액세스 정책 및 액세스 그룹 생성
IBM Quantum® Platform에서 인스턴스를 생성하면 협업자가 해당 인스턴스를 사용할 수 있도록 액세스 그룹이 자동으로 생성됩니다. 이 액세스 그룹을 사용자 지정하거나 다른 액세스 그룹을 생성하려면 IBM® Cloud 콘솔의 액세스 그룹 페이지를 사용하세요.
_액세스 그룹_에는 _정책_이 포함되어 있으며, 정책은 액세스 그룹 구성원이 서비스와 같은 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. 이 가이드에서 리소스는 일반적으로 IBM Quantum _서비스 인스턴스_입니다.
IBM Cloud® 콘솔, CLI, API, 또는 Terraform을 사용하여 추가 액세스 그룹을 생성할 수 있습니다.
각 역할이 허용하는 작업을 확인하려면 IAM 역할 페이지에서 페이지 상단의 드롭다운 메뉴에서 Qiskit Runtime을 선택하세요. 더 자세한 목록을 보려면 역할 이름 옆 열에 있는 숫자를 클릭하세요. 예를 들어, 해당 페이지를 방문하여 Manager 역할 옆의 숫자를 클릭하면 이 역할에 작업 삭제(quantum-computing.job.delete) 권한이 포함되어 있음을 확인할 수 있습니다.
사전 정의된 서비스 역할 작업 비교 섹션에서는 사전 정의된 Manager, Writer, Reader 역할의 비교를 제공합니다.
IBM Quantum 관리자 액세스 그룹 생성
조직의 계정을 설정한 후에는 IBM Quantum 관리자 액세스 그룹을 생성하는 것이 권장됩니다. 이 액세스 그룹을 통해 다른 사용자가 인스턴스를 생성 및 관리하고, Qiskit Runtime 서비스에 대한 사용자 액세스를 관리할 수 있습니다.
이 액세스 그룹을 생성할 때 다음 정책을 포함하세요:
- Qiskit Runtime 서비스 - 계정의 모든 IBM Quantum 인스턴스를 관리하고 계정 사용 ��분석을 조회할 수 있는 액세스를 부여합니다.
- Manager 서비스 액세스 역할
- Administrator 플랫폼 관리 액세스 역할
- 모든 계정 관리 서비스 - 계정의 모든 리소스 그룹을 나열할 수 있는 액세스를 부여합니다.
- Viewer 플랫폼 관리 액세스 역할
- 모든 IAM 계정 관리 서비스 - 사용자 초대, 액세스 그룹 관리, 액세스 정책 생성 권한을 부여합니다.
- Administrator 플랫폼 관리 액세스 역할
- Support Center 서비스 - 사용자가 IBM Cloud Support Center를 통해 지원 케이스를 열 수 있는 액세스를 부여합니다.
- Administrator 플랫폼 관리 액세스 역할
"모든 계정 관리 서비스"에 대해 viewer 플랫폼 관리 역할을 가진 사용자는 청구와 같은 서비스도 볼 수 있습니다. 이 추가 조회 권한을 차단하려면 IBM Cloud CLI를 사용하여 리소스 그룹에만 액세스 권한을 부여하세요:
ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group
다음 예시를 참고하여 IBM Cloud CLI 또는 콘솔을 사용해 IBM Quantum 관리자 액세스 그룹을 생성하세요.
IBM Cloud CLI 사용
CLI를 사용하여 _액세스 그룹_을 생성하려면 ibmcloud iam access-group-create 명령을 사용하세요.
ibmcloud iam access-group-create GROUP_NAME [-d, --description DESCRIPTION]
CLI를 사용하여 액세스 그룹 _정책_을 생성하려면 ibmcloud iam access-group-policy-create 명령을 사용하세요.
ibmcloud iam access-group-policy-create GROUP_NAME {-f, --file @JSON_FILE | --roles ROLE_NAME1,ROLE_NAME2... [--service-name SERVICE_NAME] [--service-instance SERVICE_INSTANCE] [--region REGION] [--resource-type RESOURCE_TYPE] [--resource RESOURCE] [--resource-group-name RESOURCE_GROUP_NAME] [--resource-group-id RESOURCE_GROUP_ID]}
다음 JSON 코드를 사용하여 관리자 액세스 그룹의 정책을 생성할 수 있습니다:
- 모든 계정 관리 서비스 (viewer)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceType",
"value": "platform_service"
}
]
}
]
}
- Qiskit Runtime 서비스 (Manager, Administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::serviceRole:Manager"
},
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "quantum-computing"
}
]
}
]
}
- 모든 IAM 계정 관리 서비스 (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
}
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
]
}
- Support Center 서비스 (administrator)
{
"type": "access",
"roles": [
{
"role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
},
],
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "[ACCOUNT_ID]"
},
{
"name": "serviceName",
"value": "support"
}
]
}
]
}
IBM Cloud IAM 콘솔 사용
계정 소유자 또는 관리자는 다음 단계에 따라 IBM Quantum 관리자 액세스 그룹을 생성하세요.
- IBM Cloud 콘솔에서 관리 > 액세스(IAM)로 이동합니다.
- 왼쪽 패널의 액세스 관리 섹션에서 액세스 그룹을 클릭한 후 생성을 클릭합니다.
- 열리는 액세스 그룹 생성 창에서 초대할 사용자 그룹을 나타내는 이름과 설명을 추가합니다. 예를 들어 IBM Quantum Administrators로 지정합니다. 생성을 클릭합니다.
다음으로, Qiskit Runtime 서비스, 모든 IAM 계정 관리 서비스, 모든 계정 관리 서비스에 대한 정책을 생성합니다.
-
방금 생성한 액세스 그룹에서 액세스 탭을 클릭한 후 액세스 할당을 클릭합니다.
-
열리는 정책 생성 페이지에서 다음 요소를 정의합니다:
- 서비스 - Qiskit Runtime을 검색하여 선택합니다. 다음을 클릭합니다.
- 리소스 - 모든 리소스를 선택합니다. 다음을 클릭합니다. 참고: 특정 인스턴스에만 적용할 정책을 생성하려면 특정 리소스, 서비스 인스턴스, 문자열 같음을 선택한 후 인스턴스를 선택하면 됩니다.
- 역할 및 작업 - 다음 값을 선택합니다:
- 서비스 액세스의 경우 Manager를 선택합니다.
- 플랫폼 액세스의 경우 Administrator를 선택합니다.
하단에서 추가를 클릭합니다. 오른쪽 패널에 정책이 표시됩니다. 해당 패널 하단의 할당을 클릭합니다.
하나의 정책으로 액세스 그룹을 성공적으로 생성했습니다. 다음으로, 동일한 인스턴스에 대한 두 번째 정책을 생성합니다.
- 동일한 액세스 그룹에서 액세스 탭을 클릭한 후 액세스 할당을 클릭합니다.
- 열리는 정책 생성 페이지에서 다음 요소를 정의합니다:
- 서비스 - 모든 IAM 계정 관리 서비스를 선택합니다. 다음을 클릭합니다.
- 역할 및 작업 - 플랫폼 액세스의 경우 Administrator를 선택합니다. 다음을 클릭합니다. 하단에서 추가를 클릭한 후 할당을 클릭합니다.
동일한 인스턴스에 대한 세 번째 정책을 생성합니다.
- 동일한 액세스 그룹에서 액세스 탭을 클릭한 후 액세스 할당을 클릭합니다.
- 열리는 정책 생성 페이지에서 다음 요소를 정의합니다:
- 서비스 - 모든 계정 관리 서비스를 선택합니다. 다음을 클릭합니다.
- 역할 및 작업 - 플랫폼 액세스의 경우 Viewer를 선택합니다. 다음을 클릭합니다. 하단에서 추가를 클릭한 후 할당을 클릭합니다.
동일한 인스턴스에 대한 네 번째 정책을 생성합니다.
- 동일한 액세스 그룹에서 액세스 탭을 클릭한 후 액세스 할당을 클릭합니다.
- 열리는 정책 생성 페이지에서 다음 요소를 정의합니다:
- 서비스 - Support Center를 선택합니다. 다음을 클릭합니다.
- 역할 및 작업 - 플랫폼 액세스의 경우 Administrator를 선택합니다. 다음을 클릭합니다. 하단에서 추가를 클릭한 후 할당을 클릭합니다.
마지막으로, 액세스 그룹에 사용자를 추가합니다. 이 작업은 액세스 그룹의 사용자 페이지에서 하거나 IBM Quantum Platform 액세스 관리 페이지를 통해 할 수 있습니다.
계정의 기존 구성원인 사용자만 초대할 수 있습니다. 사용자 추가 페이지에서 사용자가 보이지 않으면 사용자 초대 및 관리의 단계를 따라 먼저 계정에 추가하세요. 초대를 수락한 후 액세스 그룹에 추가할 수 있습니다.
권한 비교
다음 표는 세 주체에게 부여된 권한을 보여줍니다: 계정 소유자, IBM Quantum 관리자(IBM Quantum 관리자 액세스 그룹 생성 섹션 참조), 인스턴스 협업자(IBM Quantum Platform을 사용하여 인스턴스를 생성할 때마다 "Collaborators" 액세스 그룹이 자동으로 생성됩니다).
범례:
✅ 권한 있음
✴️ 의존성 포함
❌ 권한 없음
| 권한 | 계정 소유자 | IBM Quantum 관리자 (액세스 그룹) | 인스턴스 협업자 (액세스 그룹) |
|---|---|---|---|
| 모든 IBM Cloud 리소스에 대한 전체 액세스 | ✅ | ✅ (Qiskit Runtime 인스턴스에만 해당) | ❌ (특정 Qiskit Runtime 인스턴스에만 해당) |
| 타인에게 액세스 할당 | ✅ | ✅ (Qiskit Runtime 서비스에만 해당) | ❌ |
| 서비스 인스턴스 생성 | ✅ (모든 IBM Cloud 카탈로그) | ✅ (Qiskit Runtime 서비스 인스턴스에만 해당) | ❌ |
| 모든 사용자 보기 | ✅ | ✅ | ✴️ (사용자 가시성 설정에 따라 다름) |
| 사용자 가시성 설정 | ✅ | ❌ | ❌ |
| 계정에 사용자 초대 | ✅ | ✅ | ❌ |
| 청구 책임 | ✅ | ❌ | ❌ |
| 청구 정보 보기 | ✅ | ✅ | ❌ |
| 소유자 알림 | ✅ | ❌ | ❌ |
| 양자 워크로드 제출 | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (특정 Qiskit Runtime 인스턴스에서만) |
| 양자 워크로드 조회 | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (특정 Qiskit Runtime 인스턴스에서만) |
| 양자 워크로드 취소 | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (특정 Qiskit Runtime 인스턴스에서만) |
| 양자 워크로드 삭제 | ✅ (모든 Qiskit Runtime 인스턴스에서) | ✅ (모든 Qiskit Runtime 인스턴스에서) | ❌ |
| 지원 케이스 생성 | ✅ | ✅ (액세스 정책이 액세스 그룹에 포함된 경우) | ✅ (액세스 그룹이 Premium Plan 인스턴스에 대한 액세스를 부여하는 경우) |
| 외부 사용자 저장소를 IBM Cloud 계정에 연결하도록 ID 공급자 구성 | ✅ | ❌ | ❌ |
사전 정의된 서비스 역할 작업 비교
다음 표는 사전 정의된 서비스 역할인 Manager, Writer, Reader가 수행할 수 있는 작업의 예시를 보여줍니다. Quantum 서비스 역할과 작업의 전체 매핑을 보려면 IBM Cloud 제품 가이드의 이 표를 방문하세요.
| 작업 | 설명 | 역할 |
|---|---|---|
quantum-computing.session.create | Session/Batch 생성 | Manager, Writer |
quantum-computing.job.create | 작업 제출 | Manager, Writer |
quantum-computing.job.read | 결과 읽기 | Manager, Reader, Writer |
quantum-computing.job.cancel | 작업 취소 | Manager, Writer |
quantum-computing.job.delete | 작업 삭제 | Manager |
quantum-computing.direct-access-backend-properties.read | QPU 캘리브레이션 읽기 | Manager, Reader, Writer |
quantum-computing.account-analytics-usage.read | 계정 분석 보기 | Manager, Writer (모든 리소스에 대해 역할이 설정된 경우에만) |
quantum-computing.instance-usage.read | 인스턴스 사용량 및 잔여 시간 보기 | Manager, Reader, Writer |
다음 단계
- 액세스 정책, 그룹, 역할을 포함한 IBM Cloud 계정 구조를 이해하세요.
- IBM Cloud IAM의 작동 방식을 읽어보세요.
- 액세스 그룹 설정 방법에 대해 더 읽어보세요.
- IAM 역할을 이해하세요 (페이지 상단 드롭다운에서 Qiskit Runtime을 선택하세요).
- 사용자 지정 역할 생성에 대해 알아보세요.