Crear políticas de acceso y grupos de acceso
Cuando creas una instancia en IBM Quantum® Platform, se genera automáticamente un grupo de acceso para que los colaboradores usen esa instancia. Si quieres personalizar ese grupo de acceso o crear otros grupos de acceso, usa la consola de IBM® Cloud para Grupos de acceso.
Un grupo de acceso contiene políticas, las cuales definen las acciones que los miembros del grupo de acceso pueden realizar sobre recursos específicos, como servicios. En esta guía, el recurso es generalmente una instancia de servicio de IBM Quantum.
Puedes crear grupos de acceso adicionales utilizando la consola, CLI, API, o Terraform de IBM Cloud®.
Para determinar las acciones permitidas por cada rol, desde la página de Roles de IAM, selecciona Qiskit Runtime en el menú desplegable de la parte superior de la página. Para una lista más detallada, haz clic en el número de la columna junto al nombre del rol. Por ejemplo, al visitar esa página y hacer clic en el número junto al rol de Mánager, puedes ver que este rol incluye la capacidad de eliminar un trabajo (quantum-computing.job.delete).
La sección Comparar acciones predefinidas de roles de servicio proporciona una comparación de los roles predefinidos de Mánager, Escritor y Lector.
Crear un grupo de acceso de Administradores de IBM Quantum
Después de configurar una cuenta para tu organización, se recomienda que crees un grupo de acceso de Administradores de IBM Quantum. Este grupo de acceso permite a otros usuarios crear y gestionar instancias, y gestionar el acceso de los usuarios al servicio Qiskit Runtime.
Cuando crees este grupo de acceso, incluye las siguientes políticas:
- Servicio Qiskit Runtime - Otorga acceso para gestionar todas las instancias de IBM Quantum en la cuenta y ver analíticas de uso de la cuenta.
- Rol de acceso al servicio Manager (Mánager)
- Rol de acceso a la gestión de la plataforma Administrator (Administrador)
- Todos los servicios de gestión de cuentas - Otorga acceso para listar todos los grupos de recursos en la cuenta.
- Rol de acceso a la gestión de la plataforma Viewer (Visor)
- Todos los servicios de Gestión de Cuentas de IAM - Otorga acceso para invitar usuarios, gestionar grupos de acceso y crear políticas de acceso.
- Rol de acceso a la gestión de la plataforma Administrator (Administrador)
- Servicio del Centro de Soporte - Otorga acceso para permitir a los usuarios abrir casos de soporte a través del Centro de Soporte de IBM Cloud.
- Rol de acceso a la gestión de la plataforma Administrator (Administrador)
Los usuarios con el rol de gestión de plataforma viewer en "todos los servicios de gestión de cuentas" también pueden ver servicios como facturación. Si quieres evitar este acceso de visualización adicional, usa la CLI de IBM Cloud para darles acceso solo a Grupos de recursos:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
Sigue estos ejemplos para crear un grupo de acceso de Administradores de IBM Quantum utilizando la CLI o consola de IBM Cloud.
Usar la CLI de IBM Cloud
Para crear un grupo de acceso usando la CLI, usa el comando ibmcloud iam access-group-create.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
Para crear una política de grupo de acceso usando la CLI, usa el comando ibmcloud iam access-group-policy-create.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
Puedes usar el siguiente código JSON para crear políticas para un grupo de acceso de Administradores:
- Todos los servicios de Gestión de Cuentas (visor)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Servicio Qiskit Runtime (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- Todos los servicios de Gestión de Cuentas de IAM (administrador)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Servicio del Centro de Soporte (administrador)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
Usar la consola IAM de IBM Cloud
Como propietario de cuenta o administrador, sigue estos pasos para crear un grupo de acceso de Administrador de IBM Quantum.
- Ve a Administrar > Acceso (IAM) en la consola de IBM Cloud.
- En el panel izquierdo en la sección Administrar acceso, haz clic en Grupos de acceso, luego haz clic en Crear.
- En la ventana Crear grupo de acceso que se abre, añade un nombre y una descripción que representen al grupo de usuarios que invitarás. Por ejemplo, IBM Quantum Administrators. Haz clic en Crear.
A continuación, crea políticas para el servicio Qiskit Runtime, para Todos los servicios de Gestión de Cuentas de IAM y para Todos los servicios de Gestión de Cuentas.
-
En el grupo de acceso recién creado, haz clic en la pestaña Acceso, luego haz clic en Asignar acceso.
-
En la página Crear política que se abre, define estos elementos:
- Servicio - Busca Qiskit Runtime y selecciónalo. Haz clic en Siguiente.
- Recursos - Selecciona Todos los recursos. Haz clic en Siguiente. Nota: Si estuvieras creando una política que deseas aplicar solo a cierta instancia, deberías elegir en su lugar Recursos específicos, Instancia de servicio, la cadena es igual a, luego selecciona la instancia.
- Roles y acciones - Selecciona los siguientes valores:
- Para Acceso al servicio, selecciona Manager.
- Para Acceso a la plataforma, selecciona Administrator.
En la parte inferior, haz clic en Añadir. Deberías ver la política en el panel derecho. Haz clic en Asignar en la parte inferior de ese panel.
Has creado con éxito un grupo de acceso con una política. A continuación, crea una segunda política para la misma instancia.
- En el mismo grupo de acceso, haz clic en la pestaña Acceso, luego haz clic en Asignar acceso.
- En la página Crear política que se abre, define estos elementos:
- Servicio - Selecciona Todos los servicios de Gestión de Cuentas de IAM. Haz clic en Siguiente.
- Roles y acciones - Para Acceso a la plataforma, selecciona Administrator. Haz clic en Siguiente. En la parte inferior, haz clic en Añadir, luego haz clic en Asignar.
Crea una tercera política para la misma instancia.
- En el mismo grupo de acceso, haz clic en la pestaña Acceso, luego haz clic en Asignar acceso.
- En la página Crear política que se abre, define estos elementos:
- Servicio - Selecciona Todos los servicios de Gestión de Cuentas. Haz clic en Siguiente.
- Roles y acciones - Para Acceso a la plataforma, selecciona Viewer, Haz clic en Siguiente. En la parte inferior, haz clic en Añadir, luego haz clic en Asignar.
Crea una cuarta política para la misma instancia.
- En el mismo grupo de acceso, haz clic en la pestaña Acceso, luego haz clic en Asignar acceso.
- En la página Crear política que se abre, define estos elementos:
- Servicio - Selecciona Centro de Soporte. Haz clic en Siguiente.
- Roles y acciones - Para Acceso a la plataforma, selecciona Administrator. Haz clic en Siguiente. En la parte inferior, haz clic en Añadir, luego haz clic en Asignar.
Finalmente, añade usuarios al grupo de acceso. Puedes hacer esto desde la página de Usuarios del grupo de acceso, o utilizando la página de Gestión de accesos de IBM Quantum Platform.
Solo puedes invitar a usuarios que ya son miembros de la cuenta. Si no ves a un usuario en la página Añadir usuarios, sigue los pasos en Invitar y gestionar usuarios para añadirlos primero a la cuenta. Después de que acepten la invitación, podrás añadirlos al grupo de acceso.
Comparar permisos
La siguiente tabla muestra qué permisos se otorgan a tres entidades: propietarios de la cuenta, Administradores de IBM Quantum (ver la sección Crear un grupo de acceso de Administradores de IBM Quantum), y colaboradores de la instancia (un grupo de acceso "Collaborators" se genera automáticamente cada vez que creas una instancia usando IBM Quantum Platform).
Clave:
✅ Tiene permiso
✴️ Involucra una dependencia
❌ No tiene permiso
| Permisos | Propietario de la cuenta | Administradores de IBM Quantum (grupo de acceso) | Colaboradores de la instancia (grupo de acceso) |
|---|---|---|---|
| Acceso total a todos los recursos de IBM Cloud | ✅ | ✅ (Solo a instancias de Qiskit Runtime) | ❌ (Solo a una instancia particular de Qiskit Runtime) |
| Asignar acceso a otros | ✅ | ✅ (Solo al servicio Qiskit Runtime) | ❌ |
| Crear instancias de servicio | ✅ (Todo el catálogo de IBM Cloud) | ✅ (Solo instancias de servicio Qiskit Runtime) | ❌ |
| Ver todos los usuarios | ✅ | ✅ | ✴️ (Depende de la configuración de visibilidad del usuario) |
| Establecer visibilidad del usuario | ✅ | ❌ | ❌ |
| Invitar usuarios a la cuenta | ✅ | ✅ | ❌ |
| Responsabilidad de facturación | ✅ | ❌ | ❌ |
| Ver información de facturación | ✅ | ✅ | ❌ |
| Notificaciones al propietario | ✅ | ❌ | ❌ |
| Enviar cargas de trabajo cuánticas | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (Solo en una instancia particular de Qiskit Runtime) |
| Ver cargas de trabajo cuánticas | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (Solo en una instancia particular de Qiskit Runtime) |
| Cancelar cargas de trabajo cuánticas | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (Solo en una instancia particular de Qiskit Runtime) |
| Eliminar cargas de trabajo cuánticas | ✅ (En todas las instancias de Qiskit Runtime) | ✅ (En todas las instancias de Qiskit Runtime) | ❌ |
| Crear casos de soporte | ✅ | ✅ (Si la política de acceso se incluye en el grupo de acceso) | ✅ (Si el grupo de acceso da acceso a una instancia del Plan Premium) |
| Configurar un proveedor de identidad para conectar tus repositorios de usuarios externos a tu cuenta de IBM Cloud | ✅ | ❌ | ❌ |
Comparar acciones predefinidas de roles de servicio
La siguiente tabla muestra ejemplos de acciones que pueden realizarse mediante las acciones predefinidas de roles de servicio: Manager, Writer y Reader. Para ver un mapeo completo de los roles del Servicio Quantum a acciones, visita esta tabla en la guía del producto de IBM Cloud.
| Acción | Descripción | Roles |
|---|---|---|
quantum-computing.session.create | Crear una Session/Batch | Manager, Writer |
quantum-computing.job.create | Enviar un Job (Trabajo) | Manager, Writer |
quantum-computing.job.read | Leer un result (resultado) | Manager, Reader, Writer |
quantum-computing.job.cancel | Cancelar un job | Manager, Writer |
quantum-computing.job.delete | Eliminar un job | Manager |
quantum-computing.direct-access-backend-properties.read | Leer calibraciones de la QPU | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | Ver analíticas de cuenta | Manager, Writer (Solo si el rol está configurado para todos los recursos) |
quantum-computing.instance-usage.read | Ver uso de la instancia y tiempo restante | Manager, Reader, Writer |
Siguientes pasos
- Comprende la estructura de cuentas de IBM Cloud, incluyendo políticas de acceso, grupos y roles.
- Lee sobre cómo funciona IBM Cloud IAM.
- Lee más sobre cómo configurar grupos de acceso.
- Comprende los Roles IAM (selecciona Qiskit Runtime en el menú desplegable en la parte superior de la página).
- Aprende sobre la creación de roles personalizados.