יצירת מדיניות גישה וקבוצות גישה
כשיוצרים instance בפלטפורמת IBM Quantum®, נוצרת אוטומטית קבוצת גישה שמאפשרת לשותפים להשתמש ב-instance הזה. אם רוצים להתאים אישית את קבוצת הגישה הזו או ליצור קבוצות גישה נוספות, אפשר להשתמש ב-IBM® Cloud console עבור קבוצות גישה.
קבוצת גישה מכילה מדיניות, שמגדירות אילו פעולות חברי הקבוצה יכולים לבצע על משאבים ספציפיים, כמו שירותים. במדריך זה, המשאב הוא בדרך כלל service instance של IBM Quantum.
אפשר ליצור קבוצות גישה נוספות באמצעות console, CLI, API, או Terraform של IBM Cloud®.
כדי לבדוק אילו פעולות מותרות לכל תפקיד, בדף IAM Roles, בחרו Qiskit Runtime מתפריט הנפתח בראש הדף. לרשימה מ�פורטת יותר, לחצו על המספר בעמודה לצד שם התפקיד. לדוגמה, בביקור בדף הזה ולחיצה על המספר ליד תפקיד Manager, אפשר לראות שתפקיד זה כולל את היכולת למחוק עבודה (quantum-computing.job.delete).
הסעיף השוואת פעולות תפקידי שירות מוגדרים מראש מספק השוואה בין תפקידי Manager, Writer ו-Reader המוגדרים מראש.
יצירת קבוצת גישה IBM Quantum Administrators
אחרי הגדרת חשבון לארגון שלך, מומלץ ליצור קבוצת גישה IBM Quantum Administrators. קבוצת גישה זו מאפשרת למשתמשים אחרים ליצור ולנהל instances, ולנהל הרשאות גישה לשירות Qiskit Runtime.
בעת יצירת קבוצת גישה זו, כלול את המדיניות הבאות:
- שירות Qiskit Runtime - הענקת גישה לניהול כל ה-instances של IBM Quantum בחשבון וצפייה בניתוח שימוש בחשבון.
- תפקיד גישה לשירות Manager
- תפקיד ניהול פלטפורמה Administrator
- כל שירותי ניהול החשבון - הענקת גישה לרשימת כל קבוצות המשאבים בחשבון.
- תפקיד ניהול פלטפורמה Viewer
- כל שירותי ניהול חשבון IAM - הענקת גישה להזמנת משתמשים, ניהול קבוצות גישה ויצירת מדיניות גישה.
- תפקיד ניהול פלטפורמה Administrator
- שירות Support Center - הענקת גישה לאפשר למשתמשים לפתוח פניות תמיכה דרך IBM Cloud Support Center.
- תפקיד ניהול פלטפורמה Administrator
למשתמשים עם תפקיד ניהול פלטפורמה viewer על "כל שירותי ניהול החשבון" תהיה גם גישה לצפייה בשירותים כמו חיוב. אם רוצים למנוע גישת צפייה נוספת זו, השתמשו ב-IBM Cloud CLI כדי לתת להם גישה רק לקבוצות משאבים:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
עקבו אחרי הדוגמאות הבאות כדי ליצור קבוצת גישה IBM Quantum Administrators באמצעות IBM Cloud CLI או console.
שימוש ב-IBM Cloud CLI
כדי ליצור קבוצת גישה באמצעות CLI, השתמשו בפקודה ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
כדי ליצור מדיניות לקבוצת גישה באמצעות CLI, השתמשו בפקודה ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
אפשר להשתמש בקוד JSON הבא כדי ליצור מדיניות עבור קבוצת גישה Administrators:
- כל שירותי ניהול החשבון (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- שירות Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- כל שירותי ניהול חשבון IAM (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- שירות Support Center (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
שימוש ב-IBM Cloud IAM console
כבעל חשבון או מנהל, עקבו אחרי השלבים הבאים כדי ליצור קבוצת גישה IBM Quantum Administrator.
- עברו אל Manage > Access (IAM) ב-IBM Cloud console.
- בלוח השמאלי בסעיף Manage access, לחצו על Access groups, ואז לחצו על Create.
- בחלון Create access group שנפתח, הוסיפו שם ותיאור שמייצגים את קבוצת המשתמשים שתזמינו. לדוגמה, IBM Quantum Administrators. לחצו על Create.
לאחר מכן, צרו מדיניות עבור שירות Qiskit Runtime, עבור כל שירותי ניהול חשבון IAM, ועבור כל שירותי ניהול החשבון.
-
בקבוצת הגישה שזה עתה נוצרה, לחצו על לשונית Access, ואז לחצו על Assign access.
-
בדף Create policy שנפתח, הגדירו את האלמנטים הבאים:
- Service - חפשו Qiskit Runtime ובחרו בו. לחצו על Next.
- Resources - בחרו All resources. לחצו על Next. הערה: אם הייתם יוצרים מדיניות שרוצים להחיל רק על instance מסוים, הייתם בוחרים Specific resources, Service instance, string equals, ואז בוחרים את ה-instance.
- Roles and actions - בחרו את הערכים הבאים:
- עבור Service access, בחרו Manager.
- עבור Platform access, בחרו Administrator.
בתחתית, לחצו על Add. תוכלו לראות את המדיניות בלוח הימני. לחצו על Assign בתחתית הלוח.
יצרתם בהצלחה קבוצת גישה עם מדיניות אחת. כעת, צרו מדיניות שנייה לאותו instance.
- באותה קבוצת גישה, לחצו על לשונית Access, ואז לחצו על Assign access.
- בדף Create policy שנפתח, הגדירו את האלמנטים הבאים:
- Service - בחרו All IAM Account Management services. לחצו על Next.
- Roles and actions - עבור Platform access, בחרו Administrator. לחצו על Next. בתחתית, לחצו על Add, ואז לחצו על Assign.
צרו מדיניות שלישית לאותו instance.
- באותה קבוצת גישה, לחצו על לשונית Access, ואז לחצו על Assign access.
- בדף Create policy שנפתח, הגדירו את האלמנטים הבאים:
- Service - בחרו All Account Management services. לחצו על Next.
- Roles and actions - עבור Platform access, בחרו Viewer. לחצו על Next. בתחתית, לחצו על Add, ואז לחצו על Assign.
צרו מדיניות רביעית לאותו instance.
- באותה קבוצת גישה, לחצו על לשונית Access, ואז לחצו על Assign access.
- בדף Create policy שנפתח, הגדירו את האלמנטים הבאים:
- Service - בחרו Support Center. לחצו על Next.
- Roles and actions - עבור Platform access, בחרו Administrator. לחצו על Next. בתחתית, לחצו על Add, ואז לחצו על Assign.
לבסוף, הוסיפו משתמשים לקבוצת הגישה. ניתן לעשות זאת מדף Users של קבוצת הגישה, או באמצעות דף ניהול גישה של IBM Quantum Platform.
ניתן להזמין רק משתמשים שכבר חברים בחשבון. אם לא רואים משתמש בדף Add users, עקבו אחרי השלבים ב-הזמנה וניהול משתמשים כדי להוסיפו לחשבון תחילה. אחרי שהוא מקבל את ההזמנה, ניתן להוסיפ�ו לקבוצת הגישה.
השוואת הרשאות
הטבלה הבאה מציגה אילו הרשאות מוענקות לשלושה גורמים: בעלי חשבון, IBM Quantum Administrators (ראו את הסעיף יצירת קבוצת גישה IBM Quantum Administrators), ושותפי instance (קבוצת גישה "Collaborators" נוצרת אוטומטית בכל פעם שיוצרים instance באמצעות IBM Quantum Platform).
מקרא:
✅ יש הרשאה
✴️ תלוי בגורם חיצוני
❌ אין הרשאה
| הרשאות | בעל חשבון | IBM Quantum Administrators (קבוצת גישה) | שותפי instance (קבוצת גישה) |
|---|---|---|---|
| גישה מלאה לכל משאבי IBM Cloud | ✅ | ✅ (רק ל-instances של Qiskit Runtime) | ❌ (רק ל-instance מסוים של Qiskit Runtime) |
| הקצאת גישה לאחרים | ✅ | ✅ (רק לשירות Qiskit Runtime) | ❌ |
| יצירת service instances | ✅ (כל קטלוג IBM Cloud) | ✅ (רק service instances של Qiskit Runtime) | ❌ |
| צפייה בכל המשתמשים | ✅ | ✅ | ✴️ (תלוי בהגדרות נראות המשתמש) |
| הגדרת נראות משתמשים | ✅ | ❌ | ❌ |
| הזמנת משתמשים לחשבון | ✅ | ✅ | ❌ |
| אחריות לחיוב | ✅ | ❌ | ❌ |
| צפ�ייה במידע על חיוב | ✅ | ✅ | ❌ |
| התראות לבעל החשבון | ✅ | ❌ | ❌ |
| שליחת עומסי עבודה קוונטיים | ✅ (על כל instances של Qiskit Runtime) | ✅ (על כל instances של Qiskit Runtime) | ✅ (רק על instance מסוים של Qiskit Runtime) |
| צפייה בעומסי עבודה קוונטיים | ✅ (על כל instances של Qiskit Runtime) | ✅ (על כל instances של Qiskit Runtime) | ✅ (רק על instance מסוים של Qiskit Runtime) |
| ביטול עומסי עבודה קוונטיים | ✅ (על כל instances של Qiskit Runtime) | ✅ (על כל instances של Qiskit Runtime) | ✅ (רק על instance מסוים של Qiskit Runtime) |
| מחיקת עומסי עבודה קוונטיים | ✅ (על כל instances של Qiskit Runtime) | ✅ (על כל instances של Qiskit Runtime) | ❌ |
| יצירת פניות תמיכה | ✅ | ✅ (אם מדיניות הגישה כלולה בקבוצת הגישה) | ✅ (אם קבוצת הגישה מעניקה גישה ל-instance של Premium Plan) |
| הגדרת ספק זהות לחיבור מאגרי משתמשים חיצוניים לחשבון IBM Cloud שלך | ✅ | ❌ | ❌ |
השוואת פעולות תפקידי שירות מוגדרים מראש
הטבלה הבאה מציגה דוגמאות לפעולות שניתן לבצע על פי תפקידי השירות המוגדרים מראש: Manager, Writer ו-Reader. לצפייה במיפוי מלא של תפקידי Quantum Service לפעולות, בקרו ב-טבלה זו במדריך המוצרים של IBM Cloud.
| פעולה | תיאור | תפקידים |
|---|---|---|
quantum-computing.session.create | יצירת Session/Batch | Manager, Writer |
quantum-computing.job.create | שליחת עבודה | Manager, Writer |
quantum-computing.job.read | קריאת תוצאה | Manager, Reader, Writer |
quantum-computing.job.cancel | ביטול עבודה | Manager, Writer |
quantum-computing.job.delete | מחיקת עבודה | Manager |
quantum-computing.direct-access-backend-properties.read | קריאת כיולי QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | צפייה בניתוח חשבון | Manager, Writer (רק אם התפקיד מוגדר עבור כל המשאבים) |
quantum-computing.instance-usage.read | צפייה בשימוש ה-instance וזמן נותר | Manager, Reader, Writer |
השלבים הבאים
- הבן את מבנה חשבון IBM Cloud, כולל מדיניות גישה, קבוצות ותפקידים.
- קרא על כיצד פועל IBM Cloud IAM.
- קרא עוד על איך להגדיר קבוצות גישה.
- הבן את תפקידי IAM (בחר Qiskit Runtime מהתפריט הנפתח בראש הדף).
- למד על יצירת תפקידים מותאמים אישית.