AI开发平台ModelArtsAI开发平台ModelArts

更新时间:2021/09/18 GMT+08:00
分享

配置所有权限(策略)

本章节介绍如何为用户组1下所有用户配置ModelArts的所有权限。针对ModelArts和OBS服务使用权限,本示例使用策略进行授权,即细粒度授权方式,可精确到具体操作。

创建用户组

  1. 在管理控制台中,单击右上角用户名,在下拉框中选择“统一身份认证”,进入IAM服务。
  2. 在左侧菜单栏中,选择“用户组”
  3. 单击右上角“创建用户组”,在“用户组名称”中填入“用户组1”,然后单击“确定”完成用户组创建。
    图1 创建用户组

    创建完成后,返回用户组列表。

为用户组配置ModelArts的操作权限

如下操作,将指导您为用户组1配置ModelArts的所有操作权限。用户组权限配置后,其组内的所有用户将具备相应的权限。

首先,创建一个含ModelArts具体操作权限的自定义策略,然后为用户组授予此自定义策略权限。

  1. 创建自定义策略。更多指导请参见创建ModelArts自定义策略
    1. 在IAM管理控制台,选择“权限”
    2. “权限”页面,单击右上角“创建自定义策略”
    3. 填写自定义策略的详细配置。

      策略名称:可自定义一个方便辨识的名称。

      作用范围:选择项目级服务。ModelArts属于项目级服务。

      策略配置方式:JSON视图。

      策略内容:请获取如下所示策略示例进行配置。本示例提供两种策略示例,您可以根据实际情况选择一种进行配置即可。
      图2 配置ModelArts自定义策略

      配置ModelArts所有操作权限的策略。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Action": [
                      "modelarts:*:*"
                  ],
                  "Effect": "Allow"
              }
          ]
      }

      配置ModelArts普通用户的操作权限,除了专属资源池的增删改,其他功能均具备权限。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Action": [
                      "modelarts:*:*"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "modelarts:pool:create",
                      "modelarts:pool:update",
                      "modelarts:pool:delete"
                  ],
                  "Effect": "Deny"
              }
          ]
      }
    4. 策略配置完成后,单击“确定”完成操作,界面将自动跳转至权限管理页面。
  2. 给用户组添加配置好的自定义策略。
    1. 在IAM管理控制台,选择“用户组”
    2. 在用户组1所在行,单击“权限配置”
    3. 单击“配置权限”,进入授权页面。
    4. 在授权页面中,选择ModelArts自定义策略。
      • 作用范围:选择“区域级项目”,同时选择对应区域,需与您使用的ModelArts为同一区域,例如“华北-北京四”。
      • 权限:在搜索框中输入关键词,选择步骤1创建的自定义策略。
      图3 添加自定义策略
    5. 配置完成后,单击“确定”完成ModelArts权限配置。

为用户组配置OBS的操作权限

由于使用ModelArts过程中,需要将相关数据、代码或模型存储在OBS中,因此需获取相应的OBS权限,才能正常使用ModelArts的所有功能。

本示例采用策略授权的方式,为用户配置OBS权限。首先,创建一个含OBS具体操作权限的自定义策略(仅包含ModelArts所需的最小化授权范围),然后为用户组授予此自定义策略权限。

  1. 创建自定义策略。更多指导请参见OBS自定义策略
    1. 在IAM管理控制台,选择“权限”
    2. “权限”页面,单击右上角“创建自定义策略”
    3. 填写自定义策略的详细配置。

      策略名称:可自定义一个方便辨识的名称。

      作用范围:选择“全局服务”。请注意,此处与ModelArts自定义策略不同,ModelArts属于区域级项目,OBS属于全局服务,使用时无需选择区域。

      策略配置方式:JSON视图。

      策略内容:请获取如下所示策略示例进行配置。本示例为ModelArts依赖OBS服务的最小化权限项,包含OBS桶和OBS对象的权限。具备如下权限后,用户即可在ModelArts中正常访问OBS。
      图4 配置OBS自定义策略
      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "obs:object:PutObjectAcl",
                      "obs:bucket:PutBucketAcl",
                      "obs:bucket:PutBucketPolicy",
                      "obs:bucket:HeadBucket",
                      "obs:bucket:ListAllMyBuckets",
                      "obs:bucket:ListBucket",
                      "obs:object:DeleteObjectVersion",
                      "obs:object:AbortMultipartUpload",
                      "obs:object:DeleteObject",
                      "obs:object:PutObject",
                      "obs:bucket:CreateBucket",
                      "obs:object:GetObject",
                      "obs:bucket:GetBucketLocation",
                      "obs:object:GetObjectVersionAcl",
                      "obs:bucket:GetBucketAcl",
                      "obs:object:ListMultipartUploadParts",
                      "obs:bucket:ListBucketVersions",
                      "obs:object:GetObjectVersion",
                      "obs:object:GetObjectAcl",
                      "obs:bucket:GetBucketPolicy"
                  ]
              }
          ]
      }
    1. 策略配置完成后,单击“确定”完成操作,界面将自动跳转至权限管理页面。
  2. 给用户组添加配置好的自定义策略。
    1. 在IAM管理控制台,选择“用户组”
    2. 在用户组所在行,单击“权限配置”
    3. 单击“配置权限”,进入授权页面。
    4. 在授权页面中,选择OBS自定义策略。
      • 作用范围:选择“全局服务”
      • 权限:在搜索框中输入关键词,选择步骤1创建的OBS自定义策略。
      图5 添加自定义策略
    5. 配置完成后,单击“确定”完成OBS权限配置。

创建用户并加入用户组

  1. 在IAM左侧菜单栏中,选择“用户”
  2. 单击右上角“创建用户”
  3. “创建用户”页面中,可在“用户信息”下方添加多个用户,在本示例中,添加User-A、User-B、User-C三个用户。
    请根据界面提示,填写必选参数,然后单击“下一步”
    图6 创建多个用户
  4. “加入用户组”步骤中,选择“用户组1”,然后单击“创建用户”
    图7 加入用户组

    界面将逐步创建好前面设置的3个用户。

为所有用户完成ModelArts全局配置

在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您的OBS、SWR、IEF等依赖服务。为保证ModelArts能够访问依赖服务,则需要针对当前用户配置相关服务的访问授权。

推荐使用委托授权的方式,此方式只允许管理员帐号为IAM用户进行配置。因此,本示例中,管理员帐号需为所有用户完成访问授权的配置。更多说明请参见准备工作>使用委托授权

  1. 使用管理员帐号登录ModelArts服务管理控制台。

    请注意选择左上角的区域,例如“华北-北京四”。

  2. 在左侧导航栏单击“全局配置”,进入“全局配置”页面。
  3. 单击“访问授权”。在弹出的“访问授权”窗口中,参考表1填写参数,勾选“我已经详细阅读并同意《ModelArts服务声明》”,然后单击“同意授权”
    表1 参数说明

    参数

    说明

    “授权方式”

    请选择“使用委托”

    “用户名”

    在右侧下拉框中选择帐号,默认选择“所有IAM用户(包括自己)”,该选项表示会给所有IAM子用户包含当前帐号进行授权。

    在下拉框中,将显示当前帐号下的所有IAM用户,您也可以选择为其中某一IAM用户配置委托。

    “委托”

    首次使用ModelArts全局配置时,暂无可用委托,此时您可以单击“自动创建”,为用户名中选择的用户自动创建一个可用的委托。

    委托创建完成后,下拉框将自动选择自动创建好的委托。

    图8 使用委托授权

测试用户权限

由于OBS的权限需要等待15-30分钟生效,建议在配置完成后,等待30分钟后,再执行如下验证操作。

  1. 使用User-A、User-B或User-C任意一个用户登录ModelArts管理控制台。在登录页面,请使用“IAM用户登录”方式进行登录。

    首次登录会提示修改密码,请根据界面提示进行修改。

  2. 验证ModelArts权限。
    1. 在左上角选择区域,区域需与授权配置中的区域相同。本示例以“华北-北京四”为例。
    2. 在ModelArts左侧菜单栏中,选择“数据管理>数据集”,单击“创建数据集”,如果可以正常打开创建页面,说明具备ModelArts的操作权限。

      您也可以尝试其他功能,例如“训练管理>训练作业”“开发环境>Notebook”等,如能正常打开创建页面,即可正常使用ModelArts。

  3. 验证OBS权限。
    1. 在左上角的服务列表中,选择OBS服务,进入OBS管理控制台。
    2. 在OBS管理控制台中,单击右上角的“创建桶”,如果能正常打开页面,表示当前用户具备OBS的操作权限。

验证结束,当前用户同时具备ModelArts和OBS的操作权限,可正常开始使用ModelArts服务。

分享:

    相关文档

    相关产品