Criar políticas de acesso e grupos de acesso
Quando você cria uma instância no IBM Quantum® Platform, um grupo de acesso é gerado automaticamente para que os colaboradores possam usar essa instância. Se você quiser personalizar esse grupo de acesso ou criar outros grupos de acesso, use o console IBM® Cloud em Grupos de acesso.
Um grupo de acesso contém políticas, que definem as ações que os membros do grupo de acesso podem realizar em recursos específicos, como serviços. Neste guia, o recurso é geralmente uma instância de serviço IBM Quantum.
Você pode criar grupos de acesso adicionais usando o IBM Cloud® console, CLI, API, ou Terraform.
Para determinar as ações permitidas por cada função, na página IAM Roles, selecione Qiskit Runtime no menu suspenso no topo da página. Para uma lista mais detalhada, clique no número na coluna ao lado do nome da função. Por exemplo, ao visitar essa página e clicar no número ao lado da função Manager, você pode ver que essa função inclui a capacidade de excluir um job (quantum-computing.job.delete).
A seção Comparar ações de funções de serviço pré-definidas fornece uma comparação das funções pré-definidas Manager, Writer e Reader.
Criar um grupo de acesso de Administradores IBM Quantum
Após configurar uma conta para sua organização, recomenda-se criar um grupo de acesso de Administradores IBM Quantum. Esse grupo de acesso permite que outros usuários criem e gerenciem instâncias, além de gerenciar o acesso de usuários ao serviço Qiskit Runtime.
Ao criar esse grupo de acesso, inclua as seguintes políticas:
- Serviço Qiskit Runtime - Concede acesso para gerenciar todas as instâncias IBM Quantum na conta e visualizar análises de uso da conta.
- Função de acesso ao serviço Manager
- Função de gerenciamento de plataforma Administrator
- Todos os serviços de gerenciamento de conta - Concede acesso para listar todos os grupos de recursos na conta.
- Função de gerenciamento de plataforma Viewer
- Todos os serviços de gerenciamento de conta IAM - Concede acesso para convidar usuários, gerenciar grupos de acesso e criar políticas de acesso.
- Função de gerenciamento de plataforma Administrator
- Serviço Support Center - Concede acesso para que os usuários possam abrir casos de suporte pelo IBM Cloud Support Center.
- Função de gerenciamento de plataforma Administrator
Usuários com a função de gerenciamento de plataforma viewer em "todos os serviços de gerenciamento de conta" também podem visualizar serviços como faturamento. Se você quiser evitar esse acesso extra de visualização, use o IBM Cloud CLI para conceder acesso apenas aos grupos de recursos:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Siga estes exemplos para criar um grupo de acesso de Administradores IBM Quantum usando o IBM Cloud CLI ou o console.
Usar o IBM Cloud CLI
Para criar um grupo de acesso usando o CLI, utilize o comando ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Para criar uma política de grupo de acesso usando o CLI, utilize o comando ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Você pode usar o seguinte código JSON para criar políticas para um grupo de acesso de Administradores:
- Todos os serviços de gerenciamento de conta (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Serviço Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Todos os serviços de gerenciamento de conta IAM (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Serviço Support Center (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Usar o console IBM Cloud IAM
Como proprietário ou administrador de conta, siga estas etapas para criar um grupo de acesso de Administrador IBM Quantum.
- Vá para Gerenciar > Acesso (IAM) no console IBM Cloud.
- No painel esquerdo, na seção Gerenciar acesso, clique em Grupos de acesso e depois em Criar.
- Na janela Criar grupo de acesso que se abre, adicione um nome e uma descrição que representem o grupo de usuários que você vai convidar. Por exemplo, IBM Quantum Administrators. Clique em Criar.
Em seguida, crie políticas para o serviço Qiskit Runtime, para Todos os serviços de gerenciamento de conta IAM e para Todos os serviços de gerenciamento de conta.
-
No grupo de acesso recém-criado, clique na aba Acesso e depois em Atribuir acesso.
-
Na página Criar política que se abre, defina os seguintes elementos:
- Serviço - Pesquise por Qiskit Runtime e selecione-o. Clique em Avançar.
- Recursos - Selecione Todos os recursos. Clique em Avançar. Observação: Se você estivesse criando uma política que deseja aplicar apenas a uma determinada instância, você escolheria Recursos específicos, Instância de serviço, string equals, e então selecionaria a instância.
- Funções e ações - Selecione os seguintes valores:
- Em Acesso ao serviço, selecione Manager.
- Em Acesso à plataforma, selecione Administrator.
Na parte inferior, clique em Adicionar. Você deverá ver a política no painel à direita. Clique em Atribuir na parte inferior desse painel.
Você criou com sucesso um grupo de acesso com uma política. Em seguida, crie uma segunda política para a mesma instância.
- No mesmo grupo de acesso, clique na aba Acesso e depois em Atribuir acesso.
- Na página Criar política que se abre, defina os seguintes elementos:
- Serviço - Selecione Todos os serviços de gerenciamento de conta IAM. Clique em Avançar.
- Funções e ações - Em Acesso à plataforma, selecione Administrator. Clique em Avançar. Na parte inferior, clique em Adicionar e depois em Atribuir.
Crie uma terceira política para a mesma instância.
- No mesmo grupo de acesso, clique na aba Acesso e depois em Atribuir acesso.
- Na página Criar política que se abre, defina os seguintes elementos:
- Serviço - Selecione Todos os serviços de gerenciamento de conta. Clique em Avançar.
- Funções e ações - Em Acesso à plataforma, selecione Viewer. Clique em Avançar. Na parte inferior, clique em Adicionar e depois em Atribuir.
Crie uma quarta política para a mesma instância.
- No mesmo grupo de acesso, clique na aba Acesso e depois em Atribuir acesso.
- Na página Criar política que se abre, defina os seguintes elementos:
- Serviço - Selecione Support Center. Clique em Avançar.
- Funções e ações - Em Acesso à plataforma, selecione Administrator. Clique em Avançar. Na parte inferior, clique em Adicionar e depois em Atribuir.
Por fim, adicione usuários ao grupo de acesso. Você pode fazer isso na página Usuários do grupo de acesso ou usando a página Gerenciamento de acesso do IBM Quantum Platform.
Você só pode convidar usuários que já sejam membros da conta. Se você não encontrar um usuário na página Adicionar usuários, siga as etapas em Convidar e gerenciar usuários para adicioná-los à conta primeiro. Após eles aceitarem o convite, você poderá adicioná-los ao grupo de acesso.
Comparar permissões
A tabela a seguir exibe quais permissões são concedidas a três entidades: proprietários de conta, Administradores IBM Quantum (veja a seção Criar um grupo de acesso de Administradores IBM Quantum) e colaboradores de instância (um grupo de acesso "Collaborators" é gerado automaticamente sempre que você cria uma instância usando o IBM Quantum Platform).
Legenda:
✅ Tem permissão
✴️ Envolve uma dependência
❌ Não tem permissão
| Permissões | Proprietário da conta | IBM Quantum Administrators (grupo de acesso) | Colaboradores de instância (grupo de acesso) |
|---|---|---|---|
| Acesso completo a todos os recursos IBM Cloud | ✅ | ✅ (Apenas às instâncias Qiskit Runtime) | ❌ (Apenas a uma instância Qiskit Runtime específica) |
| Atribuir acesso a outros | ✅ | ✅ (Apenas ao serviço Qiskit Runtime) | ❌ |
| Criar instâncias de serviço | ✅ (Todo o catálogo IBM Cloud) | ✅ (Apenas instâncias do serviço Qiskit Runtime) | ❌ |
| Visualizar todos os usuários | ✅ | ✅ | ✴️ (Depende das configurações de visibilidade do usuário) |
| Definir visibilidade do usuário | ✅ | ❌ | ❌ |
| Convidar usuários para a conta | ✅ | ✅ | ❌ |
| Responsabilidade de faturamento | ✅ | ❌ | ❌ |
| Visualizar informações de faturamento | ✅ | ✅ | ❌ |
| Notificações do proprietário | ✅ | ❌ | ❌ |
| Enviar cargas de trabalho quânticas | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Apenas em uma instância Qiskit Runtime específica) |
| Visualizar cargas de trabalho quânticas | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Apenas em uma instância Qiskit Runtime específica) |
| Cancelar cargas de trabalho quânticas | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Apenas em uma instância Qiskit Runtime específica) |
| Excluir cargas de trabalho quânticas | ✅ (Em todas as instâncias Qiskit Runtime) | ✅ (Em todas as instâncias Qiskit Runtime) | ❌ |
| Criar casos de suporte | ✅ | ✅ (Se a política de acesso estiver incluída no grupo de acesso) | ✅ (Se o grupo de acesso der acesso a uma instância do Plano Premium) |
| Configurar um provedor de identidade para conectar seus repositórios de usuários externos à sua conta IBM Cloud | ✅ | ❌ | ❌ |
Comparar ações de funções de serviço pré-definidas
A tabela a seguir exibe exemplos de ações que podem ser realizadas pelas funções de serviço pré-definidas: Manager, Writer e Reader. Para ver um mapeamento completo das funções do Serviço Quantum para ações, visite esta tabela no guia de produtos IBM Cloud.
| Ação | Descrição | Funções |
|---|---|---|
quantum-computing.session.create | Criar uma Session/Batch | Manager, Writer |
quantum-computing.job.create | Enviar um Job | Manager, Writer |
quantum-computing.job.read | Ler um resultado | Manager, Reader, Writer |
quantum-computing.job.cancel | Cancelar um job | Manager, Writer |
quantum-computing.job.delete | Excluir um job | Manager |
quantum-computing.direct-access-backend-properties.read | Ler calibrações de QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Ver análises da conta | Manager, Writer (Apenas se a função estiver configurada para todos os recursos) |
quantum-computing.instance-usage.read | Ver uso da instância e tempo restante | Manager, Reader, Writer |
Próximos passos
- Entenda a estrutura da conta IBM Cloud, incluindo políticas de acesso, grupos e funções.
- Leia sobre como o IBM Cloud IAM funciona.
- Leia mais sobre como configurar grupos de acesso.
- Entenda as IAM Roles (selecione Qiskit Runtime no menu suspenso no topo da página).
- Aprenda sobre criação de funções personalizadas.