Buat grup akses dan kebijakan

Saat kamu membuat instance di IBM Quantum® Platform, grup akses otomatis dibuat agar kolaborator bisa menggunakan instance tersebut. Kalau kamu ingin menyesuaikan grup akses itu atau membuat grup akses lain, gunakan konsol IBM® Cloud untuk Grup akses.

Sebuah grup akses berisi kebijakan, yang mendefinisikan tindakan apa saja yang bisa dilakukan anggota grup akses pada sumber daya tertentu, seperti layanan. Dalam panduan ini, sumber dayanya umumnya adalah sebuah instance layanan IBM Quantum.

Kamu bisa membuat grup akses tambahan menggunakan IBM Cloud® konsol, CLI, API, atau Terraform.

Penting

Untuk mengetahui tindakan apa saja yang diizinkan oleh setiap peran, dari halaman IAM Roles, pilih Qiskit Runtime di menu dropdown di bagian atas halaman. Untuk daftar yang lebih rinci, klik angka di kolom di samping nama peran. Misalnya, dengan mengunjungi halaman tersebut dan mengklik angka di samping peran Manager, kamu bisa melihat bahwa peran ini mencakup kemampuan untuk menghapus job (quantum-computing.job.delete).

Bagian Bandingkan tindakan peran layanan yang telah ditentukan memberikan perbandingan antara peran Manager, Writer, dan Reader yang telah ditentukan sebelumnya.

Buat grup akses IBM Quantum Administrators

Setelah menyiapkan akun untuk organisasimu, disarankan untuk membuat grup akses IBM Quantum Administrators. Grup akses ini memungkinkan pengguna lain untuk membuat dan mengelola instance, serta mengelola akses pengguna untuk layanan Qiskit Runtime.

Saat membuat grup akses ini, sertakan kebijakan-kebijakan berikut:

Layanan Qiskit Runtime - Berikan akses untuk mengelola semua instance IBM Quantum di akun dan melihat analitik penggunaan akun.
- Peran akses layanan Manager
- Peran akses manajemen platform Administrator
Semua layanan manajemen akun - Berikan akses untuk melihat semua grup sumber daya di akun.
- Peran akses manajemen platform Viewer
Semua layanan Manajemen Akun IAM - Berikan akses untuk mengundang pengguna, mengelola grup akses, dan membuat kebijakan akses.
- Peran akses manajemen platform Administrator
Layanan Support Center - Berikan akses agar pengguna bisa membuka kasus dukungan melalui IBM Cloud Support Center.
- Peran akses manajemen platform Administrator

catatan

Pengguna dengan peran manajemen platform viewer pada "semua layanan manajemen akun" juga bisa melihat layanan seperti penagihan. Jika kamu ingin mencegah akses tampilan tambahan ini, gunakan IBM Cloud CLI untuk memberi mereka akses hanya ke grup Sumber Daya:

ibmcloud iam access-group-policy-create \
 (<group name> --roles Viewer --resource-type resource-group)
  --resource-type resource-group)

Ikuti contoh-contoh berikut untuk membuat grup akses IBM Quantum Administrators menggunakan IBM Cloud CLI atau konsol.

Gunakan IBM Cloud CLI

Untuk membuat grup akses menggunakan CLI, gunakan perintah ibmcloud iam access-group-create.

ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]

Untuk membuat kebijakan grup akses menggunakan CLI, gunakan perintah ibmcloud iam access-group-policy-create.

ibmcloud iam access-group-policy-create GROUP_NAME \
        {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... \
        [--service-name SERVICE_NAME] \
        [--service-instance SERVICE_INSTANCE] [--region REGION] \
        [--resource-type RESOURCE_TYPE] [--resource RESOURCE] \
        [--resource-group-name RESOURCE_GROUP_NAME] \
        [--resource-group-id RESOURCE_GROUP_ID]}

Kamu bisa menggunakan kode JSON berikut untuk membuat kebijakan bagi grup akses Administrators:

Semua layanan Account Management (viewer)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceType",
                    "value": "platform_service"
                }
            ]
        }
    ]
}

Layanan Qiskit Runtime (Manager, Administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
        },
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceName",
                    "value": "quantum-computing"
                }
            ]
        }
    ]
}

Semua layanan IAM Account Management (administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "service_group_id",
                    "value": "IAM"
                }
            ]
        }
    ]
}

Layanan Support Center (administrator)

{
    "type": "access",
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        },
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "[ACCOUNT_ID]"
                },
                {
                    "name": "serviceName",
                    "value": "support"
                }
            ]
        }
    ]
}

Gunakan konsol IBM Cloud IAM

Sebagai pemilik atau administrator akun, ikuti langkah-langkah berikut untuk membuat grup akses IBM Quantum Administrator.

Pergi ke Manage > Access (IAM) di konsol IBM Cloud.
Di panel kiri pada bagian Manage access, klik Access groups, lalu klik Create.
Di jendela Create access group yang terbuka, tambahkan nama dan deskripsi yang mewakili kelompok pengguna yang akan kamu undang. Misalnya, IBM Quantum Administrators. Klik Create.

Selanjutnya, buat kebijakan untuk layanan Qiskit Runtime, untuk All IAM Account Management services, dan untuk All Account Management services.

Di grup akses yang baru dibuat, klik tab Access, lalu klik Assign access.
Di halaman Create policy yang terbuka, definisikan elemen-elemen berikut:
- Service - Cari Qiskit Runtime dan pilih. Klik Next.
- Resources - Pilih All resources. Klik Next. Catatan: Jika kamu membuat kebijakan yang hanya ingin diterapkan pada instance tertentu, kamu sebaiknya memilih Specific resources, Service instance, string equals, lalu pilih instance-nya.
- Roles and actions - Pilih nilai-nilai berikut:
  - Untuk Service access, pilih Manager.
  - Untuk Platform access, pilih Administrator.
Di bagian bawah, klik Add. Kamu akan melihat kebijakan di panel sebelah kanan. Klik Assign di bagian bawah panel tersebut.

Kamu telah berhasil membuat grup akses dengan satu kebijakan. Selanjutnya, buat kebijakan kedua untuk instance yang sama.

Di grup akses yang sama, klik tab Access, lalu klik Assign access.
Di halaman Create policy yang terbuka, definisikan elemen-elemen berikut:
- Service - Pilih All IAM Account Management services. Klik Next.
- Roles and actions - Untuk Platform access, pilih Administrator, Klik Next. Di bagian bawah, klik Add, lalu klik Assign.

Buat kebijakan ketiga untuk instance yang sama.

Di grup akses yang sama, klik tab Access, lalu klik Assign access.
Di halaman Create policy yang terbuka, definisikan elemen-elemen berikut:
- Service - Pilih All Account Management services. Klik Next.
- Roles and actions - Untuk Platform access, pilih Viewer, Klik Next. Di bagian bawah, klik Add, lalu klik Assign.

Buat kebijakan keempat untuk instance yang sama.

Di grup akses yang sama, klik tab Access, lalu klik Assign access.
Di halaman Create policy yang terbuka, definisikan elemen-elemen berikut:
- Service - Pilih Support Center. Klik Next.
- Roles and actions - Untuk Platform access, pilih Administrator. Klik Next. Di bagian bawah, klik Add, lalu klik Assign.

Terakhir, tambahkan pengguna ke grup akses. Kamu bisa melakukannya dari halaman Users grup akses, atau menggunakan halaman Access management di IBM Quantum Platform.

catatan

Kamu hanya bisa mengundang pengguna yang sudah menjadi anggota akun. Jika kamu tidak melihat pengguna di halaman Add users, ikuti langkah-langkah di Undang dan kelola pengguna untuk menambahkan mereka ke akun terlebih dahulu. Setelah mereka menerima undangan, kamu bisa menambahkan mereka ke grup akses.

Bandingkan izin

Tabel berikut menampilkan izin apa saja yang diberikan kepada tiga entitas: pemilik akun, IBM Quantum Administrators (lihat bagian Buat grup akses IBM Quantum Administrators), dan kolaborator instance (grup akses "Collaborators" otomatis dibuat setiap kali kamu membuat instance menggunakan IBM Quantum Platform).

Keterangan:

✅ Memiliki izin

✴️ Melibatkan ketergantungan

❌ Tidak memiliki izin

Izin	Pemilik akun	IBM Quantum Administrators (grup akses)	Kolaborator instance (grup akses)
Akses penuh ke semua sumber daya IBM Cloud	✅	✅ (Hanya ke instance Qiskit Runtime)	❌ (Hanya ke instance Qiskit Runtime tertentu)
Menetapkan akses ke orang lain	✅	✅ (Hanya ke layanan Qiskit Runtime)	❌
Membuat instance layanan	✅ (Semua katalog IBM Cloud)	✅ (Hanya instance layanan Qiskit Runtime)	❌
Melihat semua pengguna	✅	✅	✴️ (Tergantung pengaturan visibilitas pengguna)
Mengatur visibilitas pengguna	✅	❌	❌
Mengundang pengguna ke akun	✅	✅	❌
Tanggung jawab penagihan	✅	❌	❌
Melihat informasi penagihan	✅	✅	❌
Notifikasi pemilik	✅	❌	❌
Mengirimkan workload kuantum	✅ (Di semua instance Qiskit Runtime)	✅ (Di semua instance Qiskit Runtime)	✅ (Hanya pada instance Qiskit Runtime tertentu)
Melihat workload kuantum	✅ (Di semua instance Qiskit Runtime)	✅ (Di semua instance Qiskit Runtime)	✅ (Hanya pada instance Qiskit Runtime tertentu)
Membatalkan workload kuantum	✅ (Di semua instance Qiskit Runtime)	✅ (Di semua instance Qiskit Runtime)	✅ (Hanya pada instance Qiskit Runtime tertentu)
Menghapus workload kuantum	✅ (Di semua instance Qiskit Runtime)	✅ (Di semua instance Qiskit Runtime)	❌
Membuat kasus dukungan	✅	✅ (Jika kebijakan akses disertakan dalam grup akses)	✅ (Jika grup akses memberikan akses ke instance Premium Plan)
Mengonfigurasi penyedia identitas untuk menghubungkan repositori pengguna eksternalmu ke akun IBM Cloud	✅	❌	❌

Bandingkan tindakan peran layanan yang telah ditentukan

Tabel berikut menampilkan contoh tindakan yang bisa dilakukan oleh peran layanan yang telah ditentukan: Manager, Writer, dan Reader. Untuk melihat pemetaan lengkap peran Layanan Quantum ke tindakan, kunjungi tabel ini di panduan Produk IBM Cloud.

Tindakan	Deskripsi	Peran
`quantum-computing.session.create`	Membuat Session/Batch	Manager, Writer
`quantum-computing.job.create`	Mengirimkan Job	Manager, Writer
`quantum-computing.job.read`	Membaca hasil	Manager, Reader, Writer
`quantum-computing.job.cancel`	Membatalkan job	Manager, Writer
`quantum-computing.job.delete`	Menghapus job	Manager
`quantum-computing.direct-access-backend-properties.read`	Membaca kalibrasi QPU	Manager, Reader, Writer
`quantum-computing.account-analytics-usage.read`	Melihat analitik akun	Manager, Writer (Hanya jika peran disiapkan untuk semua sumber daya)
`quantum-computing.instance-usage.read`	Melihat penggunaan instance dan waktu yang tersisa	Manager, Reader, Writer

Langkah selanjutnya

Rekomendasi

Pahami struktur akun IBM Cloud, termasuk kebijakan akses, grup, dan peran.
Baca tentang cara kerja IBM Cloud IAM.
Baca lebih lanjut tentang cara menyiapkan grup akses.
Pahami IAM Roles (pilih Qiskit Runtime dari dropdown di bagian atas halaman).
Pelajari tentang membuat peran kustom.

Buat grup akses IBM Quantum Administrators​

Gunakan IBM Cloud CLI​

Gunakan konsol IBM Cloud IAM​

Bandingkan izin​

Bandingkan tindakan peran layanan yang telah ditentukan​

Langkah selanjutnya​