppo di accesso con una policy. Ora crea una seconda policy per la stessa istanza.
- Nello stesso gruppo di accesso, fai clic sulla scheda Accesso, poi fai clic su Assegna accesso.
- Nella pagina Crea policy che si apre, definisci questi elementi:
- Servizio - Seleziona Tutti i servizi di gestione account IAM. Fai clic su Avanti.
- Ruoli e azioni - Per Accesso alla piattaforma, seleziona Administrator. Fai clic su Avanti. In fondo alla pagina, fai clic su Aggiungi, poi su Assegna.
Crea una terza policy per la stessa istanza.
- Nello stesso gruppo di accesso, fai clic sulla scheda Accesso, poi fai clic su Assegna accesso.
- Nella pagina Crea policy che si apre, definisci questi elementi:
- Servizio - Seleziona Tutti i servizi di gestione account. Fai clic su Avanti.
- Ruoli e azioni - Per Accesso alla piattaforma, seleziona Viewer. Fai clic su Avanti. In fondo alla pagina, fai clic su Aggiungi, poi su Assegna.
Crea una quarta policy per la stessa istanza.
- Nello stesso gruppo di accesso, fai clic sulla scheda Accesso, poi fai clic su Assegna accesso.
- Nella pagina Crea policy che si apre, definisci questi elementi:
- Servizio - Seleziona Support Center. Fai clic su Avanti.
- Ruoli e azioni - Per Accesso alla piattaforma, seleziona Administrator. Fai clic su Avanti. In fondo alla pagina, fai clic su Aggiungi, poi su Assegna.
Infine, aggiungi gli utenti al gruppo di accesso. Puoi farlo dalla pagina Utenti del gruppo di accesso oppure utilizzando la pagina Gestione accessi di IBM Quantum Platform.
Puoi invitare solo gli utenti che sono già membri dell'account. Se non vedi un utente nella pagina Aggiungi utenti, segui i passaggi in Invita e gestisci gli utenti per aggiungerli prima all'account. Dopo che avranno accettato l'invito, potrai aggiungerli al gruppo di accesso.
Confronto dei permessi
La tabella seguente mostra quali permessi vengono concessi a tre entità: i proprietari dell'account, gli IBM Quantum Administrators (vedi la sezione Creare un gruppo di accesso IBM Quantum Administrators) e i collaboratori dell'istanza (un gruppo di accesso "Collaborators" viene generato automaticamente ogni volta che crei un'istanza usando IBM Quantum Platform).
Legenda:
✅ Ha il permesso
✴️ Dipende da una condizione
❌ Non ha il permesso
| Permessi | Proprietario dell'account | IBM Quantum Administrators (gruppo di accesso) | Collaboratori dell'istanza (gruppo di accesso) |
|---|---|---|---|
| Accesso completo a tutte le risorse IBM Cloud | ✅ | ✅ (Solo alle istanze di Qiskit Runtime) | ❌ (Solo a una particolare istanza di Qiskit Runtime) |
| Assegnare l'accesso ad altri | ✅ | ✅ (Solo al servizio Qiskit Runtime) | ❌ |
| Creare istanze del servizio | ✅ (Tutto il catalogo IBM Cloud) | ✅ (Solo istanze del servizio Qiskit Runtime) | ❌ |
| Visualizzare tutti gli utenti | ✅ | ✅ | ✴️ (Dipende dalle impostazioni di visibilità dell'utente) |
| Impostare la visibilità degli utenti | ✅ | ❌ | ❌ |
| Invitare utenti nell'account | ✅ | ✅ | ❌ |
| Responsabilità di fatturazione | ✅ | ❌ | ❌ |
| Visualizzare le informazioni di fatturazione | ✅ | ✅ | ❌ |
| Notifiche al proprietario | ✅ | ❌ | ❌ |
| Inviare carichi di lavoro quantistici | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Solo su una particolare istanza di Qiskit Runtime) |
| Visualizzare i carichi di lavoro quantistici | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Solo su una particolare istanza di Qiskit Runtime) |
| Annullare i carichi di lavoro quantistici | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Solo su una particolare istanza di Qiskit Runtime) |
| Eliminare i carichi di lavoro quantistici | ✅ (Su tutte le istanze di Qiskit Runtime) | ✅ (Su tutte le istanze di Qiskit Runtime) | ❌ |
| Creare casi di supporto | ✅ | ✅ (Se la policy di accesso è inclusa nel gruppo di accesso) | ✅ (Se il gruppo di accesso concede l'accesso a un'istanza del Piano Premium) |
| Configurare un identity provider per collegare i repository utenti esterni al tuo account IBM Cloud | ✅ | ❌ | ❌ |
Confronto delle azioni dei ruoli di servizio predefiniti
La tabella seguente mostra esempi di azioni eseguibili dai ruoli di servizio predefiniti: Manager, Writer e Reader. Per una mappatura completa dei ruoli del servizio Quantum alle azioni, consulta questa tabella nella guida ai prodotti IBM Cloud.
| Azione | Descrizione | Ruoli |
|---|---|---|
quantum-computing.session.create | Crea una Sessione/Batch | Manager, Writer |
quantum-computing.job.create | Invia un Job | Manager, Writer |
quantum-computing.job.read | Legge un risultato | Manager, Reader, Writer |
quantum-computing.job.cancel | Annulla un job | Manager, Writer |
quantum-computing.job.delete | Elimina un job | Manager |
quantum-computing.direct-access-backend-properties.read | Legge le calibrazioni QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Visualizza le analisi dell'account | Manager, Writer (Solo se il ruolo è configurato per tutte le risorse) |
quantum-computing.instance-usage.read | Visualizza l'utilizzo dell'istanza e il tempo rimanente | Manager, Reader, Writer |
Passi successivi
- Comprendi la struttura dell'account IBM Cloud, incluse policy di accesso, gruppi e ruoli.
- Leggi come funziona IBM Cloud IAM.
- Scopri di più su come configurare i gruppi di accesso.
- Comprendi i Ruoli IAM (seleziona Qiskit Runtime dal menu a tendina in cima alla pagina).
- Scopri come creare ruoli personalizzati.