IBM Cloud Docs
在组织中使用 Qiskit Runtime 的注意事项

在组织中使用 Qiskit Runtime 的注意事项

设置环境时,您应该了解以下注意事项。

全新的 IBM 量子平台界面已发布,处于抢先体验模式。 建议您开始使用该界面来使用 IBM 量子服务。 因为它是建立在 IBM Cloud 上的,所以迁移非常简单。 详情请参阅 迁移指南

可审计性

Activity Tracker 会记录在 Qiskit Runtime 服务实例上执行的重要操作。 在 Qiskit Runtime 实例的区域中创建 Activity Tracker 实例,以获取事件的审计跟踪。 有关记录的事件的详细信息,请参阅 Qiskit Runtime Activity Tracker 页面

此审计日志包含字段 initiator_authnNameinitiator_authnId,这与 管理 → 访问权(IAM)→ 用户中显示的名称相匹配。 要查看此字段,请单击用户名,然后单击 IAM 标识 字段中的 详细信息

要捕获 App ID 事件,请打开 App ID 实例,然后浏览至 管理认证-> 认证设置 并启用 运行时活动

定义更细颗粒度的角色

定制角色中的操作可用于更细颗粒度的访问控制。 例如,某些用户可能需要完全访问权才能处理服务实例,而其他用户可能只需要对服务实例,程序和作业的“读”访问权。

为此,请定义两个不同的定制角色,例如 MLreaderMLwriter。 从 MLreader 定制角色中除去所有取消,删除和更新角色,并将所有操作包括在 MLwriter 定制角色中。 接下来,将角色相应地添加到两个不同的访问组。

使用动态规则时,即,当 IDP 管理员通过定制 IDP 用户属性管理访问权时,请勿使用作为彼此的子串的 IDP 定制用户属性。 例如,请勿使用 mlmlReader,因为 ml 的字符串比较也会接受 mlReader。 您可以使用 MLreaderMLwriter 来避免此冲突。

有关设置定制角色的示例,请参阅 为项目创建访问组

其他云资源

本教程中使用的步骤也可用于管理对其他云资源的访问。 包含对相关项目的访问组的相应许可权。

分层项目结构

在本教程中,用户到项目和服务实例的映射保持简单。 但是,通过将多个用户与访问组相关联并引用来自多个访问组的服务实例,可以实现更复杂的映射。

此方法可容纳分层结构。 即,它可以与如何将用户分配到 IBM Quantum Platform 中的中心/组/项目访问结构保持一致。 例如, 可以是分配给该组项目的所有服务实例的访问组。 因此,应该有权访问该组的所有项目的用户只需将其添加到该组的访问组。

配置的一致且可重复的部署

本教程的步骤可以自动执行,以便对用户,项目以及这些用户之间的映射进行一致且可重复的管理。 请参阅 Terraform IBM Cloud 提供者文档 以获取模板。