Estrutura de conta IBM Cloud
Antes de configurar a IBM Quantum® Platform, é importante entender a estrutura da conta de Gerenciamento de Identidade e Acesso (IAM) do IBM Cloud®. Como mostra o diagrama de alto nível a seguir, existe uma conta no nível mais alto. Há apenas um proprietário da conta, que tem controle exclusivo sobre o gerenciamento de faturamento.
Essa conta contém múltiplos usuários e instâncias de serviço (como o IBM Qiskit Runtime). Cada instância de serviço existe em uma região específica e possui um plano, portanto, se você quiser disponibilizar múltiplos planos para seus usuários, terá múltiplas instâncias de serviço, cada uma associada a um plano diferente.
Cada usuário recebe políticas de acesso, que concedem a ele vários níveis de acesso às instâncias de serviço. As políticas de acesso podem ser agrupadas em um grupo de acesso.
Por padrão, todos os usuários da conta podem visualizar uns aos outros. Nas configurações da conta, você pode ativar a opção de restringir a visibilidade, garantindo que apenas usuários com permissões para o serviço IAM possam ver os demais. Vale destacar que o IBM Cloud não oferece suporte a grupos de usuários nem a administradores específicos de grupos.
Políticas e grupos de acesso
Como descrito anteriormente, cada usuário pode receber uma ou mais políticas de acesso: individualmente, como parte de um grupo de acesso, ou ambas.
Dentro de uma política de acesso, você pode especificar permissões selecionando funções de plataforma e serviço ou criando funções personalizadas. As funções de plataforma definem ações no nível da plataforma, como criar ou gerenciar instâncias. As funções de serviço concedem acesso para executar ações dentro do serviço, como invocar um endpoint de API "criar jobs" (ou seja, executar um job).
Este guia descreve uma representação simplificada do modelo IAM. Para detalhes completos, consulte a documentação do IBM Cloud IAM.
Funções
Existem duas famílias de funções: gerenciamento de plataforma e acesso ao serviço.
As funções de gerenciamento de plataforma definem ações permitidas, como atribuir acesso a usuários e criar instâncias de serviço para gerenciar recursos no nível da plataforma. As funções de plataforma também se aplicam a ações que podem ser realizadas no contexto dos serviços de gerenciamento de conta, como convidar e remover usuários, gerenciar grupos de acesso e gerenciar IDs de serviço.
As funções de acesso ao serviço definem ações permitidas, como chamar APIs do serviço ou acessar o painel de um serviço. Essas funções são personalizadas com base no serviço selecionado dentro da política. No contexto destes guias, o serviço é sempre o Qiskit Runtime.
A execução de ações geralmente requer uma combinação de funções de gerenciamento de plataforma e de acesso ao serviço. A função de serviço writer, por exemplo, permite que você execute jobs, mas não liste instâncias. Para listar a instância, você precisa ter pelo menos a função viewer para a plataforma. A seguir estão algumas funções comumente usadas:
- Criar instâncias requer a função de acesso ao serviço
manager, bem como a função de gerenciamento de plataformaviewerem Todos os serviços de gerenciamento de conta.notaUsuários com a função de gerenciamento de plataforma
viewerem Todos os serviços de gerenciamento de conta também podem visualizar serviços como faturamento. Se você quiser impedir esse acesso de visualização extra, use a CLI do IBM Cloud para conceder a eles acesso apenas a grupos de recursos:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - Executar jobs requer a função de acesso ao serviço
writere acesso com função de gerenciamento de plataformaviewerà instância.
Ao criar uma política de acesso (seja em um grupo de acesso ou para um usuário), você pode verificar quais ações fazem parte da função revisando a descrição. Por exemplo, quantum-computing.job.create - Create a job to run a program.
Você também pode determinar as ações permitidas por cada função na página de Funções IAM. Selecione Qiskit Runtime no menu suspenso no topo da página. Em seguida, para uma lista mais detalhada, clique no número na coluna ao lado do nome da função. Por exemplo, acessando essa página e clicando no número ao lado da função Manager, você pode ver que essa função inclui a capacidade de excluir um job (quantum-computing.job.delete).
A tabela a seguir fornece exemplos de algumas das ações de gerenciamento de plataforma que os usuários podem realizar no contexto do serviço Qiskit Runtime.
| Função de gerenciamento de plataforma | Serviço Qiskit Runtime |
|---|---|
| Função Viewer | Visualizar instâncias e credenciais |
| Função Operator | Visualizar instâncias e gerenciar credenciais |
| Função Editor | Criar, excluir, editar e visualizar instâncias. Gerenciar credenciais |
| Função Administrator | Todas as ações de gerenciamento para serviços |
A tabela a seguir fornece exemplos de algumas das ações de gerenciamento de plataforma que os usuários podem realizar no contexto do serviço Qiskit Runtime.
| Função de acesso ao serviço | Ações do Qiskit Runtime |
|---|---|
| Reader | Executar ações somente leitura, como visualizar jobs |
| Writer | Permissões além da função reader, incluindo execução de jobs |
| Manager | Permissões além da função writer, incluindo provisionamento de instâncias, definição do limite de custo da instância e exclusão ou cancelamento de um job |
Próximos passos
- Crie instâncias.
- Faça upgrade a partir do Plano Open.
- Entenda as Funções IAM (selecione Qiskit Runtime no menu suspenso no topo da página).