Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ ModelArts/ Prácticas recomendadas/ Gestión de permisos/ Mecanismos de gestión de permiso/ IAM

Actualización más reciente 2024-09-20 GMT+08:00

Ver PDF

IAM

Esta sección describe las configuraciones de permisos de IAM para todas las funciones de ModelArts.

Permisos de IAM

Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de ModelArts, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a los recursos de Huawei Cloud. Si su cuenta de Huawei puede cumplir con sus requerimientos y no necesita una cuenta de IAM para gestionar los permisos de usuarios, omita este capítulo.

IAM es un servicio gratuito. Solo paga por los recursos de su cuenta.

Con IAM, puede controlar el acceso a recursos específicos de Huawei Cloud. Por ejemplo, si los desarrolladores de software en su empresa necesitan poseer permisos para usar ModelArts, pero usted no quiere que posean permisos de operación de alto riesgo como borrar ModelArts, usted puede otorgar permisos usando IAM para limitar sus permisos en ModelArts.

Para obtener más información acerca de IAM, consulte Qué es IAM.

Autorización basada en roles/políticas

ModelArts admite la autorización basada en roles/políticas. De forma predeterminada, los nuevos usuarios de IAM no tienen permisos. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos o roles a estos grupos. Los usuarios heredan los permisos de los grupos a los que se agregan. Este proceso se llama autorización. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar las operaciones especificadas en los servicios en nube.

ModelArts es un servicio a nivel de proyecto desplegado para las regiones específicas. Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados (por ejemplo, ap-southeast-2) en las regiones especificadas (por ejemplo, AP-Bangkok), los usuarios solo tienen permisos para los recursos de ModelArts en los proyectos seleccionados. Si establece Scope en All resources, los usuarios dispondrán de recursos de ModelArts en todos los proyectos específicos de la región. Al acceder a ModelArts los usuarios deben cambiar a una región en la que han sido autorizados a usar servicios en la nube.

Tabla 1 enumera todas las políticas definidas por el sistema admitidas por ModelArts. Si el permiso de ModelArts preestablecido no cumple con sus requerimientos, cree una política personalizada consultando Campos de políticas en formato JSON.

**Tabla 1** Políticas definidas por el sistema compatibles con ModelArts
Política	Descripción	Tipo
ModelArts FullAccess	Todos los permisos para administradores de ModelArts	Política definida por el sistema
ModelArts CommonOperations	Todos los permisos de operación para los usuarios comunes de ModelArts, lo que no incluye la gestión de grupos de recursos dedicados.	Política definida por el sistema
ModelArts Dependency Access	Permisos en los servicios dependientes para ModelArts	Política definida por el sistema

ModelArts depende de otros servicios en la nube. Para verificar o consultar los servicios en la nube, configure los permisos correspondientes en la consola de ModelArts, como se muestra en la siguiente tabla.

**Tabla 2** Dependencias de roles/políticas de la consola de ModelArts
Función de consola	Dependencia	Rol/política requerido
Gestión de datos	Object Storage Service (OBS)	OBS Administrator
	Data Lake Insight (DLI)	DLI FullAccess
	MapReduce Service (MRS)	MRS Administrator
	GaussDB(DWS)	DWS Administrator
	Cloud Trace Service (CTS)	CTS Administrator
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Entorno de desarrollo	OBS	OBS Administrator
	Cloud Secret Management Service (CSMS)	CSMS ReadOnlyAccess
	CTS	CTS Administrator
	Elastic Cloud Server (ECS)	ECS FullAccess
	Software Repository for Container (SWR)	SWR Administrator
	Scalable File Service (SFS)	SFS Turbo FullAccess
	Application Operations Management (AOM)	AOM FullAccess
	Key Management Service (KMS)	KMS CMKFullAccess
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Gestión de entrenamientos	OBS	OBS Administrator
	Simple Message Notification (SMN)	SMN Administrator
	CTS	CTS Administrator
	SFS Turbo	SFS Turbo ReadOnlyAccess
	SWR	SWR Administrator
	AOM	AOM FullAccess
	KMS	KMS CMKFullAccess
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Flujo de trabajo	OBS	OBS Administrator
	CTS	CTS Administrator
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
ExeML	OBS	OBS Administrator
	CTS	CTS Administrator
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Gestión de aplicaciones de IA	OBS	OBS Administrator
	Enterprise Project Management Service (EPS)	EPS FullAccess
	CTS	CTS Administrator
	SWR	SWR Administrator
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Despliegue del servicio	OBS	OBS Administrator
	Cloud Eye Service (CES)	CES ReadOnlyAccess
	SMN	SMN Administrator
	EPS	EPS FullAccess
	CTS	CTS Administrator
	Log Tank Service (LTS)	LTS FullAccess
	Virtual Private Cloud (VPC)	VPC FullAccess
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
AI Gallery	OBS	OBS Administrator
	CTS	CTS Administrator
	SWR	SWR Administrator
	ModelArts	ModelArts CommonOperations ModelArts Dependency Access
Grupo de recursos dedicados	CTS	CTS Administrator
	Cloud Container Engine (CCE)	CCE Administrator
	Bare Metal Server (BMS)	BMS FullAccess
	Image Management Service (IMS)	IMS FullAccess
	Data Encryption Workshop (DEW)	DEW KeypairReadOnlyAccess
	VPC	VPC FullAccess
	ECS	ECS FullAccess
	SFS	SFS Turbo FullAccess
	OBS	OBS Administrator
	AOM	AOM FullAccess
	ModelArts	ModelArts FullAccess
	Billing Center	BSS Administrator

Si las políticas definidas por el sistema no pueden satisfacer sus requisitos, puede crear una política personalizada. Para obtener más información sobre las acciones admitidas por las directivas personalizadas, consulte Permisos de recursos de ModelArts.

Puede crear las políticas personalizadas de cualquiera de las siguientes maneras:

Visual editor: Seleccione los servicios en la nube, acciones, recursos y condiciones de solicitud sin la necesidad de conocer la sintaxis de la política.
JSON: Crea una política JSON o edita una existente.

Para obtener más información, consulte Creación de una política personalizada. A continuación se enumeran ejemplos de políticas personalizadas comunes de ModelArts.

Ejemplo 1: Conceder permiso para gestionar imágenes.

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "modelarts:image:register",
                "modelarts:image:listGroup"
            ]
        }
    ]
}

Ejemplo 2: Conceder permiso para denegar la creación, actualización y eliminación de un grupo de recursos dedicados.

Una política con solo permisos "Deny" debe usarse junto con otras políticas. Si los permisos concedidos a un usuario de IAM contienen tanto "Allow" como "Deny", los permisos "Deny" tienen la prioridad sobre los permisos "Allow".

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "modelarts:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "swr:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "smn:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "modelarts:pool:create",
                "modelarts:pool:update",
                "modelarts:pool:delete"
            ],
            "Effect": "Deny"
        }
    ]
}

Ejemplo 3: Crear una política personalizada que contenga varias acciones.

Una política personalizada puede contener acciones de varios servicios que son de tipo global o de nivel de proyecto. A continuación se muestra una política de ejemplo que contiene acciones de varios servicios:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "modelarts:service:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lts:logs:list"
            ]
        }
    ]
}

Campos de políticas en formato JSON

Estructura de políticas

Una política consiste en una versión y una o más sentencias (que indican diferentes acciones).

Figura 1 Estructura de políticas

Parámetros de políticas

A continuación se describen los parámetros de política. Puede crear políticas personalizadas especificando los parámetros. Para obtener más información, consulte Casos de uso de políticas personalizadas.

**Tabla 3** Parámetros de política
Parámetro		Descripción	Valor
Version		Versión de política	1.1: indica el control de acceso basado en políticas.
Statement: authorization statement of a policy	Effect	Permitir o denegar las operaciones definidas en la acción	Allow: indica que la operación está permitida. Deny: indica que la operación no está permitida. NOTA: Si la política utilizada para otorgar los permisos de usuario contiene Allow y Deny para la misma acción, Deny tiene prioridad.
	Action	Operación a realizar en el servicio	Formato: nombre de servicio:Tipo de recurso:Acción. Se admiten caracteres carácter comodín (), que indican todas las opciones. Ejemplo: modelarts:notebook:list: indica el permiso para ver una lista de instancias de notebook. modelarts* indica el nombre del servicio, notebook indica el tipo de recurso y list, la operación. Ver todas las acciones de un servicio en su Referencia de las API.
	Condition	Condición para que una política entre en vigor, incluidas las claves de condición y los operadores	Formato: "Condition operator:{Condition key:[Value 1,Value 2]}" Si establece varias condiciones, la política solo tendrá efecto cuando se cumplan todas las condiciones. Ejemplo: StringEndWithIfExists":{"g:UserName":["specialCharacter"]}: La instrucción es válida para los usuarios cuyos nombres terminan con specialCharacter.
	Resource	Recursos sobre los que entra en vigor una política	Formato: Service name:<Region>:<Account ID>:Resource type:Resource path. Se soportan asteriscos (*) para el tipo de recurso, que indican todos los recursos. NOTA: La autorización de ModelArts no permite especificar una ruta de acceso de recurso.

Tipos de recursos de ModelArts

Los administradores pueden especificar el ámbito en función de los tipos de recursos de ModelArts. En la siguiente tabla se enumeran los tipos de recursos admitidos por ModelArts:

**Tabla 4** Tipos de recursos soportados por la autorización según rol/políticas de ModelArts
Tipo de recurso	Descripción
notebook	Instancias de notebook de DevEnviron
exemlProject	Proyectos de ExeML
exemlProjectInf	Servicio de inferencia en tiempo real desarrollado por ExeML
exemlProjectTrain	Trabajos de entrenamiento desarrollado por ExeML
exemlProjectVersion	Versión del proyecto de ExeML
workflow	Flujo de trabajo
pool	Grupo de recursos dedicados
network	Conexión en red de un grupo de recursos dedicado
trainJob	Trabajo de entrenamiento
trainJobLog	Registros de tiempo de ejecución de un trabajo de entrenamiento
trainJobInnerModel	Modelo predeterminado
trainJobVersion	Versión de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)
trainConfig	Configuración de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)
tensorboard	Trabajo de visualización de los resultados del entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve)
model	Modelos
service	Servicio en tiempo real
nodeservice	Servicio en el borde
workspace	Espacio de trabajo
dataset	Conjunto de datos
dataAnnotation	Etiquetas de conjunto de datos
aiAlgorithm	Algoritmo para trabajos de entrenamiento
image	Imagen
devserver	El BMS elástico