Zum Hauptinhalt springen

Benutzerdefinierte Rollen einrichten

Wenn Kontoinhaber und Administratoren den Benutzerzugriff für ein Konto einrichten, weisen sie Rollen (z. B. Editor, Viewer, Operator usw.) Zugriffsrichtlinien und Zugriffsgruppen zu und weisen dann Benutzer diesen Richtlinien oder Gruppen zu. Ein Benutzer kann alle Aktionen ausführen, die der Rolle oder den Rollen zugeordnet sind, die seiner Zugriffsgruppe oder Richtlinie zugewiesen wurden.

Zusätzlich zu den vorkonfigurierten Rollen, die auf der Seite Roles aufgeführt sind, können Kontoinhaber und Administratoren Rollen erstellen, die ihren Anforderungen besser entsprechen. Du kannst beispielsweise eine benutzerdefinierte Rolle erstellen, die einem Benutzer Zugriff zum Anzeigen von Kontoverbrauchsanalysen gewährt, ohne anderen Verwaltungszugriff zu gewähren. Der nächste Abschnitt zeigt Schritt für Schritt eine Demonstration dieses Beispiels.

Beispiel: Eine benutzerdefinierte Rolle erstellen, die es Benutzern ermöglicht, Aktionen zur Arbeit mit IBM Quantum-Service-Instanzen auszuführen

Diese benutzerdefinierte Rolle gewährt quantenspezifische Rollen an Benutzer.

  1. Gehe zu Manage → IAM → Roles und klicke auf Create.
  2. Gib einen Namen, eine ID, eine Beschreibung ein und wähle Qiskit Runtime für den Service.
  3. Wähle die folgenden Rollen aus und klicke dann auf Create.
    • quantum-computing.device.read
    • quantum-computing.job.cancel
    • quantum-computing.job.create
    • quantum-computing.job.read
    • quantum-computing.program.delete
    • quantum-computing.program.read
    • quantum-computing.user.logout
    • Wähle quantum-computing.job.delete, wenn du Benutzern erlauben möchtest, Jobs zu löschen.

Beispiel: Eine benutzerdefinierte Rolle erstellen, damit ein Benutzer nur Analysen anzeigen kann

  1. Gehe zu Manage → IAM → Roles in IBM Cloud. Wähle den Qiskit Runtime-Service aus dem Dropdown-Menü, um die Rollen anzuzeigen, die derzeit für diesen Service existieren.

  2. Klicke auf die Schaltfläche Create +.

  3. Gib einen Namen für die benutzerdefinierte Rolle ein, z. B. Analytics Viewer.

  4. Gib eine ID ein. Du kannst für diese ID jede eindeutige Zeichenfolge eingeben, solange sie mit einem Großbuchstaben beginnt und nur alphanumerische Zeichen enthält (keine Leerzeichen) - zum Beispiel AnalyticsViewer.

  5. Gib eine Beschreibung für die benutzerdefinierte Rolle ein. In diesem Beispiel könnte eine passende Beschreibung lauten: "Als Analytics Viewer kannst du nur Kontoanalysen anzeigen."

  6. Wähle im Service-Dropdown-Menü Qiskit Runtime. Es erscheint eine Tabelle, die alle Aktionen enthält, die du der Rolle zuordnen kannst.

  7. Suche für dieses Beispiel nach allen Aktionen, die sich auf Analysen beziehen, wie "Read usage filters for analytics" und "Read usage for analytics". Füge auch die Aktion "Read account configuration" hinzu. Um die Aktionen zu deiner benutzerdefinierten Rolle hinzuzufügen, klicke am Ende der Zeile der Aktion auf Add.

  8. Sobald du alle Aktionen hinzugefügt hast, die du der Rolle zuordnen möchtest, klicke auf Create.

  9. Gehe zu Manage → IAM → Access groups. Klicke auf Create +, um eine neue Zugriffsrolle zu erstellen. (Es wird empfohlen, speziell für diese Rolle eine neue Zugriffsgruppe zu erstellen, anstatt die Rolle zu deiner Public Access-Gruppe hinzuzufügen, es sei denn, du möchtest, dass alle deine Benutzer den durch deine benutzerdefinierte Rolle gewährten Zugriff haben.) Sobald du auf Create + geklickt und deine neue Gruppe benannt hast (oder im Falle der Bearbeitung einer bestehenden Zugriffsgruppe, sobald du auf den Namen der zu bearbeitenden Zugriffsgruppe geklickt hast), klicke auf die Registerkarte Access. Klicke auf Assign access +.

  10. Wähle unter Service Qiskit Runtime aus und klicke dann auf Next.

  11. Wähle unter Resources All resources aus und klicke dann auf Next. (Beachte, dass die Analytics Viewer-Rolle keine Analysen von allen Instanzen sehen kann, wenn du den Zugriff nicht auf alle Ressourcen beschränkst.)

  12. Aktiviere unter Roles and actions das Kontrollkästchen Viewer (unter Platform) und das Kontrollkästchen Analytics Viewer (unter Custom access) und klicke dann auf Next.

  13. Klicke auf Add > und dann auf Assign. Du hast jetzt eine Richtlinie erstellt, die deine benutzerdefinierte Rolle sowie die Viewer-Rolle enthält.

  14. Zeige die Zugriffsgruppe an und klicke auf die Registerkarte Users, um dieser Gruppe einen Benutzer hinzuzufügen. Dieser Benutzer kann nun die Aktionen in deiner benutzerdefinierten Rolle ausführen (sowie die anderen Rollen, die du der Richtlinie zugewiesen hast).

Weitere Informationen findest du in den Themen Creating custom roles und What are IAM policies and who can assign them?.