AI开发平台ModelArtsAI开发平台ModelArts

更新时间:2021/09/18 GMT+08:00
分享

场景说明

如果您申请了一个华为云帐号,且需要将帐号权限分配给多个用户使用ModelArts。可参考本案例指导完成权限分配。

场景说明

如下图所示,管理者使用管理员帐号,即申请的华为云帐号。

  • 场景1:用户组1代表团队1,此团队下的所有用户,需具备ModelArts的所有功能操作权限,同时具备OBS服务的所有操作权限。
  • 场景2:用户组2代表团队2,此团队下的所有用户,需具备ModelArts部分功能的权限,同时具备ModelArts所需的OBS最小化权限。
图1 场景图例

配置权限的流程及注意事项

首先,在配置权限之前,需要了解如下信息。配置权限的整体流程和说明,请参见图2

  • ModelArts使用IAM服务实现鉴权认证功能,权限配置需前往IAM管理控制台进行操作。
  • 由于ModelArts依赖OBS服务进行数据存储,因此使用ModelArts前,必须获取相应的OBS服务的操作权限。
  • 在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您的OBS、SWR、IEF等依赖服务。为保证ModelArts能够访问依赖服务,则需要针对当前用户配置相关服务的访问授权。
图2 配置权限的流程及说明

配置建议

IAM的权限管理,根据授权精细程度分为角色和策略。

  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对OBS服务,管理员能够控制IAM用户仅能对某一个桶资源进行指定的管理操作。

简单来说,如果以服务为维度配置权限,则选择比较简单的方式,使用角色进行授权。如果希望以细粒度授权的方式,即细化至操作维度,则使用策略授权。

针对图1所示的场景,2种场景,其配置流程是相同的,针对不同场景,根据授权精度不同,其配置权限的方法不同。详细说明请参见表1

表1 不同场景的配置方法

配置流程

配置所有权限(使用角色授权)

配置所有权限(使用策略授权)

配置部分功能权限(使用策略授权)

说明

注册管理员帐号

配置管理员帐号

配置管理员帐号

配置管理员帐号

所有场景的操作步骤相同。

创建用户组

创建用户组

创建用户组

创建用户组

所有场景的操作步骤相同。

配置ModelArts权限

为用户组配置ModelArts的操作权限

(使用角色进行授权)

为用户组配置ModelArts的操作权限

(使用策略进行授权,赋予ModelArts所有操作权限)

为用户组配置ModelArts的操作权限

(使用策略进行授权,仅赋予部分功能的权限)

不同场景,存在配置上的差异。

支持使用角色或策略进行授权。如果配置部分功能权限时,请使用策略进行授权。

配置OBS权限

为用户组配置OBS的操作权限

(使用角色进行授权)

为用户组配置OBS的操作权限

(使用策略进行授权,仅授予ModelArts依赖OBS的最小化授权项)

为用户组配置OBS的操作权限

(使用策略进行授权,仅授予ModelArts依赖OBS的最小化授权项)

不同场景,存在配置上的差异。

支持使用角色或策略进行授权。如果配置部分功能权限时,请使用策略进行授权。

创建用户并加入用户组

创建用户并加入用户组

创建用户并加入用户组

创建用户并加入用户组

所有场景的操作步骤相同。不同场景,加入的用户组不同。

配置访问授权(委托)

为所有用户完成ModelArts全局配置

为所有用户完成ModelArts全局配置

为所有用户完成ModelArts全局配置

所有场景的操作步骤相同。

验证用户权限

测试用户权限

测试用户权限

测试用户权限

所有场景的操作步骤相同。

分享:

    相关文档

    相关产品