可审计性

Activity Tracker 会记录在 Qiskit Runtime 服务实例上执行的重要操作。 在 Qiskit Runtime 实例的区域中创建 Activity Tracker 实例，以获取事件的审计跟踪。 有关记录的事件的详细信息，请参阅 Qiskit Runtime Activity Tracker 页面。

此审计日志包含字段 initiator_authnName 和 initiator_authnId，这与 管理 → 访问权(IAM)→ 用户中显示的名称相匹配。 要查看此字段，请单击用户名，然后单击 IAM 标识 字段中的 详细信息。

要捕获 App ID 事件，请打开 App ID 实例，然后浏览至 管理认证-> 认证设置 并启用 运行时活动。

定义更细颗粒度的角色

定制角色中的操作可用于更细颗粒度的访问控制。 例如，某些用户可能需要完全访问权才能处理服务实例，而其他用户可能只需要对服务实例，程序和作业的“读”访问权。

为此，请定义两个不同的定制角色，例如 MLreader 和 MLwriter。 从 MLreader 定制角色中除去所有取消，删除和更新角色，并将所有操作包括在 MLwriter 定制角色中。 接下来，将角色相应地添加到两个不同的访问组。

使用动态规则时，即，当 IDP 管理员通过定制 IDP 用户属性管理访问权时，请勿使用作为彼此的子串的 IDP 定制用户属性。 例如，请勿使用 ml 和 mlReader，因为 ml 的字符串比较也会接受 mlReader。 您可以使用 MLreader 和 MLwriter 来避免此冲突。

有关设置定制角色的示例，请参阅 为项目创建访问组。

其他云资源

本教程中使用的步骤也可用于管理对其他云资源的访问。 包含对相关项目的访问组的相应许可权。

分层项目结构

在本教程中，用户到项目和服务实例的映射保持简单。 但是，通过将多个用户与访问组相关联并引用来自多个访问组的服务实例，可以实现更复杂的映射。

此方法可容纳分层结构。 即，它可以与如何将用户分配到 IBM Quantum Platform 中的中心/组/项目访问结构保持一致。 例如，组 可以是分配给该组项目的所有服务实例的访问组。 因此，应该有权访问该组的所有项目的用户只需将其添加到该组的访问组。

配置的一致且可重复的部署

本教程的步骤可以自动执行，以便对用户，项目以及这些用户之间的映射进行一致且可重复的管理。 请参阅 Terraform IBM Cloud 提供者文档 以获取模板。