Struttura dell'account IBM Cloud
Prima di configurare IBM Quantum® Platform, è importante comprendere la struttura dell'account Identity and Access Management (IAM) di IBM Cloud®. Come mostrato nel diagramma ad alto livello seguente, al livello più alto si trova un account. Esiste un solo proprietario dell'account, che ha il controllo esclusivo sulla gestione della fatturazione.
Questo account contiene più utenti e istanze di servizio (come IBM Qiskit Runtime). Ogni istanza di servizio esiste in una regione specifica e ha un piano, quindi se vuoi rendere disponibili più piani ai tuoi utenti, avrai più istanze di servizio, ognuna associata a un piano diverso.
A ogni utente vengono assegnate delle policy di accesso, che gli concedono vari livelli di accesso alle istanze di servizio. Le policy di accesso possono essere raggruppate in un gruppo di accesso.
Per impostazione predefinita, tutti gli utenti all'interno dell'account possono vedersi a vicenda. Nelle impostazioni dell'account, puoi attivare l'opzione per limitare la visibilità , assicurando che solo gli utenti con i permessi per il servizio IAM possano vedere gli altri. Da notare che IBM Cloud non supporta gruppi di utenti né amministratori specifici per gruppo.
Policy e gruppi di accesso​
Come descritto in precedenza, a ogni utente possono essere assegnate una o più policy di accesso: singolarmente, come parte di un gruppo di accesso, o entrambe le modalità .
All'interno di una policy di accesso, puoi specificare i permessi selezionando i ruoli di piattaforma e di servizio oppure creando ruoli personalizzati. I ruoli di piattaforma definiscono le azioni a livello di piattaforma, come la creazione o la gestione di istanze. I ruoli di servizio concedono l'accesso per eseguire azioni all'interno del servizio, come la chiamata all'endpoint API "create jobs" (ovvero, l'esecuzione di un job).
Questa guida descrive una rappresentazione semplificata del modello IAM. Per i dettagli completi, consulta la documentazione IBM Cloud IAM.
Ruoli​
Esistono due famiglie di ruoli: gestione della piattaforma e accesso al servizio.
I ruoli di gestione della piattaforma definiscono le azioni consentite, come l'assegnazione dell'accesso agli utenti e la creazione di istanze di servizio per la gestione delle risorse a livello di piattaforma. I ruoli di piattaforma si applicano anche alle azioni che possono essere eseguite nel contesto dei servizi di gestione dell'account, come invitare e rimuovere utenti, gestire i gruppi di accesso e gestire gli ID servizio.
I ruoli di accesso al servizio definiscono le azioni consentite, come la chiamata alle API del servizio o l'accesso alla dashboard del servizio. Questi ruoli vengono personalizzati in base al servizio selezionato nella policy. Nel contesto di queste guide, il servizio è sempre Qiskit Runtime.
L'esecuzione di azioni richiede spesso una combinazione di ruoli di gestione della piattaforma e di accesso al servizio. Il ruolo di servizio writer, ad esempio, ti consente di eseguire job, ma non di elencare le istanze. Per elencare l'istanza hai bisogno almeno del ruolo viewer per la piattaforma. Di seguito sono riportati alcuni ruoli di uso comune:
- La creazione di istanze richiede il ruolo di accesso al servizio
manager, nonché il ruolo di gestione della piattaformaviewersu tutti i servizi di gestione dell'account.notaGli utenti con il ruolo di gestione della piattaforma
viewersu tutti i servizi di gestione dell'account possono anche visualizzare servizi come la fatturazione. Se vuoi impedire questo accesso in visualizzazione aggiuntivo, usa la CLI IBM Cloud per concedere loro l'accesso solo ai gruppi di risorse:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - L'esecuzione di job richiede il ruolo di accesso al servizio
writere l'accesso con ruolo di gestione della piattaformaviewerall'istanza.
Quando crei una policy di accesso (su un gruppo di accesso o per un utente), puoi verificare quali azioni fanno parte del ruolo esaminando la descrizione. Ad esempio quantum-computing.job.create - Create a job to run a program.
Puoi anche determinare le azioni consentite da ogni ruolo dalla pagina IAM Roles. Seleziona Qiskit Runtime nel menu a discesa in cima alla pagina. Poi, per un elenco più dettagliato, clicca il numero nella colonna accanto al nome del ruolo. Ad esempio, visitando quella pagina e cliccando il numero accanto al ruolo Manager, puoi vedere che questo ruolo include la possibilità di eliminare un job (quantum-computing.job.delete).
La tabella seguente fornisce esempi di alcune delle azioni di gestione della piattaforma che gli utenti possono eseguire nel contesto del servizio Qiskit Runtime.
| Ruolo di gestione della piattaforma | Servizio Qiskit Runtime |
|---|---|
| Ruolo Viewer | Visualizzare istanze e credenziali |
| Ruolo Operator | Visualizzare istanze e gestire credenziali |
| Ruolo Editor | Creare, eliminare, modificare e visualizzare istanze. Gestire credenziali |
| Ruolo Administrator | Tutte le azioni di gestione per i servizi |
La tabella seguente fornisce esempi di alcune delle azioni di accesso al servizio che gli utenti possono eseguire nel contesto del servizio Qiskit Runtime.
| Ruolo di accesso al servizio | Azioni Qiskit Runtime |
|---|---|
| Reader | Eseguire azioni di sola lettura, come la visualizzazione dei job |
| Writer | Permessi oltre al ruolo reader, inclusa l'esecuzione di job |
| Manager | Permessi oltre al ruolo writer, incluso il provisioning di istanze, l'impostazione del limite di costo dell'istanza e l'eliminazione o la cancellazione di un job |
Passi successivi​
- Crea le istanze.
- Esegui l'upgrade dal piano Open.
- Comprendi i ruoli IAM (seleziona Qiskit Runtime dal menu a discesa in cima alla pagina).