规划组织的 Qiskit Runtime

在个人可能处理多个项目的组织中，Qiskit Runtime 监管似乎很复杂。但是，可以使用访问管理来轻松启用用户协作，并在必要时限制用户和项目的可视性。管理访问权变得与非免费的 Qiskit Runtime 资源更相关: 即，使用标准套餐的 Qiskit Runtime 服务实例 (向组织收取费用)。

全新的 IBM 量子平台界面已发布，处于抢先体验模式。建议您开始使用该界面来使用 IBM Quantum服务。因为它是建立在 IBM Cloud 上的，所以迁移非常简单。详情请参阅迁移指南。

概述

IBM Cloud 提供了各种方法来实现本教程中描述的这些机制。实现这些目标有几种方法。此外，本教程中的大部分步骤都是 IBM Cloud 通用步骤，而不是特定于 Qiskit Runtime(定制角色详细信息除外)。

参与人员

本教程中提到了以下几个主要角色:

用户: 有权访问 Qiskit Runtime 资源 (服务实例) 并可能与其他用户就这些资源进行协作的人员。用户的访问权由管理员控制，他们无法创建或删除服务实例。
云管理员: 拥有 Qiskit Runtime 资源并管理哪些用户可以访问这些资源的 IBM Cloud 帐户所有者。作为资源所有者，将向管理员收取任何付费资源使用费用。
IDP 管理员: 在身份提供者 (IDP) 中定义身份及其属性的管理员。

术语

本教程使用以下术语：

资源: 指可通过 Cloud 用户界面，CLI 或 API 管理的对象的通用 IBM Cloud 术语。对于本教程，资源是 Qiskit Runtime 服务实例。
服务实例: 服务实例用于访问云功能。具体来说，是在真实的设备或模拟器上进行量子计算。它是通过目录定义的。您可以根据相同或不同的套餐定义多个服务实例，从而提供对不同量子计算后端的访问权。有关更多详细信息，请参阅 Qiskit Runtime 套餐。
项目: 使用户能够处理相同资源的分组单元。本教程使用两个项目: ml 和 finance。请参阅分层项目结构以获取更多信息。

此项目与 IBM Quantum Platform 中的“项目”概念无关。

规划设置

在为组织设置 Qiskit Runtime 之前，需要制定以下决策:

如何定义用户身份? 您可以设置 IBM Cloud 用户和/或来自其他 IDP 的用户。
- 如果您使用的是其他 IDP，那么云管理员或 IDP 管理员是否将用户分配给项目资源?
- 如果 IDP 管理员将用户分配给项目，那么您需要将字符串用作键，例如 project (本教程使用此字符串) 用于项目比较。
哪些项目以及哪些服务实例将属于每个项目? 您必须仔细规划项目名称。
- 请勿使项目名称成为另一个项目的子串。例如，如果将 ml 和 chemlab 用于项目名称，那么稍后将为 ml 设置项目匹配项，这将在这两个值上触发，从而意外地授予比预期更多的访问权。请改为使用唯一名称，例如 ml 和 chem-lab。或者，使用前缀或后缀值来避免此类意外的子串匹配。
- 使用命名约定以及前缀或后缀值可帮助您轻松访问多个项目。
- Quantum 实验 (作业) 属于服务实例，有权访问实例的用户可以查看其作业。
- 服务实例可以基于不同的套餐，允许像真实设备或模拟器一样访问不同的后端。有关详情，请参阅选择 QPU 或模拟器。
哪些用户需要访问哪些项目?
用户是否应该能够删除作业? 保留服务实例中的作业可提供更多计费成本的可跟踪性。此信息与 Activity Tracker 的审计跟踪很好地结合在一起，后者会跟踪哪个用户提交了作业。
您是否将使用直接引用 Qiskit Runtime 服务实例的访问组或将服务组织到资源组中?
- 访问组 是控制 IBM Cloud 资源的用户访问权的一种方便且常见的方法。它们是持续分配用户访问权的简单但强大的方法。我们为每个项目创建一个访问组，并将用户映射到访问组。每个访问组都使用允许用户访问特定 Qiskit Runtime 服务实例或资源组的定制角色。
- 仅当需要维护明确的服务实例分隔时，才会使用 资源组。如果在资源组中创建了更多服务实例，那么对该资源组具有访问权的所有用户都将在不更新访问组的情况下自动查看这些服务实例。如果选择使用资源组，那么将创建访问组，然后将其分配给资源组。
服务实例只能属于一个资源组，并且在将实例分配到资源组后，无法对其进行更改。这也意味着只能在创建服务实例时进行资源组分配。因此，如果将服务实例分配给资源组可能需要更改，那么资源组可能无法提供足够的灵活性。

后续步骤

请参阅配置组织的 Qiskit Runtime，以了解设置 Qiskit Runtime的步骤。
请参阅其他注意事项以获取更多信息。