权限与授权项

在使用AI科学计算服务过程中，AI科学计算服务不会保存用户的Token认证凭据，在后台异步作业中操作用户的资源（如OBS桶）前，需要用户通过IAM委托向AI科学计算显示授权，AI科学计算在需要时使用用户的委托获取临时认证凭据用于操作用户资源。

为了控制委托授权的越权风险，AI科学计算服务要求租户主账号才能为用户配置委托，由主账号保证委托授权的安全性。主账号在配置委托授权时，应严格控制授权的范围。

AI科学计算服务委托授权的权限列表如表1所示。

表1 AI科学计算服务委托授权的权限列表
委托名称	委托授权项	委托范围	依赖服务	委托用途
ai4s_admin_agency	"iam:users:getUser", "iam:users:listUsersForGroup", "iam:users:listUsers", "iam:groups:getGroup", "iam:groups:listGroupsForUser", "iam:groups:listGroups", "iam:roles:getRole", "iam:roles:listRoles", "iam:agencies:getAgency", "iam:agencies:listAgencies"	全局	IAM	AI科学计算服务项目权限控制管理相关功能需要。
ai4s_service_agency	"iam:users:getUser", "iam:users:listUsersForGroup", "iam:users:listUsers", "iam:groups:getGroup", "iam:groups:listGroupsForUser", "iam:groups:listGroups", "iam:roles:getRole", "iam:roles:listRoles", "iam:agencies:getAgency", "iam:agencies:listAgencies", "iam:permissions:listRolesForGroupOnDomain"	全局	IAM	AI科学计算服务用户管理功能需要。

父主题： 附录

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨