Vai al contenuto principale

Considerazioni per la configurazione di IBM Quantum Platform in un'organizzazione

In un'organizzazione in cui le persone possono lavorare su più progetti, la governance di IBM Quantum Platform può sembrare complessa. Tuttavia, la gestione degli accessi può essere utilizzata per abilitare facilmente la collaborazione tra utenti e per limitare la visibilità di utenti e progetti quando necessario. La gestione degli accessi diventa ancora più rilevante con le risorse IBM Quantum Platform a pagamento, ovvero le istanze del servizio che utilizzano piani a pagamento (per cui le organizzazioni vengono addebitate).

Panoramica​

nota

IBM Cloud® offre diversi modi per implementare i meccanismi descritti in questa guida. Esistono vari approcci per raggiungere questi obiettivi. Inoltre, la maggior parte dei passaggi di questa guida è generica per IBM Cloud e non specifica per IBM Quantum Platform, ad eccezione dei dettagli sui ruoli personalizzati.

Ruoli coinvolti​

In questa guida sono menzionati diversi ruoli principali:

  • Utente: una persona che ottiene accesso alle risorse di IBM Quantum Platform (istanze del servizio) e può potenzialmente collaborare con altri utenti su queste risorse. L'accesso degli utenti è controllato da un amministratore e questi non possono creare o eliminare istanze del servizio.
  • Amministratore Cloud: il proprietario di un account IBM Cloud che possiede le risorse IBM Quantum Platform e gestisce quali utenti possono accedervi. In quanto proprietario delle risorse, l'amministratore viene addebitato per qualsiasi utilizzo di risorse a pagamento.
  • Amministratore IDP: un amministratore che definisce le identità e i relativi attributi in un provider di identità (IDP).

Terminologia​

Questa guida utilizza i seguenti termini:

  • Risorsa: un termine generico di IBM Cloud che indica un oggetto gestibile tramite l'interfaccia utente Cloud, la CLI o le API. In questa guida, una risorsa è un'istanza del servizio IBM Quantum Platform.

  • Istanza del servizio: un'istanza del servizio è usata per accedere ai servizi Cloud — in particolare, ai computer quantistici. Viene definita tramite il catalogo. Puoi definire più istanze del servizio basate sullo stesso piano o su piani diversi, che offrono accesso a diversi backend di calcolo quantistico. Consulta Piano IBM Cloud disponibile per i dettagli.

  • Progetto: un'unità di raggruppamento che consente agli utenti di lavorare sulle stesse risorse. Questa guida utilizza due progetti: ml e finance. Consulta Strutture gerarchiche dei progetti per ulteriori informazioni.

    nota

    Questo progetto non è correlato al concetto di "progetto" nella versione classica di IBM Quantum® Platform.

Pianifica la configurazione​

Prima di configurare IBM Quantum Platform per la tua organizzazione, devi prendere queste decisioni:

  • Come vengono definite le identità degli utenti? Puoi configurare utenti IBM Cloud, utenti di un altro IDP, o entrambi.

    • Se stai usando un IDP diverso, chi assegna gli utenti alle risorse del progetto: l'amministratore Cloud o l'amministratore IDP?
    • Se è l'amministratore IDP ad assegnare gli utenti ai progetti, hai bisogno di una stringa da usare come chiave, ad esempio project (usata in questa guida) per i confronti tra progetti.

  • Quali sono i progetti e quali istanze del servizio apparterranno a ciascuno? Devi pianificare con attenzione i nomi dei progetti.

    • Non usare nomi di progetto che siano sottostringhe di altri. Ad esempio, se usi ml e chemlab come nomi di progetto e in seguito configuri una corrispondenza per ml, questa si attiverà su entrambi i valori, concedendo inavvertitamente più accesso del previsto. Usa invece nomi univoci come ml e chem-lab. In alternativa, usa prefissi o suffissi per evitare tali corrispondenze indesiderate tra sottostringhe.
    • L'uso di convenzioni di denominazione insieme a prefissi o suffissi può aiutarti a consentire facilmente l'accesso a più progetti.
    • Gli esperimenti quantistici (job) appartengono alle istanze del servizio, e gli utenti che hanno accesso a un'istanza possono vedere i relativi job.
    • Le istanze del servizio possono essere basate su piani diversi, consentendo l'accesso a diversi backend.

  • Quali utenti devono accedere a quali progetti?

  • Gli utenti devono poter eliminare i job? Mantenere i job nelle istanze del servizio offre una maggiore tracciabilità per i costi di fatturazione.

  • Utilizzerai gruppi di accesso che fanno riferimento direttamente alle istanze del servizio IBM Quantum Platform, oppure organizzerai i servizi in gruppi di risorse?

    • I gruppi di accesso sono un modo pratico e comune per controllare l'accesso degli utenti alle risorse IBM Cloud. Sono uno strumento semplice ma potente per assegnare l'accesso agli utenti in modo coerente. Creiamo un gruppo di accesso per ogni progetto e mappiamo gli utenti ai gruppi di accesso. Ogni gruppo di accesso utilizza un ruolo personalizzato che consente agli utenti di accedere a specifiche istanze del servizio o gruppi di risorse.
    • I gruppi di risorse vengono usati solo quando è necessario mantenere una netta separazione tra le istanze del servizio. Se vengono create nuove istanze del servizio in un gruppo di risorse, tutti gli utenti con accesso a quel gruppo le vedranno automaticamente, senza dover aggiornare i gruppi di accesso. Se scegli di usare i gruppi di risorse, creerai gruppi di accesso e li assegnerai ai gruppi di risorse.
    nota

    Un'istanza del servizio può appartenere a un solo gruppo di risorse e, una volta assegnate le istanze ai gruppi di risorse, questa assegnazione non può essere modificata. Ciò significa anche che l'assegnazione al gruppo di risorse può avvenire solo al momento della creazione dell'istanza del servizio. Pertanto, i gruppi di risorse potrebbero non offrire sufficiente flessibilità se le assegnazioni delle istanze del servizio ai gruppi di risorse dovessero cambiare.

Considerazioni​

Tieni presenti le seguenti considerazioni quando configuri il tuo ambiente.

Definire ruoli con granularità maggiore​

Le azioni nei ruoli personalizzati possono essere usate per un controllo degli accessi più granulare. Ad esempio, alcuni utenti potrebbero aver bisogno di accesso completo per lavorare sulle istanze del servizio, mentre altri potrebbero aver bisogno solo dell'accesso in lettura alle istanze del servizio, ai programmi e ai job.

Per ottenere ciò, definisci due ruoli personalizzati diversi, come MLreader e MLwriter. Rimuovi tutti i ruoli di annullamento, eliminazione e aggiornamento dal ruolo personalizzato MLreader, e includi tutte le azioni nel ruolo personalizzato MLwriter. Quindi aggiungi i ruoli a due diversi gruppi di accesso di conseguenza.

nota

Quando si usano le regole dinamiche, ovvero quando l'amministratore del provider di identità (IDP) gestisce l'accesso tramite attributi utente IDP personalizzati, non usare attributi utente IDP personalizzati che siano sottostringhe gli uni degli altri. Ad esempio, non usare ml e mlReader, perché il confronto della stringa ml accetterebbe anche mlReader. Potresti usare MLreader e MLwriter per evitare questo conflitto.

Per un esempio di configurazione dei ruoli personalizzati, consulta Creare gruppi di accesso per i progetti.

Accesso condiviso ai workload​

È importante notare che l'accesso si applica alle istanze del servizio. Pertanto, gli utenti con accesso in scrittura a un'istanza possono annullare i propri workload, ma possono anche visualizzare e annullare i workload degli altri utenti. Questa è una caratteristica del funzionamento di IAM e non può essere modificata.

Altre risorse Cloud​

I passaggi di questa guida possono essere usati anche per gestire l'accesso ad altre risorse Cloud. Includi le autorizzazioni appropriate nei gruppi di accesso dei progetti pertinenti.

Strutture gerarchiche dei progetti​

In questa guida, il mapping tra utenti, progetti e istanze del servizio è stato mantenuto semplice. Tuttavia, associando più utenti a gruppi di accesso e facendo riferimento alle istanze del servizio da più gruppi di accesso, è possibile implementare mapping più complessi.

Questo metodo può accomodare una struttura gerarchica. Ovvero, può allinearsi al modo in cui gli utenti potrebbero essere assegnati alla struttura di accesso Hub/Gruppo/Progetto nella versione classica di IBM Quantum® Platform. Ad esempio, un gruppo potrebbe essere un gruppo di accesso assegnato a tutte le istanze del servizio dei progetti del gruppo. Gli utenti che devono avere accesso a tutti i progetti del gruppo dovrebbero quindi essere aggiunti solo al gruppo di accesso del gruppo.

Distribuzione coerente e ripetibile della configurazione​

I passaggi di questa guida possono essere automatizzati per una gestione coerente e ripetibile di utenti, progetti e del mapping tra di essi. Consulta la documentazione del provider Terraform IBM Cloud® per i template.

Passi successivi​

Raccomandazioni