在组织中使用 Qiskit Runtime 的注意事项
设置环境时,您应该了解以下注意事项。
全新的 IBM 量子平台界面已发布,处于抢先体验模式。 建议您开始使用该界面来使用 IBM 量子服务。 因为它是建立在 IBM Cloud 上的,所以迁移非常简单。 详情请参阅 迁移指南。
可审计性
Activity Tracker 会记录在 Qiskit Runtime 服务实例上执行的重要操作。 在 Qiskit Runtime 实例的区域中创建 Activity Tracker 实例,以获取事件的审计跟踪。 有关记录的事件的详细信息,请参阅 Qiskit Runtime Activity Tracker 页面。
此审计日志包含字段 initiator_authnName
和 initiator_authnId
,这与 管理 → 访问权(IAM)→ 用户中显示的名称相匹配。 要查看此字段,请单击用户名,然后单击 IAM 标识 字段中的 详细信息。
要捕获 App ID 事件,请打开 App ID 实例,然后浏览至 管理认证-> 认证设置 并启用 运行时活动。
定义更细颗粒度的角色
定制角色中的操作可用于更细颗粒度的访问控制。 例如,某些用户可能需要完全访问权才能处理服务实例,而其他用户可能只需要对服务实例,程序和作业的“读”访问权。
为此,请定义两个不同的定制角色,例如 MLreader
和 MLwriter
。 从 MLreader
定制角色中除去所有取消,删除和更新角色,并将所有操作包括在 MLwriter
定制角色中。 接下来,将角色相应地添加到两个不同的访问组。
使用动态规则时,即,当 IDP 管理员通过定制 IDP 用户属性管理访问权时,请勿使用作为彼此的子串的 IDP 定制用户属性。 例如,请勿使用 ml
和 mlReader
,因为 ml
的字符串比较也会接受 mlReader
。 您可以使用 MLreader
和 MLwriter
来避免此冲突。
有关设置定制角色的示例,请参阅 为项目创建访问组。
其他云资源
本教程中使用的步骤也可用于管理对其他云资源的访问。 包含对相关项目的访问组的相应许可权。
分层项目结构
在本教程中,用户到项目和服务实例的映射保持简单。 但是,通过将多个用户与访问组相关联并引用来自多个访问组的服务实例,可以实现更复杂的映射。
此方法可容纳分层结构。 即,它可以与如何将用户分配到 IBM Quantum Platform 中的中心/组/项目访问结构保持一致。 例如,组 可以是分配给该组项目的所有服务实例的访问组。 因此,应该有权访问该组的所有项目的用户只需将其添加到该组的访问组。
配置的一致且可重复的部署
本教程的步骤可以自动执行,以便对用户,项目以及这些用户之间的映射进行一致且可重复的管理。 请参阅 Terraform IBM Cloud 提供者文档 以获取模板。