权限与授权项
在使用AI科学计算服务过程中,AI科学计算服务不会保存用户的Token认证凭据,在后台异步作业中操作用户的资源(如OBS桶)前,需要用户通过IAM委托向AI科学计算显示授权,AI科学计算在需要时使用用户的委托获取临时认证凭据用于操作用户资源。
为了控制委托授权的越权风险,AI科学计算服务要求租户主账号才能为用户配置委托,由主账号保证委托授权的安全性。主账号在配置委托授权时,应严格控制授权的范围。
AI科学计算服务委托授权的权限列表如表1所示。
委托名称 | 委托授权项 | 委托范围 | 依赖服务 | 委托用途 |
|---|---|---|---|---|
ai4s_admin_agency | "iam:users:getUser", "iam:users:listUsersForGroup", "iam:users:listUsers", "iam:groups:getGroup", "iam:groups:listGroupsForUser", "iam:groups:listGroups", "iam:roles:getRole", "iam:roles:listRoles", "iam:agencies:getAgency", "iam:agencies:listAgencies" | 全局 | IAM | AI科学计算服务项目权限控制管理相关功能需要。 |
ai4s_service_agency | "iam:users:getUser", "iam:users:listUsersForGroup", "iam:users:listUsers", "iam:groups:getGroup", "iam:groups:listGroupsForUser", "iam:groups:listGroups", "iam:roles:getRole", "iam:roles:listRoles", "iam:agencies:getAgency", "iam:agencies:listAgencies", "iam:permissions:listRolesForGroupOnDomain" | 全局 | IAM | AI科学计算服务用户管理功能需要。 |
