IBM Cloud 계정 구조
IBM Quantum® Platform을 설정하기 전에, IBM Cloud® Identity and Access Management (IAM) 계정 구조를 이해하는 것이 중요합니다. 다음의 상위 수준 다이어그램에서 볼 수 있듯이, 가장 높은 수준에는 **계정(account)**이 있습니다. 계정 소유자는 한 명뿐이며, 청구 관리에 대한 독점적인 권한을 가집니다.
이 계정에는 여러 사용자와 서비스 인스턴스(예: IBM Qiskit Runtime)가 포함됩니다. 각 서비스 인스턴스는 특정 **지역(region)**에 존재하며 하나의 **플랜(plan)**을 가집니다. 따라서 사용자에게 여러 플랜을 제공하려면 각각 다른 플랜과 연결된 여러 서비스 인스턴스가 필요합니다.
각 사용자에게는 서비스 인스턴스에 대한 다양한 수준의 접근 권한을 부여하는 **액세스 정책(access policies)**이 할당됩니다. 액세스 정책은 **액세스 그룹(access group)**으로 묶을 수 있습니다.
기본적으로 계정 내의 모든 사용자는 서로를 볼 수 있습니다. 계정 설정에서 가시성 제한 옵션을 켜면 IAM 서비스에 대�한 권한이 있는 사용자만 다른 사람을 볼 수 있도록 설정할 수 있습니다. 참고로 IBM Cloud는 사용자 그룹이나 그룹별 관리자를 지원하지 않습니다.
액세스 정책 및 그룹
앞서 설명한 바와 같이, 각 사용자에게는 하나 이상의 액세스 정책을 개별적으로, 액세스 그룹의 일원으로, 또는 두 가지 모두를 통해 할당할 수 있습니다.
액세스 정책 내에서 플랫폼 및 서비스 역할을 선택하거나 사용자 정의 역할을 생성하여 권한을 지정할 수 있습니다. 플랫폼 역할은 인스턴스 생성 또는 관리와 같은 플랫폼 수준의 작업을 정의합니다. 서비스 역할은 "작업 생성" API 엔드포인트 호출(즉, 작업 실행)과 같이 서비스 내에서 작업을 수행하기 위한 접근 권한을 부여합니다.
이 가이드는 IAM 모델의 간략한 표현을 설명합니다. 전체 세부 사항은 IBM Cloud IAM 문서를 참고하세요.
역할
역할에는 플랫폼 관리와 서비스 접근, 두 가지 계열이 있습니다.
플랫폼 관리 역할은 사용자 접근 권한 할당 및 서비스 인스턴스 생성과 같이 플랫폼 수준에서 리소스를 관리하기 위해 허용되는 작업을 정의합니다. 플랫폼 역할은 사용자 초대 및 제거, 액세스 그룹 관리, 서비스 ID 관리와 같은 계정 관리 서비스 맥락에서 수행할 수 있는 작업에도 적용됩니다.
서비스 접근 역할은 서비스 API 호출이나 서비스 대시보드 접근과 같이 허용되는 작업을 정의합니다. 이러한 역할은 정책 내에서 선택한 서비스에 따라 맞춤화됩니다. 이 가이드의 맥락에서 서비스는 항상 Qiskit Runtime입니다.
작업 수행에는 종종 플랫폼 관리 역할과 서비스 접근 역할의 조합이 필요합니다. 예를 들어, writer 서비스 역할을 사용하면 작업을 실행할 수 있지만 인스턴스 목록은 볼 수 없습니다. 인스턴스 목록을 보려면 플랫폼에 대해 최소한 viewer 역할이 필요합니다. 자주 사용되는 역할은 다음과 같습니다:
- 인스턴스 생성에는
manager서비스 접근 역할과 모든 계정 관리 서비스에 대한viewer플랫폼 관리 역할이 필요합니다.참고모든 계정 관리 서비스에 대해
viewer플랫폼 관리 역할을 가진 사용자는 청구와 같은 서비스도 볼 수 있습니다. 이 추가 보기 접근을 방지하려면 IBM Cloud CLI를 사용하여 리소스 그룹에 대한 접근 권한만 부여하세요:ibmcloud iam access-group-policy-create <group name> --roles Viewer --resource-type resource-group - 작업 실행에는
writer서비스 접근 역할과 인스턴스에 대한viewer플랫폼 관리 역할 접근이 필요합니다.
액세스 정책을 생성할 때(액세스 그룹 또는 사용자에 대해), 설명을 검토하여 해당 역할에 포함된 작업을 확인할 수 있습니다. 예를 들어 quantum-computing.job.create - Create a job to run a program과 같이 확인할 수 있습니다.
IAM 역할 페이지에서 각 역할이 허용하는 작업을 확인할 수도 있습니다. 페이지 상단의 드롭다운 메뉴에서 Qiskit Runtime을 선택하세요. 그런 다음 더 자세한 목록을 보려면 역할 이름 옆 열의 숫자를 클릭하세요. 예를 들어, 해당 페이지를 방문하여 Manager 역할 옆의 숫자를 클릭하면 이 역할에 작업 삭제 기능(quantum-computing.job.delete)이 포함되어 있음을 확인할 수 있습니다.
다음 표는 Qiskit Runtime 서비스 맥락에서 사용자가 수행할 수 있는 일부 플랫폼 관리 작업의 예시를 제공합니다.
| 플랫폼 관리 역할 | Qiskit Runtime 서비스 |
|---|---|
| Viewer 역할 | 인스턴스 및 자격 증명 보기 |
| Operator 역할 | 인스턴스 보기 및 자격 증명 관리 |
| Editor 역할 | 인스턴스 생성, 삭제, 편집 및 보기. 자격 증명 관리 |
| Administrator 역할 | 서비스에 대한 모든 관리 작업 |
다음 표는 Qiskit Runtime 서비스 맥락에서 사용자가 수행할 수 있는 일부 플랫폼 관리 작업의 예시를 제공합니다.
| 서비스 접근 역할 | Qiskit Runtime 작업 |
|---|---|
| Reader | 작업 보기 등 읽기 전용 작업 수행 |
| Writer | 작업 실행을 포함하여 Reader 역할 이상의 권한 |
| Manager | 인스턴스 프로비저닝, 인스턴스 비용 한도 설정, 작업 삭제 또는 취소를 포함하여 Writer 역할 이상의 권한 |
다음 단계
- 인스턴스를 생성하세요.
- Open Plan에서 업그레이드하세요.
- IAM 역할을 이해하세요 (페이지 상단의 드롭다운에서 Qiskit Runtime을 선택하세요).