Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2024-09-20 GMT+08:00

IAM

Esta sección describe las configuraciones de permisos de IAM para todas las funciones de ModelArts.

Permisos de IAM

Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de ModelArts, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a los recursos de Huawei Cloud. Si su cuenta de Huawei puede cumplir con sus requerimientos y no necesita una cuenta de IAM para gestionar los permisos de usuarios, omita este capítulo.

IAM es un servicio gratuito. Solo paga por los recursos de su cuenta.

Con IAM, puede controlar el acceso a recursos específicos de Huawei Cloud. Por ejemplo, si los desarrolladores de software en su empresa necesitan poseer permisos para usar ModelArts, pero usted no quiere que posean permisos de operación de alto riesgo como borrar ModelArts, usted puede otorgar permisos usando IAM para limitar sus permisos en ModelArts.

Para obtener más información acerca de IAM, consulte Qué es IAM.

Autorización basada en roles/políticas

ModelArts admite la autorización basada en roles/políticas. De forma predeterminada, los nuevos usuarios de IAM no tienen permisos. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos o roles a estos grupos. Los usuarios heredan los permisos de los grupos a los que se agregan. Este proceso se llama autorización. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar las operaciones especificadas en los servicios en nube.

ModelArts es un servicio a nivel de proyecto desplegado para las regiones específicas. Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados (por ejemplo, ap-southeast-2) en las regiones especificadas (por ejemplo, AP-Bangkok), los usuarios solo tienen permisos para los recursos de ModelArts en los proyectos seleccionados. Si establece Scope en All resources, los usuarios dispondrán de recursos de ModelArts en todos los proyectos específicos de la región. Al acceder a ModelArts los usuarios deben cambiar a una región en la que han sido autorizados a usar servicios en la nube.

Tabla 1 enumera todas las políticas definidas por el sistema admitidas por ModelArts. Si el permiso de ModelArts preestablecido no cumple con sus requerimientos, cree una política personalizada consultando Campos de políticas en formato JSON.

Tabla 1 Políticas definidas por el sistema compatibles con ModelArts

Política

Descripción

Tipo

ModelArts FullAccess

Todos los permisos para administradores de ModelArts

Política definida por el sistema

ModelArts CommonOperations

Todos los permisos de operación para los usuarios comunes de ModelArts, lo que no incluye la gestión de grupos de recursos dedicados.

Política definida por el sistema

ModelArts Dependency Access

Permisos en los servicios dependientes para ModelArts

Política definida por el sistema

ModelArts depende de otros servicios en la nube. Para verificar o consultar los servicios en la nube, configure los permisos correspondientes en la consola de ModelArts, como se muestra en la siguiente tabla.

Tabla 2 Dependencias de roles/políticas de la consola de ModelArts

Función de consola

Dependencia

Rol/política requerido

Gestión de datos

Object Storage Service (OBS)

OBS Administrator

Data Lake Insight (DLI)

DLI FullAccess

MapReduce Service (MRS)

MRS Administrator

GaussDB(DWS)

DWS Administrator

Cloud Trace Service (CTS)

CTS Administrator

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Entorno de desarrollo

OBS

OBS Administrator

Cloud Secret Management Service (CSMS)

CSMS ReadOnlyAccess

CTS

CTS Administrator

Elastic Cloud Server (ECS)

ECS FullAccess

Software Repository for Container (SWR)

SWR Administrator

Scalable File Service (SFS)

SFS Turbo FullAccess

Application Operations Management (AOM)

AOM FullAccess

Key Management Service (KMS)

KMS CMKFullAccess

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Gestión de entrenamientos

OBS

OBS Administrator

Simple Message Notification (SMN)

SMN Administrator

CTS

CTS Administrator

SFS Turbo

SFS Turbo ReadOnlyAccess

SWR

SWR Administrator

AOM

AOM FullAccess

KMS

KMS CMKFullAccess

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Flujo de trabajo

OBS

OBS Administrator

CTS

CTS Administrator

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

ExeML

OBS

OBS Administrator

CTS

CTS Administrator

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Gestión de aplicaciones de IA

OBS

OBS Administrator

Enterprise Project Management Service (EPS)

EPS FullAccess

CTS

CTS Administrator

SWR

SWR Administrator

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Despliegue del servicio

OBS

OBS Administrator

Cloud Eye Service (CES)

CES ReadOnlyAccess

SMN

SMN Administrator

EPS

EPS FullAccess

CTS

CTS Administrator

Log Tank Service (LTS)

LTS FullAccess

Virtual Private Cloud (VPC)

VPC FullAccess

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

AI Gallery

OBS

OBS Administrator

CTS

CTS Administrator

SWR

SWR Administrator

ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

Grupo de recursos dedicados

CTS

CTS Administrator

Cloud Container Engine (CCE)

CCE Administrator

Bare Metal Server (BMS)

BMS FullAccess

Image Management Service (IMS)

IMS FullAccess

Data Encryption Workshop (DEW)

DEW KeypairReadOnlyAccess

VPC

VPC FullAccess

ECS

ECS FullAccess

SFS

SFS Turbo FullAccess

OBS

OBS Administrator

AOM

AOM FullAccess

ModelArts

ModelArts FullAccess

Billing Center

BSS Administrator

Si las políticas definidas por el sistema no pueden satisfacer sus requisitos, puede crear una política personalizada. Para obtener más información sobre las acciones admitidas por las directivas personalizadas, consulte Permisos de recursos de ModelArts.

Puede crear las políticas personalizadas de cualquiera de las siguientes maneras:

  • Visual editor: Seleccione los servicios en la nube, acciones, recursos y condiciones de solicitud sin la necesidad de conocer la sintaxis de la política.
  • JSON: Crea una política JSON o edita una existente.

Para obtener más información, consulte Creación de una política personalizada. A continuación se enumeran ejemplos de políticas personalizadas comunes de ModelArts.

  • Ejemplo 1: Conceder permiso para gestionar imágenes.
    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "modelarts:image:register",
                    "modelarts:image:listGroup"
                ]
            }
        ]
    }
  • Ejemplo 2: Conceder permiso para denegar la creación, actualización y eliminación de un grupo de recursos dedicados.

    Una política con solo permisos "Deny" debe usarse junto con otras políticas. Si los permisos concedidos a un usuario de IAM contienen tanto "Allow" como "Deny", los permisos "Deny" tienen la prioridad sobre los permisos "Allow".

    {
        "Version": "1.1",
        "Statement": [
            {
                "Action": [
                    "modelarts:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "swr:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "smn:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "modelarts:pool:create",
                    "modelarts:pool:update",
                    "modelarts:pool:delete"
                ],
                "Effect": "Deny"
            }
        ]
    }
  • Ejemplo 3: Crear una política personalizada que contenga varias acciones.

    Una política personalizada puede contener acciones de varios servicios que son de tipo global o de nivel de proyecto. A continuación se muestra una política de ejemplo que contiene acciones de varios servicios:

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "modelarts:service:*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "lts:logs:list"
                ]
            }
        ]
    }

Campos de políticas en formato JSON

Estructura de políticas

Una política consiste en una versión y una o más sentencias (que indican diferentes acciones).

Figura 1 Estructura de políticas

Parámetros de políticas

A continuación se describen los parámetros de política. Puede crear políticas personalizadas especificando los parámetros. Para obtener más información, consulte Casos de uso de políticas personalizadas.

Tabla 3 Parámetros de política

Parámetro

Descripción

Valor

Version

Versión de política

1.1: indica el control de acceso basado en políticas.

Statement: authorization statement of a policy

Effect

Permitir o denegar las operaciones definidas en la acción

  • Allow: indica que la operación está permitida.
  • Deny: indica que la operación no está permitida.
    NOTA:

    Si la política utilizada para otorgar los permisos de usuario contiene Allow y Deny para la misma acción, Deny tiene prioridad.

Action

Operación a realizar en el servicio

Formato: nombre de servicio:Tipo de recurso:Acción. Se admiten caracteres carácter comodín (*), que indican todas las opciones.

Ejemplo:

modelarts:notebook:list: indica el permiso para ver una lista de instancias de notebook. modelarts indica el nombre del servicio, notebook indica el tipo de recurso y list, la operación.

Ver todas las acciones de un servicio en su Referencia de las API.

Condition

Condición para que una política entre en vigor, incluidas las claves de condición y los operadores

Formato: "Condition operator:{Condition key:[Value 1,Value 2]}"

Si establece varias condiciones, la política solo tendrá efecto cuando se cumplan todas las condiciones.

Ejemplo:

StringEndWithIfExists":{"g:UserName":["specialCharacter"]}: La instrucción es válida para los usuarios cuyos nombres terminan con specialCharacter.

Resource

Recursos sobre los que entra en vigor una política

Formato: Service name:<Region>:<Account ID>:Resource type:Resource path. Se soportan asteriscos (*) para el tipo de recurso, que indican todos los recursos.

NOTA:

La autorización de ModelArts no permite especificar una ruta de acceso de recurso.

Tipos de recursos de ModelArts

Los administradores pueden especificar el ámbito en función de los tipos de recursos de ModelArts. En la siguiente tabla se enumeran los tipos de recursos admitidos por ModelArts:

Tabla 4 Tipos de recursos soportados por la autorización según rol/políticas de ModelArts

Tipo de recurso

Descripción

notebook

Instancias de notebook de DevEnviron

exemlProject

Proyectos de ExeML

exemlProjectInf

Servicio de inferencia en tiempo real desarrollado por ExeML

exemlProjectTrain

Trabajos de entrenamiento desarrollado por ExeML

exemlProjectVersion

Versión del proyecto de ExeML

workflow

Flujo de trabajo

pool

Grupo de recursos dedicados

network

Conexión en red de un grupo de recursos dedicado

trainJob

Trabajo de entrenamiento

trainJobLog

Registros de tiempo de ejecución de un trabajo de entrenamiento

trainJobInnerModel

Modelo predeterminado

trainJobVersion

Versión de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)

trainConfig

Configuración de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)

tensorboard

Trabajo de visualización de los resultados del entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)

model

Modelos

service

Servicio en tiempo real

nodeservice

Servicio en el borde

workspace

Espacio de trabajo

dataset

Conjunto de datos

dataAnnotation

Etiquetas de conjunto de datos

aiAlgorithm

Algoritmo para trabajos de entrenamiento

image

Imagen

devserver

El BMS elástico

Permisos de recursos de ModelArts

Para obtener más detalles, consulte «Políticas de permisos y acciones admitidas» en la Referencia de las API de ModelArts.