依赖和委托
功能依赖
功能依赖策略项
您在使用ModelArts的过程中,需要和其他云服务交互,比如需要在提交训练作业时选择指定数据集OBS路径和日志存储OBS路径。因此管理员在为用户配置细粒度授权策略时,需要同时配置依赖的权限项,用户才能使用完整的功能。
- 如果您使用根用户(与账户同名的缺省子用户)使用ModelArts,根用户默认拥有所有权限,不再需要单独授权。
- 请用户确保当前用户具备委托授权中包含的依赖策略项权限。例如,用户给ModelArts的委托需要授权SWR Admin权限,需要保证用户本身具备SWR Admin权限。
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
全局配置 | IAM | iam:users:listUsers | 查询用户列表(仅管理员需要) |
基本功能 | IAM | iam:tokens:assume | 使用委托获取用户临时认证凭据(必须) |
基本功能 | BSS | bss:balance:view | 在ModelArts控制台创建资源后,页面展示账号当前余额 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
工作空间 | IAM | iam:users:listUsers | 按用户进行工作空间授权 |
ModelArts | modelarts:*:delete* | 删除工作空间时,同时清理空间内的资源 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
开发环境实例生命周期管理 | ModelArts | modelarts:notebook:create modelarts:notebook:list modelarts:notebook:get modelarts:notebook:update modelarts:notebook:delete modelarts:notebook:start modelarts:notebook:stop modelarts:notebook:updateStopPolicy modelarts:image:delete modelarts:image:list modelarts:image:create modelarts:image:get modelarts:pool:list modelarts:tag:list modelarts:network:get | 实例的启动、停止、创建、删除、更新等依赖的权限。 |
AOM | aom:metric:get aom:metric:list aom:alarm:list | ||
VPC | vpc:securityGroups:get vpc:vpcs:list vpc:securityGroups:get vpc:vpcs:list | ||
动态挂载存储配置 | ModelArts | modelarts:notebook:listMountedStorages modelarts:notebook:mountStorage modelarts:notebook:getMountedStorage modelarts:notebook:umountStorage | 动态挂载存储配置。 |
OBS | obs:bucket:ListAllMyBuckets obs:bucket:ListBucket | ||
镜像管理 | ModelArts | modelarts:image:register modelarts:image:listGroup | 在镜像管理中注册和查看镜像。 |
保存镜像 | SWR | SWR Admin | SWR Admin为SWR最大权限,用于:
|
使用SSH功能 | ECS | ecs:serverKeypairs:list ecs:serverKeypairs:get ecs:serverKeypairs:delete ecs:serverKeypairs:create | 为开发环境Notebook实例配置登录密钥。 |
DEW | kps:domainKeypairs:get kps:domainKeypairs:list kps:domainKeypairs:createkmskey | ||
KMS | kms:cmk:list | ||
挂载SFS Turbo盘 | SFS Turbo | SFS Turbo FullAccess | 子用户对SFS目录的读写操作权限。专属池Notebook实例挂载SFS(公共池不支持),且挂载的SFS不是当前子用户创建的。 |
查看所有实例 | ModelArts | modelarts:notebook:listAllNotebooks | ModelArts开发环境界面上,查询所有用户的实例列表,适用于给开发环境的实例管理员配置该权限。 |
IAM | iam:users:listUsers | ||
VSCode插件(本地)/ PyCharm Toolkit(本地) | ModelArts | modelarts:notebook:listAllNotebooks modelarts:trainJob:create modelarts:trainJob:list modelarts:trainJob:update modelarts:trainJobVersion:delete modelarts:trainJob:get modelarts:trainJob:logExport modelarts:workspace:getQuotas(如果开通了工作空间功能,则需要配置此权限。) | 从本地VSCode连接云上的Notebook实例、提交训练作业等。 |
OBS | obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:ModifyObjectMetaData | ||
IAM | iam:projects:listProjects | 从本地PyCharm查询IAM项目列表,完成连接配置。 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
轻量算力节点实例生命周期管理 | ModelArts | modelarts:devserver:create modelarts:devserver:listByUser modelarts:devserver:list modelarts:devserver:get modelarts:devserver:delete modelarts:devserver:start modelarts:devserver:stop modelarts:devserver:sync | 创建实例、查询实例列表、查询租户所有实例列表、查询实例详情、删除实例、启动实例、停止实例、同步实例状态。 |
ECS | ecs:serverKeypairs:createecs:*:get | ||
IAM | iam:users:getUser iam:users:listUsers iam:projects:listProjects | ||
VPC | vpc.*.list | ||
EPS | eps.*.list | ||
EVS | evs.*.list | ||
IMS | ims.*.list ims.*.get | ||
CloudMatrix | cloudmatrix:hyperinstance:create cloudmatrix:hyperinstance:delete cloudmatrix:hyperinstance:get cloudmatrix:hyperinstance:list cloudmatrix:hyperinstance:attachNodeVolume cloudmatrix:hyperinstance:detachNodeVolume cloudmatrix:hyperinstance:changeOs cloudmatrix:hyperinstance:start cloudmatrix:hyperinstance:stop cloudmatrix:hyperinstance:liveScaleUp cloudmatrix:hyperinstance:liveScaleDown cloudmatrix:operation:get cloudmatrix:hyperinstance:startNode cloudmatrix:hyperinstance:stopNode cloudmatrix:hyperinstance:rebootNode cloudmatrix:hyperinstance:updateNode cloudmatrix:hyperinstance:changeNodeOs cloudmatrix:hyperinstance:reinstallNodeOs cloudmatrix:hyperinstanceCluster:create cloudmatrix:hyperinstanceCluster:list cloudmatrix:hyperinstanceCluster:get cloudmatrix:hyperinstance:batchCreateTags cloudmatrix:hyperinstance:batchDeleteTags cloudmatrix:hyperinstance:listTags cloudmatrix:scheduledEvent:create cloudmatrix:scheduledEvent:list cloudmatrix:scheduledEvent:accept cloudmatrix:scheduledEvent:cancel cloudmatrix:hyperinstance:bindNodePublicIp | ModelArts轻量算力节点使用CloudMatrix超节点时必须配置。 对用户的CloudMatrix超节点进行生命周期管理时需要依赖这些权限。 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
训练管理 | ModelArts | modelarts:trainJob:* modelarts:trainJobLog:* modelarts:aiAlgorithm:* modelarts:image:list modelarts:network:get modelarts:workspace:get | 创建训练作业和查看训练日志。 |
modelarts:workspace:getQuota | 查询工作空间配额。如果开通了工作空间功能,则需要配置此权限。 | ||
modelarts:tag:list | 在训练作业中使用标签管理服务TMS。 | ||
IAM | iam:credentials:listCredentials iam:agencies:listAgencies | 使用配置的委托授权项。 | |
SFS Turbo | sfsturbo:shares:getShare sfsturbo:shares:getAllShares | 在训练作业中使用SFS Turbo。 | |
SWR | swr:repo:getRepo swr:system:createLoginSecret swr:instance:createTempCredential | 使用自定义镜像运行训练作业。 | |
SMN | smn:topic:publish smn:topic:list | 通过SMN通知训练作业状态变化事件。 | |
OBS | obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:ModifyObjectMetaData | 使用OBS桶中的数据集运行训练作业。 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
使用数据集 | ModelArts | modelarts:dataset:getDataset modelarts:dataset:createDataset modelarts:dataset:createDatasetVersion modelarts:dataset:createImportTask modelarts:dataset:updateDataset modelarts:processTask:createProcessTask modelarts:processTask:getProcessTask modelarts:dataset:listDatasets | 在工作流中使用ModelArts数据集 |
管理模型 | ModelArts | modelarts:model:list modelarts:model:get modelarts:model:create modelarts:model:delete modelarts:model:update | 在工作流中管理ModelArts模型 |
部署上线 | ModelArts | modelarts:service:get modelarts:service:create modelarts:service:update modelarts:service:delete modelarts:service:getLogs | 在工作流中管理ModelArts在线服务 |
训练作业 | ModelArts | modelarts:trainJob:get modelarts:trainJob:create modelarts:trainJob:list modelarts:trainJobVersion:list modelarts:trainJobVersion:create modelarts:trainJob:delete modelarts:trainJobVersion:delete modelarts:trainJobVersion:stop | 在工作流中管理ModelArts训练作业 |
工作空间 | ModelArts | modelarts:workspace:get modelarts:workspace:getQuotas | 在工作流中使用ModelArts工作空间 |
管理数据 | OBS | obs:bucket:ListAllMybuckets(获取桶列表) obs:bucket:HeadBucket(获取桶元数据) obs:bucket:ListBucket(列举桶内对象) obs:bucket:GetBucketLocation(获取桶区域位置) obs:object:GetObject(获取对象内容、获取对象元数据) obs:object:GetObjectVersion(获取对象内容、获取对象元数据) obs:object:PutObject(PUT上传、POST上传、复制对象、追加写对象、初始化上传段任务、上传段、合并段) obs:object:DeleteObject(删除对象、批量删除对象) obs:object:DeleteObjectVersion(删除对象、批量删除对象) obs:object:ListMultipartUploadParts(列举已上传的段) obs:object:AbortMultipartUpload(取消多段上传任务) obs:object:GetObjectAcl(获取对象ACL) obs:object:GetObjectVersionAcl(获取对象ACL) obs:bucket:PutBucketAcl(设置桶ACL) obs:object:PutObjectAcl(设置对象ACL) | 在工作流中使用OBS数据 |
工作流运行 | IAM | iam:users:listUsers(查询用户列表) iam:agencies:getAgency(查询指定委托详情) iam:tokens:assume(获取委托Token) | 在工作流运行时,调用ModelArts其他服务 |
集成DLI | DLI | dli:jobs:get(查询作业详情) dli:jobs:listAll(查询作业列表) dli:jobs:create(创建新作业) | 在工作流中集成DLI |
集成MRS | MRS | mrs:job:get(查询作业详情) mrs:job:submit(创建并执行作业) mrs:job:list(查询作业列表) mrs:job:stop(停止作业) mrs:job:batchDelete(批量删除作业) mrs:file:list(查询文件列表) | 在工作流中集成MRS |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
管理模型 | SWR | SWR Admin | 从自定义镜像导入、从OBS导入时使用自定义引擎。 SWR共享版不支持细粒度权限项,因此需要配置Admin权限。 |
OBS | obs:bucket:ListAllMybuckets(获取桶列表) obs:bucket:HeadBucket(获取桶元数据) obs:bucket:ListBucket(列举桶内对象) obs:bucket:GetBucketLocation(获取桶区域位置) obs:object:GetObject(获取对象内容、获取对象元数据) obs:object:GetObjectVersion(获取对象内容、获取对象元数据) obs:object:PutObject(PUT上传、POST上传、复制对象、追加写对象、初始化上传段任务、上传段、合并段) obs:object:DeleteObject(删除对象、批量删除对象) obs:object:DeleteObjectVersion(删除对象、批量删除对象) obs:object:ListMultipartUploadParts(列举已上传的段) obs:object:AbortMultipartUpload(取消多段上传任务) obs:object:GetObjectAcl(获取对象ACL) obs:object:GetObjectVersionAcl(获取对象ACL) obs:bucket:PutBucketAcl(设置桶ACL) obs:object:PutObjectAcl(设置对象ACL) | 从OBS导入模型 模型转换指定OBS路径 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
在线服务 | LTS | lts:logs:list(查询日志列表) | 查询和展示LTS日志。 |
OBS | obs:bucket:GetBucketPolicy (获取桶策略) obs:bucket:HeadBucket (获取桶元数据) obs:bucket:ListAllMyBuckets (获取桶列表) obs:bucket:PutBucketPolicy (设置桶策略) obs:bucket:DeleteBucketPolicy (删除桶策略) | 服务运行时容器挂载外部存储卷。 | |
批量服务 | OBS | obs:object:GetObject(获取对象内容、获取对象元数据) obs:object:PutObject(PUT上传、POST上传、复制对象、追加写对象、初始化上传段任务、上传段、合并段) obs:bucket:CreateBucket(创建桶) obs:bucket:ListBucket(列举桶内对象) obs:bucket:ListAllMyBuckets(获取桶列表) | 创建批量服务,批量推理。 |
边缘服务 | CES | ces:metricData:list(查询指标数据) | 查看服务的监控指标 |
IEF | ief:deployment:delete(删除应用部署) | 管理边缘服务 | |
AOM指标告警事件 | AOM | aom:alarm:list | 查看AOM监控相关信息。 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
管理数据集和标注 | OBS | obs:bucket:GetBucketLocation obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:GetObjectVersion obs:object:GetObject obs:object:GetObjectVersionAcl obs:object:DeleteObject obs:object:ListMultipartUploadParts obs:bucket:HeadBucket obs:object:AbortMultipartUpload obs:object:DeleteObjectVersion obs:object:GetObjectAcl obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:object:PutObject | 管理OBS中的数据集 标注OBS数据 创建数据管理作业 |
管理表格数据集 | DLI | dli:database:displayAllDatabases dli:database:displayAllTables dli:table:describeTable | 在数据集中管理DLI数据 |
管理表格数据集 | DWS | dws:openAPICluster:list dws:openAPICluster:getDetail dws:cluster:list | 在数据集中管理DWS数据 |
管理表格数据集 | MRS | mrs:job:submit mrs:job:list mrs:cluster:list mrs:cluster:get | 在数据集中管理MRS数据 |
智能标注 | ModelArts | modelarts:service:list modelarts:model:list modelarts:model:get modelarts:model:create modelarts:trainJobInnerModel:list modelarts:workspace:get modelarts:workspace:list | 使用智能标注 |
团队标注 | IAM | iam:projects:listProjects(查询租户项目) iam:users:listUsers(查询用户列表) iam:agencies:createAgency(创建委托) iam:quotas:listQuotasForProject(查询指定项目的配额) | 管理标注团队 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
资源池管理 | BSS | bss:coupon:view bss:order:view bss:balance:view bss:discount:view bss:renewal:view bss:bill:view bss:contract:update bss:order:pay bss:unsubscribe:update bss:renewal:update bss:order:update | 资源池的创建、续费、退订等与计费相关的功能。 |
CCE | cce:cluster:list cce:cluster:get | 获取CCE集群列表、集群详情、集群证书等信息。 | |
KMS | kms:cmk:list kms:cmk:getMaterial | 获取用户创建的密钥对列表信息。 | |
AOM | aom:metric:get | 获取资源池的监控数据。 | |
OBS | obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion | 获取AI诊断日志。 | |
ECS | ecs:availabilityZones:list ecs:cloudServerFlavors:get ecs:cloudServerQuotas:get ecs:quotas:get ecs:serverKeypairs:list | 查询可用区列表、规格、配额,配置密钥匙。 | |
EVS | evs:types:get evs:quotas:get | 查询云硬盘类型列表、配额。 | |
BMS | bms:serverFlavors:get | 查询裸金属规格。依赖权限需要配置在IAM项目视图中。 | |
DEW | kps:domainKeypairs:list | 配置密钥对。依赖权限需要配置在IAM项目视图中。 | |
网络管理 | VPC | vpc:routes:create vpc:routes:list vpc:routes:get vpc:routes:delete vpc:peerings:create vpc:peerings:accept vpc:peerings:get vpc:peerings:delete vpc:routeTables:update vpc:routeTables:get vpc:routeTables:list vpc:vpcs:create vpc:vpcs:list vpc:vpcs:get vpc:vpcs:delete vpc:subnets:create vpc:subnets:get vpc:subnets:delete vpcep:endpoints:list vpcep:endpoints:create vpcep:endpoints:delete vpcep:endpoints:get vpc:ports:create vpc:ports:get vpc:ports:update vpc:ports:delete vpc:networks:create vpc:networks:get vpc:networks:update vpc:networks:delete vpc:securityGroups:get | ModelArts网络资源创建和删除、VPC网络打通。 |
SFS Turbo | sfsturbo:shares:addShareNic sfsturbo:shares:deleteShareNic sfsturbo:shares:showShareNic sfsturbo:shares:listShareNics | 用户的网络和SFS Turbo资源打通。 | |
SWR | swr:instance:get swr:instance:createTempCredential swr:repository:getArtifact swr:repo:getRepoTag | 网络关联SWR企业仓。 | |
边缘资源池 | IEF | ief:node:list ief:group:get ief:application:list ief:application:get ief:node:listNodeCert ief:node:get ief:IEFInstance:get ief:deployment:list ief:group:listGroupInstanceState ief:IEFInstance:list ief:deployment:get ief:group:list | 边缘池增删改查管理。 |
轻量算力集群 | ECS | ecs:cloudServers:get ecs:cloudServers:showServer ecs:cloudServers:changeVpc ecs:cloudServers:start ecs:cloudServers:listServerInterfaces ecs:cloudServers:delete ecs:cloudServers:redeploy ecs:cloudServers:batchSetServerTags ecs:cloudServers:reboot ecs:cloudServerFlavors:get ecs:cloudServers:list ecs:quotas:get ecs:cloudServers:create ecs:cloudServers:stop | 创建云服务器、查询云服务器详情、删除云服务器等。 |
APM | apm:icmgr:create | 安装ICAgent。 | |
EVS | evs:volumes:list evs:types:get evs:volumes:get evs:quotas:get | 查询云硬盘类型、列表、配额、详情。 | |
DEW | kps:domainKeypairs:get" | 配置密钥对。依赖权限需要配置在IAM项目视图中。 | |
BMS | bms:servers:create bms:serverFlavors:get | 查询裸金属规格。依赖权限需要配置在IAM项目视图中。 | |
IMS | ims:images:get ims:images:share | 查询镜像详情和镜像共享。 | |
CCE | cce:node:delete cce:nodepool:delete cce:addonInstance:update cce:cluster:revokeClientCredential cce:node:get cce:addonInstance:list cce:node:create cce:node:list cce:addonInstance:get cce:accessPolicy:* cce:node:remove cce:nodepool:create cce:addonInstance:delete cce:cluster:get cce:addonInstance:create cce:job:get | 获取CCE集群列表、集群详情、集群证书等信息。 | |
VPC | vpc:routeTables:get vpc:routeTables:list vpc:routes:create vpc:vpcs:get vpc:routes:get vpc:subnets:get vpc:routes:delete vpc:routes:list vpc:peerings:accept vpc:routeTables:update | ModelArts网络资源创建和删除、VPC网络打通。 | |
SFSTurbo | sfsturbo:shares:listShareNics sfsturbo:shares:deleteShareNic sfsturbo:shares:showShareNic sfsturbo:shares:addShareNic | 用户的网络和SFS Turbo资源打通。 | |
SFSTurboReadOnly | SFS Turbo ReadOnlyAccess | 用户的网络和SFS Turbo资源打通。 |
业务场景 | 依赖的服务 | 依赖策略项 | 支持的功能 |
|---|---|---|---|
配置细粒度授权 | IAM | modelarts:authorization:list | 子用户查询细粒度委托授权权限 |
modelarts:authorization:create | 子用户创建细粒度委托授权权限 | ||
modelarts:authorization:delete | 子用户删除细粒度委托授权权限 |
委托授权
用户在使用ModelArts服务的过程中,为了简化用户的操作,ModelArts后台可以代替用户完成一些工作,如训练作业启动前自动下载用户OBS桶中的数据集到作业空间、自动转储训练作业日志到用户OBS桶中。
ModelArts服务不会保存用户的Token认证凭据,在后台异步作业中操作用户的资源(如OBS桶)前,需要用户通过IAM委托向ModelArts显式授权,ModelArts在需要时使用用户的委托获取临时认证凭据用于操作用户资源,见“添加授权”。
如图1所示,用户向ModelArts授权后,ModelArts使用委托授权的临时凭证访问和操作用户资源,协助用户自动化一些繁琐和耗时的操作。同时,委托凭证会同步到用户的作业中(Notebook实例和训练作业),用户在作业中可以使用委托凭证自行访问自己的资源。
在ModelArts服务中委托授权有两种方式:
1、一键式委托授权
ModelArts提供了一键式自动授权功能,用户可以在ModelArts的权限管理功能中,快速完成委托授权,由ModelArts为用户自动创建委托并配置到ModelArts服务中。
这种方式为保证使用业务过程中有足够的权限,基于依赖服务的预置系统策略指定授权范围,创建的委托的权限比较大,基本覆盖了依赖服务的全部权限。如果您需要对委托授权的权限范围进行精确控制,请使用第二种方式。
2、定制化委托授权
管理员在IAM中为不同用户创建不同的委托授权策略,再到ModelArts中为用户配置已创建好的委托。管理员在IAM中为用户创建委托时,根据用户的实际权限范围为委托指定最小权限范围,控制用户在使用ModelArts过程中可访问的资源内容。具体参考配置ModelArts基本使用权限。
委托授权的越权风险
可以看到用户的委托授权是独立的,理论上用户的委托授权范围是可以超出用户自身用户组的授权策略的授权范围,如果配置不当就会出现用户越权的问题。
为了控制委托授权的越权风险,ModelArts服务的权限管理功能要求只有租户管理员才能为用户配置委托,由管理员保证委托授权的安全性。
委托授权的最小化
管理员在配置委托授权时,应严格控制授权的范围。
ModelArts为用户异步自动化完成作业的准备、清理等操作,所需的委托授权内容是基础授权范围。如果用户只使用ModelArts的部分功能,管理员可以依据委托授权表格的说明屏蔽不使用的基础权限项。相反地,如果用户需要在作业中使用基础授权范围外的资源权限,管理员也可以为用户在委托授权中增加新的权限项。总之,委托授权的范围应该基于实际业务场景所需权限范围来进行定制,保持委托授权范围的最小化。
委托基础授权范围
当您需要定制委托授权的权限列表时,请参考下面表格,根据实际业务选择授权项。
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
Notebook实例中操作OBS数据。 | OBS | obs:object:DeleteObject obs:object:GetObject obs:object:GetObjectVersion obs:bucket:CreateBucket obs:bucket:ListBucket obs:bucket:ListAllMyBuckets obs:object:PutObject obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:PutBucketCORS | 您可通过以下方式在Notebook实例中操作OBS中的数据:
|
Notebook实例事件上报。 | AOM | aom:alarm:put | 在Notebook实例的生命周期中,部分事件会上报到用户AOM账号下,事件列表详见Notebook实例事件。 |
VPC与Notebook实例网络互联。 | VPC | vpc:ports:create vpc:ports:get vpc:ports:delete vpc:subnets:get | Notebook实例中新增一个可以与用户指定VPC的子网的网卡,用于与用户VPC下的服务进行网络互联。 |
VS Code一键连接Notebook。 | ModelArts | modelarts:notebook:get | 用于管理Notebook实例信息,单击VS Code插件时,获取实例详情信息,以方便将SSH配置信息写入本地VS Code。 |
停止Notebook实例。 | ModelArts | modelarts:notebook:stop | 用于停止运行中的Notebook实例。 |
更新Notebook实例自动停止时间。 | ModelArts | modelarts:notebook:updateStopPolicy | 用于更新Notebook实例的自动停止时间。 |
OBS并行文件系统场景下使用MindInsight/TensorBoard可视化工具。 | ModelArts | modelarts:notebook:umountStorage modelarts:notebook:getMountedStorage modelarts:notebook:listMountedStorages modelarts:notebook:mountStorage | 在开发环境Notebook实例中开启MindInsight/TensorBoard可视化工具,且需要访问的是OBS并行文件系统时,需要配置左侧的权限。 |
Notebook使用专属资源池时挂载SFS Turbo | SFS | sfsturbo:shares:getShare sfsturbo:shares:showFsDir | 创建Notebook,使用专属资源池时,存储选择SFSTurbo,并进行存储校验。 |
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
训练作业访问OBS文件。 | OBS | obs:bucket:HeadBucket obs:bucket:GetBucketLocation obs:bucket:ListBucket obs:bucket:ListAllMyBuckets obs:object:GetObject obs:object:GetObjectVersion obs:object:GetObjectAcl obs:object:GetObjectVersionAcl | 训练作业配置代码目录、输入、输出和日志的OBS桶路径时,需要OBS服务相关操作权限,用于OBS对象路径的合法性校验。 |
训练作业以自定义容器镜像方式启动。 | SWR | swr:repo:getRepo swr:system:createLoginSecret swr:instance:createTempCredential | 训练作业以自定义容器镜像方式启动时,需要获取用户SWR容器镜像的临时登录指令,用于下载容器镜像。 |
训练作业状态变化通知。 | SMN | smn:template:list smn:template:create smn:topic:list smn:topic:publish | 若要配置训练作业状态变化通知,需要SMN服务相关操作权限,用于发送模板化的消息通知。 |
训练作业配置挂载SFS Turbo。 | SFS Turbo | SFS Turbo ReadOnlyAccess | 训练作业配置挂载SFS Turbo时,需要SFS Turbo读权限,以通过SFS Turbo ID获取其详情。 |
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
在线服务 | LTS | lts:groups:create lts:groups:list lts:topics:create lts:topics:delete lts:topics:list | 建议配置,在线服务配置LTS日志上报。 |
批量服务 | OBS | obs:bucket:ListBucket obs:object:GetObject obs:object:PutObject | 使用批量服务时必须配置。 |
边缘服务 | IEF | ief:deployment:list ief:deployment:create ief:deployment:update ief:deployment:delete ief:node:createNodeCert ief:iefInstance:list ief:node:list | 使用边缘服务时必须配置,通过IEF部署边缘服务。 |
从OBS导入模型。 | OBS | obs:object:DeleteObject obs:object:GetObject obs:bucket:CreateBucket obs:bucket:ListBucket obs:object:PutObject obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:PutBucketCORS | 必须配置。若有使用并行文件系统,则需额外配置obs:bucket:HeadBucket。 |
从容器镜像中导入模型。 | SWR | swr:instance:get swr:repository:getArtifact swr:repo:getRepoTag swr:repo:getRepo swr:repo:getRepoDomain swr:instance:createTempCredential swr:system:createLoginSecret swr:repo:deleteRepoTag swr:repo:deleteRepo swr:repo:createRepoDomain swr:repo:deleteRepoDomain | 必须配置。 |
使用ModelArts Edge功能。 | IEF | ief:deployment:list ief:deployment:create ief:deployment:update ief:deployment:delete ief:node:createNodeCert ief:iefInstance:list ief:node:list | 可选配置,如果使用ModelArts Edge功能需要配置。 |
AOM指标告警事件 | AOM | aom:log:get aom:alarm:get aom:metric:put aom:alarm:put aom:event:put aom:event:list aom:event:get | 建议配置,若需要AOM查看告警事件则需要配置。 |
监控指标上报CES | CES | ces:metricMeta:create | 建议配置,监控指标上报CES。 |
消息订阅推送 | SMN | smn:topic:list smn:topic:publish smn:application:publish | 可选配置,如果使用消息订阅推送功能需要配置。 |
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
使用数据标注、数据处理功能。 | ModelArts | modelarts:trainJob:create modelarts:trainJob:update modelarts:trainJob:delete modelarts:trainJob:get modelarts:trainJob:list modelarts:trainJob:logExport modelarts:aiAlgorithm:get modelarts:model:get modelarts:service:list modelarts:model:create modelarts:workspace:list modelarts:workspace:get modelarts:trainJobInnerModel:list | 必须配置,使用数据标注、数据处理功能时会进行创建训练作业、查询训练作业、算法查询等操作。 |
访问OBS数据 | OBS | obs:bucket:GetBucketLocation obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:GetObjectVersion obs:object:GetObject obs:object:GetObjectVersionAcl obs:object:DeleteObject obs:object:ListMultipartUploadParts obs:bucket:HeadBucket obs:object:AbortMultipartUpload obs:object:DeleteObjectVersion obs:object:GetObjectAcl obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:object:PutObject | 必须配置,在OBS中存储、查询、删除数据。 |
访问DLI数据。 | DLI | dli:queue:createQueue dli:queue:dropQueue dli:queue:scaleQueue dli:queue:submitJob dli:database:displayDatabase dli:database:displayAllTables dli:table:describeTable dli:table:showPrivileges dli:table:dropTable | 可选配置,如果访问DLI数据需要配置。 |
访问MRS数据。 | MRS | mrs:job:submit mrs:job:list mrs:cluster:list mrs:file:list | 可选配置,如果访问MRS数据需要配置。 |
访问DWS数据。 | DWS | dws:openAPICluster:list dws:openAPICluster:getDetail dws:cluster:list | 可选配置,如果访问DWS数据需要配置。 |
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
通过关联sfsturbo功能实现专属资源池和SFS Turbo资源打通。 | SFS Turbo | sfsturbo:shares:showShareNic sfsturbo:shares:listShareNics sfsturbo:shares:addShareNic sfsturbo:shares:deleteShareNic | 使用该特性时需要配置。 |
用户的ModelArts网络和VPC进行打通,同时添加相关路由。 | VPC | vpc:vpcs:get vpc:subnets:get vpc:peerings:accept vpc:routes:create vpc:routes:delete vpc:routes:get vpc:routeTables:update vpc:routeTables:get vpc:routeTables:list vpc:routes:list | 使用该特性时需要配置。 |
使用ModelArts 轻量算力集群资源池 | CCE APM | cce:cluster:get cce:node:get cce:node:list cce:job:get cce:node:create cce:node:delete cce:node:remove cce:addonInstance:get cce:addonInstance:list cce:addonInstance:create cce:addonInstance:update cce:addonInstance:delete cce:accessPolicy:* cce:cluster:revokeClientCredential cce:nodepool:create cce:nodepool:delete apm:icmgr:create | 使用ModelArts 轻量算力集群资源池时必须配置。 ModelArts通过委托的方式管理用户的CCE集群,同步集群信息、纳管节点等。 |
ECS BMS EVS DEW | ecs:cloudServers:create ecs:cloudServers:delete ecs:cloudServers:get ecs:cloudServers:start ecs:cloudServers:stop ecs:cloudServers:reboot ecs:cloudServers:redeploy ecs:cloudServers:listServerInterfaces ecs:cloudServers:changeVpc ecs:cloudServerFlavors:get ecs:quotas:get ecs:cloudServers:batchSetServerTags ecs:cloudServers:list bms:servers:create bms:serverFlavors:get evs:types:get evs:volumes:list evs:quotas:get evs:volumes:get kps:domainKeypairs:get | 使用ModelArts 轻量算力集群资源池时必须配置。 ModelArts通过委托的方式对用户的BMS/ECS节点进行生命周期的管理。 | |
IMS | ims:images:get ims:images:share | 使用ModelArts 轻量算力集群资源池时必须配置。 ModelArts 轻量算力集群资源池节点创建在用户账号下,创建前需要将节点系统镜像共享给用户账号。 | |
CloudMatrix | cloudmatrix:hyperinstanceCluster:create cloudmatrix:hyperinstanceCluster:list cloudmatrix:hyperinstanceCluster:get cloudmatrix:hyperinstanceCluster:delete cloudmatrix:hyperinstanceCluster:getClusterSpec cloudmatrix:hyperinstance:create cloudmatrix:hyperinstance:delete cloudmatrix:hyperinstance:get cloudmatrix:hyperinstance:list cloudmatrix:hyperinstance:listNodes cloudmatrix:hyperinstance:getNode cloudmatrix:hyperinstance:stopNode cloudmatrix:hyperinstance:rebootNode cloudmatrix:hyperinstance:startNode cloudmatrix:hyperinstance:changeOs cloudmatrix:hyperinstance:reinstallNodeOs cloudmatrix:hyperinstance:liveScaleUp cloudmatrix:hyperinstance:liveScaleDown cloudmatrix:operation:get cloudmatrix:operation:list cloudmatrix:scheduledEvent:create cloudmatrix:scheduledEvent:list cloudmatrix:scheduledEvent:accept cloudmatrix:scheduledEvent:cancel cloudmatrix:hyperinstance:detachNodeInterface | 使用ModelArts 轻量算力集群资源池使用CloudMatrix超节点时必须配置。 ModelArts通过委托的方式对用户的CloudMatrix超节点进行生命周期的管理。 |
业务场景 | 依赖的服务 | 委托授权项 | 说明 |
|---|---|---|---|
对ModelArts数据管理、训练、推理等服务操作。 | ModelArts | modelarts:workspace:getQuotas modelarts:service:get modelarts:app:get modelarts:pool:get modelarts:model:get modelarts:trainJob:get modelarts:dataset:get modelarts:dataAnnotation:get modelarts:workspace:get modelarts:aiAlgorithm:get modelarts:trainJobVersion:delete modelarts:dataset:delete modelarts:workspace:delete modelarts:trainJobVersion:create modelarts:dataset:import modelarts:trainJob:delete modelarts:service:delete modelarts:dataset:publishVersion modelarts:app:create modelarts:service:create modelarts:service:update modelarts:aiAlgorithm:create modelarts:trainJobVersion:stop modelarts:workspace:update modelarts:dataset:deleteVersion modelarts:trainJob:create modelarts:model:delete modelarts:model:create modelarts:dataset:create modelarts:app:delete modelarts:aiAlgorithm:delete modelarts:service:action modelarts:app:update modelarts:trainJobVersion:list modelarts:model:list modelarts:app:list modelarts:service:list modelarts:dataset:list modelarts:workspace:list modelarts:trainJob:list modelarts:aiAlgorithm:list | 用于在Workflow中调用MA的数据管理、训练、推理等服务,创建相应的实例。 建议在配置委托权限时,直接配置ModelArts CommonOperations权限即可。 |
Workflow中对OBS数据操作。 | OBS | obs:object:DeleteObject obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:PutObjectVersionAcl obs:object:PutObjectAcl obs:object:GetObjectAcl obs:object:DeleteObject obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:ListAllMyBuckets obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:PutBucketPolicy obs:bucket:DeleteBucketPolicy obs:bucket:GetBucketPolicy | 可选配置,在工作流中使用OBS数据时需要配置。 |
Workflow中操作DLI相关的任务。 | DLI | dli:jobs:create dli:jobs:delete dli:jobs:get dli:jobs:listAll dli:jobs:stop | 可选配置,如果在Workflow中涉及DLI相关节点需要配置。 |
Workflow中操作MRS相关的任务 | MRS | mrs:job:get mrs:cluster:get mrs:file:list mrs:cluster:list mrs:job:stop mrs:job:submit mrs:job:delete | 可选配置,如果在Workflow中涉及MRS相关节点需要配置。 |
Workflow中使用SMN消息订阅功能。 | SMN | smn:topic:list smn:topic:publish | 可选配置,使用SMN消息订阅功能时必须配置。 |
