Estructura de cuentas de IBM Cloud
Antes de configurar IBM Quantum® Platform, es importante entender la estructura de la cuenta de gestión de identidad y acceso (Identity and Access Management, IAM) de IBM Cloud®. Como se muestra en el siguiente diagrama de alto nivel, existe una cuenta (account) en el nivel más alto. Solo hay un propietario de la cuenta, que tiene control exclusivo sobre la administración y gestión de facturación (billing).
Esta cuenta contiene múltiples usuarios e instancias de servicio (como IBM Qiskit Runtime). Cada instancia de servicio existe en una región específica y tiene un plan, por lo que si deseas tener múltiples planes disponibles para tus usuarios, tendrás múltiples instancias de servicio, cada una asociada con un plan diferente.
A cada usuario se le asignan políticas de acceso (access policies), que les otorgan varios niveles de acceso a las instancias del servicio. Las políticas de acceso pueden agruparse como un grupo de acceso (access group).
De forma predeterminada, todos los usuarios dentro de la cuenta pueden verse entre sí. En la configuración de la cuenta, puedes activar la opción para restringir la visibilidad, garantizando que solo los usuarios con los permisos para el servicio IAM puedan ver a los demás. En particular, IBM Cloud no admite grupos de usuarios ni administradores específicos para determinados grupos.
Políticas y grupos de acceso
Como se describió anteriormente, a cada usuario se le puede asignar una o más políticas de acceso: de forma individual, como parte de un grupo de acceso, o de ambas formas.
Dentro de una política de acceso, puedes especificar los permisos al seleccionar los roles de la plataforma y del servicio o creando roles personalizados (custom roles). Los roles de plataforma definen acciones que se encuentran a nivel de plataforma, tales como el crear o administrar instancias. Mientras tanto, los roles de servicio otorgan acceso a realizar acciones dentro del servicio, como invocar un punto final de la API de "crear trabajos" (es decir, ejecutar un trabajo).
Esta guía describe una representación simplificada del modelo IAM. Para obtener los detalles completos, consulta la documentación de IBM Cloud IAM.
Roles
Existen dos familias de roles: los roles gestión u administración de plataforma y los roles de acceso a servicios.
Los roles de gestión de la plataforma (Platform management) definen acciones permitidas, tales como asignar acceso de usuario y crear instancias de servicio para gestionar y administrar recursos a nivel de plataforma. Los roles de plataforma también se aplican a las acciones que se pueden tomar dentro del contexto de los servicios de gestión de cuentas (account management), como invitar y remover a otros usuarios, gestionar grupos de acceso y gestionar identificadores o IDs de servicios.
Los roles de acceso a los servicios (Service access) definen las acciones permitidas, tales como invocar las APIs del servicio o acceder al panel de control (dashboard) del servicio. Estos roles se personalizan en función del servicio seleccionado en la política. En el contexto de estas guías, el servicio es siempre Qiskit Runtime.
La realización de acciones a menudo requiere una combinación de roles de gestión de plataforma y de acceso a servicios. El rol de servicio writer te permite ejecutar trabajos, por ejemplo, pero no listar instancias. Para listar la instancia necesitas al menos el rol de plataforma viewer. A continuación se muestran algunos roles de uso común:
- La creación de instancias requiere el rol de acceso a servicios
manager, así como el rol de gestión de plataformavieweren Todos los servicios de gestión de cuentas.notaLos usuarios con el rol de gestión de plataforma
vieweren Todos los servicios de gestión de cuentas también pueden ver servicios como facturación. Si deseas evitar este acceso de vista adicional, usa la CLI de IBM Cloud para otorgarles acceso solo a los Grupos de recursos:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - La ejecución de trabajos requiere el rol de acceso a servicios
writery el rol de gestión de plataformaviewercon acceso a la instancia.
Cuando se crea una política de acceso (ya sea en un grupo de acceso o para un usuario), puedes verificar qué acciones forman parte del rol revisando la descripción. Por ejemplo quantum-computing.job.create - Create a job to run a program (Crear un trabajo para ejecutar un programa).
También puedes determinar las acciones permitidas por cada rol desde la página de Roles de IAM (IAM Roles). Selecciona Qiskit Runtime en el menú desplegable (dropdown) en la parte superior de la página. Luego, para una lista más detallada, haz clic en el número en la columna junto al nombre del rol. Por ejemplo, al visitar esa página y hacer clic en el número junto al rol de 'Administrador' (Manager), puedes ver que este rol incluye la capacidad de eliminar un trabajo (quantum-computing.job.delete).
La siguiente tabla proporciona ejemplos de algunas de las acciones de gestión o administración de plataforma que los usuarios pueden llevar a cabo dentro del contexto de los servicios de y del servicio de Qiskit Runtime.
| Rol de gestión de la plataforma (Platform management role) | Servicio Qiskit Runtime (Qiskit Runtime service) |
|---|---|
| Rol de espectador o de vista (Viewer role) | Ver las instancias y credenciales |
| Rol de operador (Operator role) | Ver las instancias y poder gestionar o administrar credenciales |
| Rol de editor (Editor role) | Crear, eliminar, editar o ver instancias. Gestiona o administra credenciales |
| Rol de administrador (Administrator role) | Todas las acciones dispuestas de su gestión para estos servicios |
La siguiente tabla proporciona ejemplos de algunas de las acciones de acceso al servicio que los usuarios pueden realizar dentro del contexto del servicio Qiskit Runtime.
| Rol de acceso al servicio (Service access role) | Acciones o ejecución en Qiskit Runtime (Qiskit Runtime actions) |
|---|---|
| Lector (Reader) | Realizar acciones de solo lectura, como ver trabajos |
| Escritor (Writer) | Permisos superiores al rol de lector, incluyendo la ejecución de trabajos |
| Administrador (Manager) | Permisos superiores al rol de escritor, incluyendo el aprovisionamiento de instancias, establecer el límite de costo de la instancia, y eliminar o cancelar un trabajo |
Siguientes pasos (Next steps)
- Crear instancias. (instances)
- Actualizar desde el Plan Abierto.
- Conocer los Roles de IAM (selecciona Qiskit Runtime en el menú desplegable en la parte superior de la página).