โครงสร้างบัญชี IBM Cloud
ก่อนจะตั้งค่า IBM Quantum® Platform ควรทำความเข้าใจโครงสร้างบัญชี IBM Cloud® Identity and Access Management (IAM) ก่อน ดังที่แสดงในแผนภาพระดับสูงต่อไปนี้ ระดับบนสุดคือ account มีเพียงเจ้าของบัญชีคนเดียวซึ่งมีสิทธิ์ควบคุมการจัดการการเรียกเก็บเงินแต่เพียงผู้เดียว
บัญชีนี้ประกอบด้วย users และ service instances หลายรายการ (เช่น IBM Qiskit Runtime) แต่ละ service instance อยู่ใน region เฉพาะและมี plan เดียว ดังนั้นหากต้องการให้ผู้ใช้เข้าถึ��งหลาย plan ก็จะต้องมีหลาย service instances โดยแต่ละ instance ผูกกับ plan ที่ต่างกัน
ผู้ใช้แต่ละคนจะได้รับ access policies ซึ่งกำหนดระดับการเข้าถึง service instances ต่าง ๆ access policies สามารถจัดกลุ่มรวมกันเป็น access group ได้
ตามค่าเริ่มต้น ผู้ใช้ทุกคนในบัญชีสามารถมองเห็นกันและกัน ในการตั้งค่าบัญชี สามารถเปิดตัวเลือกจำกัดการมองเห็นได้ เพื่อให้เฉพาะผู้ใช้ที่มีสิทธิ์สำหรับ IAM service เท่านั้นที่มองเห็นผู้อื่น โปรดทราบว่า IBM Cloud ไม่รองรับ user groups หรือผู้ดูแลระดับกลุ่ม
Access policies และ groups
ดังที่อธิบายไว้ก่อนหน้า ผู้ใช้แต่ละคนสามารถได้รับ access policies หนึ่งรายการหรือมากกว่านั้น ไม่ว่าจะเป็นรายบุคคล ในฐานะส่วนหนึ่งของ access group หรือทั้งสองแบบ
ภายใน access policy สามารถระบุสิทธิ์ได้โดยเลือก platform และ service roles หรือสร้าง custom roles Platform roles กำหนดการกระทำระดับ platform เช่น การสร้างหรือจัดการ instances Service roles ให้สิทธิ์การดำเนินการภายใน service เช่น การเรียก API endpoint "create jobs" (นั่นคือการรัน job)
คู่มือนี้อธิบาย IAM model แบบย่อ สำหรับรายละเอียดทั้งหมด ดูที่ IBM Cloud IAM documentation
Roles
มี roles สองกลุ่ม ได้แก่ platform management และ service access
Platform management roles กำหนดการกระทำที่อนุญาต เช่น การมอบหมายสิทธิ์ผู้ใช้และการสร้าง service instances สำหรับจัดการทรัพยากรระดับ platform Platform roles ยังใช้กับการกระทำในบริบทของ account management services ด้วย เช่น การเชิญและลบผู้ใช้ การจัดการ access groups และการจัดการ service IDs
Service access roles กำหนดการกระทำที่อนุญาต เช่น การเรียก service APIs หรือการเข้าถึง dashboard ของ service Roles เหล่านี้ถูกปรับแต่งตาม service ที่เลือกใน policy ในบริบทของคู่มือเหล่านี้ service คือ Qiskit Runtime เสมอ
การดำเนินการต่าง ๆ มักต้องใช้ทั้ง platform management และ service access roles ร่วมกัน ตัวอย่างเช่น writer service role อนุญาตให้รัน jobs แต่ไม่สามารถแสดงรายการ instances ได้ หากต้องการแสดงรายการ instances ต้องมี viewer role ระดับ platform อย่างน้อย ต่อไปนี้คือ roles ที่ใช้บ่อย:
- การสร้าง instances ต้องการ
managerservice access role รวมถึงviewerplatform management role สำหรับ All account management servicesหมายเหตุผู้ใช้ที่มี
viewerplatform management role สำหรับ All account management services ยังสามารถดู services อื่น ๆ เช่น billing ได้ หากต้องการป้องกันการเข้าถึงส่วนนั้น ให้ใช้ IBM Cloud CLI เพื่อให้สิทธิ์เฉพาะ Resource groups:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - การรัน jobs ต้องการ
writerservice access role และviewerplatform management role สำหรับ instance
เมื่อสร้าง access policy (ไม่ว่าจะบน access group หรือสำหรับผู้ใช้) สามารถตรวจสอบว่าการกระทำใดบ้างที่อยู่ใน role นั้นได้โดยดูจากคำอธิบาย ตัวอย่างเช่น quantum-computing.job.create - Create a job to run a program
สามารถดูการกระทำที่แต่ละ role อนุญาตได้จากหน้า IAM Roles เลือก Qiskit Runtime จากเมนูดรอปดาวน์ที่ด้านบนของหน้า จากนั้นเพื่อดูรายการที่ละเอียดมากขึ้น ให้คลิกตัวเลขในคอลัมน์ถัดจากชื่อ role ตัวอย่างเช่น เมื่อเข้าไปที่หน้านั้นและคลิกตัวเลขถัดจาก Manager role จะเห็นว่า role นี้รวมถึงความสามารถในการลบ job (quantum-computing.job.delete)
ตารางต่อไปนี้แสดงตัวอย่าง platform management actions ที่ผู้ใช้สามารถทำได้ในบริบทของ Qiskit Runtime service
| Platform management role | Qiskit Runtime service |
|---|---|
| Viewer role | ดู instances และ credentials |
| Operator role | ดู instances และจัดการ credentials |
| Editor role | สร้าง, ลบ, แก้ไข และดู instances จัดการ credentials |
| Administrator role | การกระทำด้านจัดการทั้งหมดสำหรับ services |
ตารางต่อไปนี้แสดงตัวอย่าง platform management actions ที่ผู้ใช้สามารถทำได้ในบริบทของ Qiskit Runtime service
| Service access role | Qiskit Runtime actions |
|---|---|
| Reader | ดำเนินการแบบอ่านอย่างเดียว เช่น การดู jobs |
| Writer | สิทธิ์เกินกว่า reader role รวมถึงการรัน jobs |
| Manager | สิทธิ์เกินกว่า writer role รวมถึงการจัดสรร instances, การตั้ง instance cost limit และการลบหรือยกเลิก job |
ขั้นตอนถัดไป
- สร้าง instances
- อัปเกรดจาก Open Plan
- ทำความเข้าใจ IAM Roles (เลือก Qiskit Runtime จากดรอปดาวน์ที่ด้านบนของหน้า)