更新时间:2026-02-05 GMT+08:00
给子账号配置部署上线(新版)基本使用权限
场景描述
本文介绍部署在线服务场景下子账号所需的基本使用权限。示例场景为授权子账号权限,使其能够在新版在线服务部署在线服务。
操作步骤
本案例场景为将镜像上传至SWR,并部署为新版在线服务。
- 使用主用户账号登录管理控制台,单击右上角用户名,在下拉框中选择“统一身份认证”,进入统一身份认证(IAM)服务。
- 添加部署上线使用权限。在统一身份认证服务页面的左侧导航选择,单击右上角的“创建自定义策略”,设置策略。
添加部署上线使用权限。
- “策略名称”:设置自定义策略名称,例如:service。
- “策略配置方式”:选择JSON视图。
- “策略内容”:填入如下内容。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "lts:groups:create", "lts:groups:get", "lts:groups:list", "lts:topics:create", "lts:topics:delete", "lts:topics:get", "lts:topics:list", "obs:bucket:GetBucketLocation", "obs:bucket:HeadBucket", "obs:bucket:ListAllMybuckets", "obs:bucket:ListBucket", "obs:bucket:PutBucketAcl", "obs:object:AbortMultipartUpload", "obs:object:DeleteObject", "obs:object:DeleteObjectVersion", "obs:object:GetObject", "obs:object:GetObjectAcl", "obs:object:GetObjectVersion", "obs:object:GetObjectVersionAcl", "obs:object:ListMultipartUploadParts", "obs:object:PutObject", "obs:object:PutObjectAcl", "swr:instance:list", "swr:repo:listRepoTags", "swr:repository:getTag", "swr:repository:listArtifacts", "swr:repository:listRepositories", "csms:secret:list", "csms:secretVersion:get", "sfsturbo:shares:getAllShares", "sfsturbo:shares:getShare", "sfsturbo:shares:showFsDir", "modelarts:authorization:list", "modelarts:clusterFlavor:list", "modelarts:image:get", "modelarts:image:list", "modelarts:image:listGroup", "modelarts:network:list", "modelarts:pool:get", "modelarts:pool:list", "modelarts:pool:update", "modelarts:service:create", "modelarts:service:get", "modelarts:service:list", "modelarts:tag:listTags", "modelarts:warmupTask:list", "modelarts:workspace:checkAuthorizations", "modelarts:workspace:get", "modelarts:workspace:getAuthMode", "modelarts:workspace:list", "vpc:vpcs:list", "vpc:subnets:get", "kms:dek:decrypt" ] } ] } - 创建用户组并加入用户,步骤请参考Step1 创建用户组并加入用户。
- 给用户组授权策略。
在IAM服务的用户组列表页面,单击“授权”,进入到授权页面,为子账号配置权限。勾选“service”、“SWR Admin”策略。单击“下一步”和“确定”。
- 添加ModelArts委托授权。
- 新建委托授权策略。
在统一身份认证服务页面的左侧导航选择,单击右上角的“创建自定义策略”,设置策略。
- “策略名称”:设置自定义策略名称,例如:service_agency。
- “策略配置方式”:JSON视图。
- “策略内容”:填入如下内容。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "lts:groups:create", "lts:groups:get", "lts:groups:list", "lts:topics:create", "lts:topics:delete", "lts:topics:get", "lts:topics:list", "sfsturbo:shares:getShare", "sfsturbo:shares:showFsDir", "swr:repo:listRepoTags", "swr:repository:getTag", "obs:object:DeleteObject", "obs:object:GetObject", "obs:bucket:CreateBucket", "obs:bucket:ListBucket", "obs:object:PutObject", "obs:bucket:GetBucketAcl", "obs:bucket:PutBucketAcl", "obs:bucket:PutBucketCORS", "kms:dek:decrypt" "csms:secretVersion:get", "modelarts:authorization:list", "modelarts:image:get", "modelarts:pool:get", "modelarts:pool:list", "modelarts:pool:update", "modelarts:warmupTask:list" ] } ] }
- 创建委托。
在统一身份认证服务页面的左侧导航选择,单击右上角的“创建委托”,设置策略。填写委托信息并单击“下一步”。
- 委托名称:可自定义委托名称,例如:ma_agency_service。
- 委托类型:选择“云服务”。
- 云服务:选择“ModelArts”。
- 持续时间:选择“永久”。
勾选新建的委托策略,然后单击“下一步”。设置最小授权范围选择“所有资源”,然后单击“确定”。
- 为子账号配置ModelArts委托权限。
在ModelArts服务页面的左侧导航选择,单击“添加授权”。授权对象选择子账号,在已有委托中选择新建的委托,然后单击“创建”。
- 新建委托授权策略。
- 验证权限是否配置成功。
登录子账号,如果用户能将镜像上传至SWR,并部署上线,则表示权限配置成功。
父主题: 典型场景配置实践
