IBM Cloud-Kontostruktur
Bevor du IBM Quantum® Platform einrichtest, ist es wichtig, die Struktur des IBM Cloud® Identity and Access Management (IAM)-Kontos zu verstehen. Wie im folgenden allgemeinen Diagramm dargestellt, befindet sich auf höchster Ebene ein Konto. Es gibt nur einen Kontoinhaber, der die ausschließliche Kontrolle über die Abrechnungsverwaltung hat.
Dieses Konto enthält mehrere Benutzer und Dienstinstanzen (wie IBM Qiskit Runtime). Jede Dienstinstanz existiert in einer bestimmten Region und hat einen Plan. Wenn du also mehrere Pläne für deine Benutzer verfügbar haben möchtest, hast du mehrere Dienstinstanzen, die jeweils mit einem anderen Plan verknüpft sind.
Jedem Benutzer werden Zugriffsrichtlinien zugewiesen, die ihm verschiedene Zugriffsebenen auf Dienstinstanzen gewähren. Zugriffsrichtlinien können als Zugriffsgruppe zusammengefasst werden.
Standardmäßig können alle Benutzer innerhalb des Kontos einander sehen. In den Kontoeinstellungen kannst du die Option aktivieren, die Sichtbarkeit einzuschränken, sodass nur Benutzer mit Berechtigungen für den IAM-Dienst andere sehen können. Beachte, dass IBM Cloud keine Benutzergruppen oder gruppenspezifischen Administratoren unterstützt.
Zugriffsrichtlinien und -gruppen
Wie bereits beschrieben, kann jedem Benutzer eine oder mehrere Zugriffsrichtlinien zugewiesen werden: einzeln, als Teil einer Zugriffsgruppe oder beides.
Innerhalb einer Zugriffsrichtlinie kannst du Berechtigungen angeben, indem du Plattform- und Dienst-Rollen auswählst oder benutzerdefinierte Rollen erstellst. Plattformrollen definieren Aktionen auf Plattformebene, wie das Erstellen oder Verwalten von Instanzen. Dienstrollen gewähren Zugriff zur Durchführung von Aktionen innerhalb des Dienstes, wie das Aufrufen eines "Jobs erstellen"-API-Endpunkts (d.h. Ausführen eines Jobs).
Dieser Leitfaden beschreibt eine vereinfachte Darstellung des IAM-Modells. Vollständige Details findest du in der IBM Cloud IAM-Dokumentation.
Rollen
Es gibt zwei Familien von Rollen: Plattformverwaltung und Dienstzugriff.
Plattformverwaltungs-Rollen definieren zulässige Aktionen, wie das Zuweisen von Benutzerzugriff und das Erstellen von Dienstinstanzen zur Verwaltung von Ressourcen auf Plattformebene. Plattformrollen gelten auch für Aktionen, die im Kontext von Kontoverwaltungsdiensten durchgeführt werden können, wie das Einladen und Entfernen von Benutzern, das Verwalten von Zugriffsgruppen und das Verwalten von Dienst-IDs.
Dienstzugriffs-Rollen definieren zulässige Aktionen, wie das Aufrufen von Dienst-APIs oder den Zugriff auf das Dashboard eines Dienstes. Diese Rollen sind basierend auf dem innerhalb der Richtlinie ausgewählten Dienst angepasst. Im Kontext dieser Leitfäden ist der Dienst immer Qiskit Runtime.
Die Durchführung von Aktionen erfordert oft eine Kombination aus Plattformverwaltungs- und Dienstzugriffsrollen. Die writer-Dienstrolle erlaubt es dir beispielsweise, Jobs auszuführen, aber nicht Instanzen aufzulisten. Um die Instanz aufzulisten, benötigst du mindestens die viewer-Rolle für die Plattform. Im Folgenden sind einige häufig verwendete Rollen aufgeführt:
- Das Erstellen von Instanzen erfordert die
manager-Dienstzugriffsrolle sowie dieviewer-Plattformverwaltungsrolle für alle Kontoverwaltungsdienste.hinweisBenutzer mit der
viewer-Plattformverwaltungsrolle für alle Kontoverwaltungsdienste können auch Dienste wie Abrechnung anzeigen. Wenn du diesen zusätzlichen Ansichtszugriff verhindern möchtest, verwende die IBM Cloud CLI, um ihnen Zugriff nur auf Ressourcengruppen zu gewähren:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - Das Ausführen von Jobs erfordert die
writer-Dienstzugriffsrolle undviewer-Plattformverwaltungsrollenzugriff auf die Instanz.
Beim Erstellen einer Zugriffsrichtlinie (entweder für eine Zugriffsgruppe oder einen Benutzer) kannst du überprüfen, welche Aktionen Teil der Rolle sind, indem du die Beschreibung prüfst. Zum Beispiel quantum-computing.job.create - Create a job to run a program.
Du kannst auch die von jeder Rolle erlaubten Aktionen auf der IAM Roles-Seite ermitteln. Wähle Qiskit Runtime im Dropdown-Menü oben auf der Seite aus. Klicke dann für eine detailliertere Liste auf die Zahl in der Spalte neben dem Rollennamen. Wenn du beispielsweise diese Seite besuchst und auf die Zahl neben der Manager-Rolle klickst, kannst du sehen, dass diese Rolle die Möglichkeit zum Löschen eines Jobs (quantum-computing.job.delete) beinhaltet.
Die folgende Tabelle zeigt Beispiele für einige der Plattformverwaltungsaktionen, die Benutzer im Kontext des Qiskit Runtime-Dienstes durchführen können.
| Plattformverwaltungsrolle | Qiskit Runtime-Dienst |
|---|---|
| Viewer-Rolle | Instanzen und Anmeldedaten anzeigen |
| Operator-Rolle | Instanzen anzeigen und Anmeldedaten verwalten |
| Editor-Rolle | Instanzen erstellen, löschen, bearbeiten und anzeigen. Anmeldedaten verwalten |
| Administrator-Rolle | Alle Verwaltungsaktionen für Dienste |
Die folgende Tabelle zeigt Beispiele für einige der Plattformverwaltungsaktionen, die Benutzer im Kontext des Qiskit Runtime-Dienstes durchführen können.
| Dienstzugriffsrolle | Qiskit Runtime-Aktionen |
|---|---|
| Reader | Nur-Lese-Aktionen durchführen, wie das Anzeigen von Jobs |
| Writer | Berechtigungen über die Reader-Rolle hinaus, einschließlich der Ausführung von Jobs |
| Manager | Berechtigungen über die Writer-Rolle hinaus, einschließlich Bereitstellung von Instanzen, Festlegung des Instanzkostenlimits und Löschen oder Abbrechen eines Jobs |
Nächste Schritte
- Instanzen erstellen.
- Upgrade vom Open Plan.
- Verstehe die IAM Roles (wähle Qiskit Runtime aus dem Dropdown oben auf der Seite).