Zugriffsrichtlinien und Zugriffsgruppen erstellen
Wenn du eine Instanz in IBM Quantum® Platform erstellst, wird automatisch eine Zugriffsgruppe für Mitarbeitende generiert, die diese Instanz nutzen können. Wenn du diese Zugriffsgruppe anpassen oder weitere Zugriffsgruppen erstellen möchtest, verwende die IBM® Cloud-Konsole für Zugriffsgruppen.
Eine Zugriffsgruppe enthält Richtlinien, die festlegen, welche Aktionen Mitglieder der Zugriffsgruppe auf bestimmte Ressourcen – zum Beispiel Services – ausführen dürfen. In dieser Anleitung ist die Ressource in der Regel eine IBM Quantum Service-Instanz.
Du kannst weitere Zugriffsgruppen über die IBM Cloud® Konsole, die CLI, die API, oder Terraform erstellen.
Um die für die einzelnen Rollen zulässigen Aktionen zu ermitteln, wähle auf der Seite IAM-Rollen im Dropdown-Menü oben auf der Seite Qiskit Runtime aus. Eine detailliertere Liste erhältst du, indem du auf die Zahl in der Spalte neben dem Rollennamen klickst. Wenn du zum Beispiel diese Seite aufrufst und auf die Zahl neben der Rolle „Manager" klickst, siehst du, dass diese Rolle u. a. das Löschen eines Jobs enthält (quantum-computing.job.delete).
Der Abschnitt Vordefinierte Service-Rollenaktionen vergleichen bietet einen Vergleich der vordefinierten Rollen „Manager", „Writer" und „Reader".
IBM Quantum Administrators-Zugriffsgruppe erstellen
Nach der Einrichtung eines Kontos für deine Organisation empfiehlt es sich, eine IBM Quantum Administrators-Zugriffsgruppe zu erstellen. Diese Zugriffsgruppe ermöglicht es anderen Benutzenden, Instanzen zu erstellen und zu verwalten sowie den Benutzerzugriff für den Qiskit Runtime-Service zu administrieren.
Beim Erstellen dieser Zugriffsgruppe solltest du die folgenden Richtlinien hinzufügen:
- Qiskit Runtime-Service – Zugriff zum Verwalten aller IBM Quantum-Instanzen im Konto und zum Anzeigen von Kontonutzungsanalysen erteilen.
- Manager-Servicezugriffsrolle
- Administrator-Plattformverwaltungsrolle
- Alle Kontoverwaltungsservices – Zugriff zum Auflisten aller Ressourcengruppen im Konto erteilen.
- Viewer-Plattformverwaltungsrolle
- Alle IAM-Kontoverwaltungsservices – Zugriff zum Einladen von Benutzenden, Verwalten von Zugriffsgruppen und Erstellen von Zugriffsrichtlinien erteilen.
- Administrator-Plattformverwaltungsrolle
- Support Center-Service – Zugriff erteilen, damit Benutzende über das IBM Cloud Support Center Support-Fälle öffnen können.
- Administrator-Plattformverwaltungsrolle
Benutzer mit der Plattformverwaltungsrolle viewer für „Alle Kontoverwaltungsservices" können auch Services wie die Abrechnung anzeigen. Wenn du diesen zusätzlichen Lesezugriff verhindern möchtest, verwende die IBM Cloud CLI, um ihnen nur Zugriff auf Ressourcengruppen zu gewähren:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Folge diesen Beispielen, um eine IBM Quantum Administrators-Zugriffsgruppe über die IBM Cloud CLI oder die Konsole zu erstellen.
IBM Cloud CLI verwenden
Um eine Zugriffsgruppe per CLI zu erstellen, verwende den Befehl ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Um eine Zugriffsgruppen-Richtlinie per CLI zu erstellen, verwende den Befehl ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Du kannst den folgenden JSON-Code verwenden, um Richtlinien für eine Administrators-Zugriffsgruppe zu erstellen:
- Alle Kontoverwaltungsservices (Viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Qiskit Runtime-Service (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Alle IAM-Kontoverwaltungsservices (Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Support Center-Service (Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
IBM Cloud IAM-Konsole verwenden
Als Kontoinhaber oder Administrator folge diesen Schritten, um eine IBM Quantum Administrator-Zugriffsgruppe zu erstellen.
- Gehe in der IBM Cloud-Konsole zu Verwalten > Zugriff (IAM).
- Klicke im linken Bereich im Abschnitt Zugriff verwalten auf Zugriffsgruppen und dann auf Erstellen.
- Im sich öffnenden Fenster Zugriffsgruppe erstellen gibst du einen Namen und eine Beschreibung ein, die die Gruppe der einzuladenden Benutzer repräsentiert – zum Beispiel „IBM Quantum Administrators". Klicke auf Erstellen.
Erstelle anschließend Richtlinien für den Qiskit Runtime-Service, für alle IAM-Kontoverwaltungsservices und für alle Kontoverwaltungsservices.
-
Klicke in der soeben erstellten Zugriffsgruppe auf den Tab Zugriff und dann auf Zugriff zuweisen.
-
Definiere auf der sich öffnenden Seite Richtlinie erstellen die folgenden Elemente:
- Service – Suche nach Qiskit Runtime und wähle es aus. Klicke auf Weiter.
- Ressourcen – Wähle Alle Ressourcen aus. Klicke auf Weiter. Hinweis: Wenn du eine Richtlinie erstellen möchtest, die nur für eine bestimmte Instanz gilt, wähle stattdessen Bestimmte Ressourcen, Serviceinstanz, Zeichenfolge stimmt überein mit und dann die Instanz aus.
- Rollen und Aktionen – Wähle die folgenden Werte aus:
- Wähle bei Servicezugriff den Wert Manager aus.
- Wähle bei Plattformzugriff den Wert Administrator aus.
Klicke unten auf Hinzufügen. Die Richtlinie sollte im rechten Bereich angezeigt werden. Klicke unten in diesem Bereich auf Zuweisen.
Du hast erfolgreich eine Zugriffsgruppe mit einer Richtlinie erstellt. Erstelle nun eine zweite Richtlinie für dieselbe Instanz.
- Klicke in derselben Zugriffsgruppe auf den Tab Zugriff und dann auf Zugriff zuweisen.
- Definiere auf der sich öffnenden Seite Richtlinie erstellen die folgenden Elemente:
- Service – Wähle Alle IAM-Kontoverwaltungsservices aus. Klicke auf Weiter.
- Rollen und Aktionen – Wähle bei Plattformzugriff Administrator aus. Klicke auf Weiter. Klicke unten auf Hinzufügen und dann auf Zuweisen.
Erstelle eine dritte Richtlinie für dieselbe Instanz.
- Klicke in derselben Zugriffsgruppe auf den Tab Zugriff und dann auf Zugriff zuweisen.
- Definiere auf der sich öffnenden Seite Richtlinie erstellen die folgenden Elemente:
- Service – Wähle Alle Kontoverwaltungsservices aus. Klicke auf Weiter.
- Rollen und Aktionen – Wähle bei Plattformzugriff Viewer aus. Klicke auf Weiter. Klicke unten auf Hinzufügen und dann auf Zuweisen.
Erstelle eine vierte Richtlinie für dieselbe Instanz.
- Klicke in derselben Zugriffsgruppe auf den Tab Zugriff und dann auf Zugriff zuweisen.
- Definiere auf der sich öffnenden Seite Richtlinie erstellen die folgenden Elemente:
- Service – Wähle Support Center aus. Klicke auf Weiter.
- Rollen und Aktionen – Wähle bei Plattformzugriff Administrator aus. Klicke auf Weiter. Klicke unten auf Hinzufügen und dann auf Zuweisen.
Füge abschließend Benutzer zur Zugriffsgruppe hinzu. Dies kannst du über die Seite Benutzer der Zugriffsgruppe oder über die IBM Quantum Platform-Seite Zugriffsverwaltung tun.
Du kannst nur Benutzende einladen, die bereits Mitglied des Kontos sind. Wenn du einen Benutzer auf der Seite „Benutzer hinzufügen" nicht siehst, folge den Schritten unter Benutzer einladen und verwalten, um sie zuerst zum Konto hinzuzufügen. Sobald sie die Einladung angenommen haben, kannst du sie zur Zugriffsgruppe hinzufügen.
Berechtigungen vergleichen
Die folgende Tabelle zeigt, welche Berechtigungen drei Entitäten erhalten: Kontoinhaber, IBM Quantum Administrators (siehe Abschnitt IBM Quantum Administrators-Zugriffsgruppe erstellen) und Instanz-Mitarbeitende (eine „Collaborators"-Zugriffsgruppe wird automatisch generiert, wenn du eine Instanz über IBM Quantum Platform erstellst).
Legende:
✅ Hat die Berechtigung
✴️ Hängt von einer Abhängigkeit ab
❌ Hat die Berechtigung nicht
| Berechtigungen | Kontoinhaber | IBM Quantum Administrators (Zugriffsgruppe) | Instanz-Mitarbeitende (Zugriffsgruppe) |
|---|---|---|---|
| Vollzugriff auf alle IBM Cloud-Ressourcen | ✅ | ✅ (Nur auf Qiskit Runtime-Instanzen) | ❌ (Nur auf eine bestimmte Qiskit Runtime-Instanz) |
| Zugriff an andere vergeben | ✅ | ✅ (Nur auf Qiskit Runtime-Service) | ❌ |
| Service-Instanzen erstellen | ✅ (Gesamter IBM Cloud-Katalog) | ✅ (Nur Qiskit Runtime-Service-Instanzen) | ❌ |
| Alle Benutzer anzeigen | ✅ | ✅ | ✴️ (Abhängig von den Sichtbarkeitseinstellungen der Benutzer) |
| Benutzersichtbarkeit festlegen | ✅ | ❌ | ❌ |
| Benutzer zum Konto einladen | ✅ | ✅ | ❌ |
| Abrechnungsverantwortung | ✅ | ❌ | ❌ |
| Abrechnungsinformationen anzeigen | ✅ | ✅ | ❌ |
| Inhaber-Benachrichtigungen | ✅ | ❌ | ❌ |
| Quantenarbeitslasten einreichen | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Nur auf einer bestimmten Qiskit Runtime-Instanz) |
| Quantenarbeitslasten anzeigen | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Nur auf einer bestimmten Qiskit Runtime-Instanz) |
| Quantenarbeitslasten abbrechen | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Nur auf einer bestimmten Qiskit Runtime-Instanz) |
| Quantenarbeitslasten löschen | ✅ (Auf allen Qiskit Runtime-Instanzen) | ✅ (Auf allen Qiskit Runtime-Instanzen) | ❌ |
| Support-Fälle erstellen | ✅ | ✅ (Wenn die Zugriffsrichtlinie in der Zugriffsgruppe enthalten ist) | ✅ (Wenn die Zugriffsgruppe Zugriff auf eine Premium Plan-Instanz gewährt) |
| Einen Identitätsprovider konfigurieren, um deine externen Benutzerrepositories mit deinem IBM Cloud-Konto zu verbinden | ✅ | ❌ | ❌ |
Vordefinierte Service-Rollenaktionen vergleichen
Die folgende Tabelle zeigt Beispiele für Aktionen, die von den vordefinierten Service-Rollenaktionen ausgeführt werden können: Manager, Writer und Reader. Eine vollständige Zuordnung von Quantum Service-Rollen zu Aktionen findest du in dieser Tabelle im IBM Cloud-Produkthandbuch.
| Aktion | Beschreibung | Rollen |
|---|---|---|
quantum-computing.session.create | Session/Batch erstellen | Manager, Writer |
quantum-computing.job.create | Job einreichen | Manager, Writer |
quantum-computing.job.read | Ergebnis lesen | Manager, Reader, Writer |
quantum-computing.job.cancel | Job abbrechen | Manager, Writer |
quantum-computing.job.delete | Job löschen | Manager |
quantum-computing.direct-access-backend-properties.read | QPU-Kalibrierungen lesen | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Kontoanalysen anzeigen | Manager, Writer (Nur wenn die Rolle für alle Ressourcen eingerichtet ist) |
quantum-computing.instance-usage.read | Instanznutzung und verbleibende Zeit anzeigen | Manager, Reader, Writer |
Nächste Schritte
- Verstehe die IBM Cloud-Kontostruktur, einschließlich Zugriffsrichtlinien, Gruppen und Rollen.
- Lies mehr darüber, wie IBM Cloud IAM funktioniert.
- Lies mehr über das Einrichten von Zugriffsgruppen.
- Verstehe die IAM-Rollen (wähle Qiskit Runtime aus dem Dropdown-Menü oben auf der Seite aus).
- Erfahre mehr über das Erstellen benutzerdefinierter Rollen.