更新时间:2022-12-07 GMT+08:00
场景说明
如果您申请了一个华为云帐号,且需要将帐号权限分配给多个用户使用ModelArts。可参考本案例指导完成权限分配。
场景说明
如下图所示,管理者使用管理员帐号,即申请的华为云帐号。
- 场景1:用户组1代表团队1,此团队下的所有用户,需具备ModelArts的所有功能操作权限,同时具备OBS服务的所有操作权限。
- 场景2:用户组2代表团队2,此团队下的所有用户,需具备ModelArts部分功能的权限,同时具备ModelArts所需的OBS最小化权限。
配置权限的流程及注意事项
首先,在配置权限之前,需要了解如下信息。配置权限的整体流程和说明,请参见图2。
- ModelArts使用IAM服务实现鉴权认证功能,权限配置需前往IAM管理控制台进行操作。
- 由于ModelArts依赖OBS服务进行数据存储,因此使用ModelArts前,必须获取相应的OBS服务的操作权限。
- 在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您的OBS、SWR、IEF等依赖服务。为保证ModelArts能够访问依赖服务,则需要针对当前用户配置相关服务的访问授权。
配置建议
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对OBS服务,管理员能够控制IAM用户仅能对某一个桶资源进行指定的管理操作。
针对图1所示的场景,2种场景,其配置流程是相同的,针对不同场景,根据授权精度不同,其配置权限的方法不同。详细说明请参见表1。
配置流程 |
说明 |
||
|---|---|---|---|
注册管理员帐号 |
所有场景的操作步骤相同。 |
||
创建用户组 |
所有场景的操作步骤相同。 |
||
配置ModelArts权限 |
(使用策略进行授权,赋予ModelArts所有操作权限) |
(使用策略进行授权,仅赋予部分功能的权限) |
不同场景,存在配置上的差异。 支持使用角色或策略进行授权。如果配置部分功能权限时,请使用策略进行授权。 |
配置OBS权限 |
(使用策略进行授权,仅授予ModelArts依赖OBS的最小化授权项) |
(使用策略进行授权,仅授予ModelArts依赖OBS的最小化授权项) |
不同场景,存在配置上的差异。 支持使用角色或策略进行授权。如果配置部分功能权限时,请使用策略进行授权。 |
创建用户并加入用户组 |
所有场景的操作步骤相同。不同场景,加入的用户组不同。 |
||
配置访问授权(委托) |
所有场景的操作步骤相同。 |
||
验证用户权限 |
所有场景的操作步骤相同。 |
父主题: 配置ModelArts使用权限
