ตั้งค่า custom role

เมื่อเจ้าของบัญชีและผู้ดูแลระบบตั้งค่าสิทธิ์การเข้าถึงของผู้ใช้สำหรับบัญชี พวกเขาจะกำหนด role (เช่น Editor, Viewer, Operator เป็นต้น) ให้กับ access policy และ access group จากนั้นกำหนดผู้ใช้ไปยัง policy หรือ group เหล่านั้น ผู้ใช้สามารถดำเนินการทุก action ที่ map กับ role ที่กำหนดให้กับ access group หรือ policy ของตนได้

นอกจาก role ที่กำหนดไว้ล่วงหน้าในหน้า Roles แล้ว เจ้าของบัญชีและผู้ดูแลระบบยังสามารถสร้าง role ที่ตรงกับความต้องการได้มากกว่า ตัวอย่างเช่น สร้าง custom role ที่ให้ผู้ใช้ดู analytics การใช้งานบัญชีโดยไม่ต้องให้สิทธิ์การจัดการอื่น ๆ ส่วนถัดไปจะสาธิตตัวอย่างนี้แบบทีละขั้นตอน

ตัวอย่าง: สร้าง custom role ที่ให้ผู้ใช้ดำเนินการกับ instance ของบริการ IBM Quantum

custom role นี้มอบ role เฉพาะด้านควอนตัมให้กับผู้ใช้

1. จาก Manage → IAM → Roles คลิก Create
2. ป้อนชื่อ, ID, คำอธิบาย และเลือก Qiskit Runtime สำหรับ service
3. เลือก role ต่อไปนี้ แล้วคลิก Create
   • quantum-computing.device.read
   • quantum-computing.job.cancel
   • quantum-computing.job.create
   • quantum-computing.job.read
   • quantum-computing.program.delete
   • quantum-computing.program.read
   • quantum-computing.user.logout
   • เลือก quantum-computing.job.delete ถ้าต้องการให้ผู้ใช้ลบงานได้

ตัวอย่าง: สร้าง custom role สำหรับผู้ใช้เพื่อดู analytics เท่านั้น

1. ไปที่ Manage → IAM → Roles ใน IBM Cloud เลือก Qiskit Runtime service จากเมนู dropdown เพื่อดู role ที่มีอยู่สำหรับ service นี้

2. คลิกปุ่ม Create +

3. ป้อนชื่อสำหรับ custom role เช่น Analytics Viewer

4. ป้อน ID ใส่ string ที่ไม่ซ้ำกันสำหรับ ID นี้ได้ โดยต้องขึ้นต้นด้วยตัวพิมพ์ใหญ่และมีเฉพาะตัวอักษรและตัวเลข (ไม่มีช่องว่าง) เช่น AnalyticsViewer

5. ป้อนคำอธิบายสำหรับ custom role ในตัวอย่างนี้ คำอธิบายที่เหมาะสมอาจเป็น "ในฐานะ Analytics Viewer คุณสามารถดู analytics ของบัญชีเท่านั้น"

6. ในเมนู dropdown ของ Service เลือก Qiskit Runtime จะมีตารางแสดง action ทั้งหมดที่ map กับ role ได้

7. สำหรับตัวอย่างนี้ ค้นหา action ที่เกี่ยวกับ analytics เช่น "Read usage filters for analytics" และ "Read usage for analytics" รวมถึง action "Read account configuration" ด้วย หากต้องการเพิ่ม action ไปยัง custom role คลิก Add ที่ท้ายแถวของ action นั้น

8. เมื่อเพิ่ม action ทั้งหมดที่ต้องการ map กับ role แล้ว คลิก Create

9. ไปที่ Manage → IAM → Access groups คลิก Create + เพื่อสร้าง access group ใหม่ (แนะนำให้สร้าง access group ใหม่โดยเฉพาะสำหรับ role นี้ แทนที่จะเพิ่ม role ไปยัง Public Access group ของคุณ เว้นแต่ต้องการให้ผู้ใช้ทุกคนมีสิทธิ์ที่ custom role มอบให้) เมื่อคลิก Create + และตั้งชื่อ group ใหม่แล้ว (หรือกรณีแก้ไข access group ที่มีอยู่ ให้คลิกชื่อ access group เพื่อแก้ไข) คลิกแท็บ Access จากนั้นคลิก Assign access +

10. ภายใต้ Service เลือก Qiskit Runtime แล้วคลิก Next

11. ภายใต้ Resources เลือก All resources แล้วคลิก Next (หมายเหตุ: ถ้าไม่ขยายสิทธิ์ไปยัง all resources Analytics Viewer role จะไม่สามารถดู analytics จากทุก instance ได้)

12. ภายใต้ Roles and actions ติ๊ก Viewer (ภายใต้ Platform) และ Analytics Viewer (ภายใต้ Custom access) แล้วคลิก Next

13. คลิก Add > จากนั้นคลิก Assign ตอนนี้สร้าง policy ที่รวม custom role และ Viewer role แล้ว

14. ดู access group และคลิกแท็บ Users เพื่อเพิ่มผู้ใช้เข้ากลุ่ม ผู้ใช้นี้จะสามารถดำเนินการตาม action ใน custom role (รวมถึง role อื่น ๆ ที่กำหนดใน policy)

หากต้องการเรียนรู้เพิ่มเติม ดู Creating custom roles และ What are IAM policies and who can assign them?