IAM
Esta sección describe las configuraciones de permisos de IAM para todas las funciones de ModelArts.
Permisos de IAM
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de ModelArts, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a los recursos de Huawei Cloud. Si su cuenta de Huawei puede cumplir con sus requerimientos y no necesita una cuenta de IAM para gestionar los permisos de usuarios, omita este capítulo.
IAM es un servicio gratuito. Solo paga por los recursos de su cuenta.
Con IAM, puede controlar el acceso a recursos específicos de Huawei Cloud. Por ejemplo, si los desarrolladores de software en su empresa necesitan poseer permisos para usar ModelArts, pero usted no quiere que posean permisos de operación de alto riesgo como borrar ModelArts, usted puede otorgar permisos usando IAM para limitar sus permisos en ModelArts.
Para obtener más información acerca de IAM, consulte Qué es IAM.
Autorización basada en roles/políticas
ModelArts admite la autorización basada en roles/políticas. De forma predeterminada, los nuevos usuarios de IAM no tienen permisos. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos o roles a estos grupos. Los usuarios heredan los permisos de los grupos a los que se agregan. Este proceso se llama autorización. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar las operaciones especificadas en los servicios en nube.
ModelArts es un servicio a nivel de proyecto desplegado para las regiones específicas. Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados (por ejemplo, ap-southeast-2) en las regiones especificadas (por ejemplo, AP-Bangkok), los usuarios solo tienen permisos para los recursos de ModelArts en los proyectos seleccionados. Si establece Scope en All resources, los usuarios dispondrán de recursos de ModelArts en todos los proyectos específicos de la región. Al acceder a ModelArts los usuarios deben cambiar a una región en la que han sido autorizados a usar servicios en la nube.
Tabla 1 enumera todas las políticas definidas por el sistema admitidas por ModelArts. Si el permiso de ModelArts preestablecido no cumple con sus requerimientos, cree una política personalizada consultando Campos de políticas en formato JSON.
Política |
Descripción |
Tipo |
---|---|---|
ModelArts FullAccess |
Todos los permisos para administradores de ModelArts |
Política definida por el sistema |
ModelArts CommonOperations |
Todos los permisos de operación para los usuarios comunes de ModelArts, lo que no incluye la gestión de grupos de recursos dedicados. |
Política definida por el sistema |
ModelArts Dependency Access |
Permisos en los servicios dependientes para ModelArts |
Política definida por el sistema |
ModelArts depende de otros servicios en la nube. Para verificar o consultar los servicios en la nube, configure los permisos correspondientes en la consola de ModelArts, como se muestra en la siguiente tabla.
Función de consola |
Dependencia |
Rol/política requerido |
---|---|---|
Gestión de datos |
Object Storage Service (OBS) |
OBS Administrator |
Data Lake Insight (DLI) |
DLI FullAccess |
|
MapReduce Service (MRS) |
MRS Administrator |
|
GaussDB(DWS) |
DWS Administrator |
|
Cloud Trace Service (CTS) |
CTS Administrator |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Entorno de desarrollo |
OBS |
OBS Administrator |
Cloud Secret Management Service (CSMS) |
CSMS ReadOnlyAccess |
|
CTS |
CTS Administrator |
|
Elastic Cloud Server (ECS) |
ECS FullAccess |
|
Software Repository for Container (SWR) |
SWR Administrator |
|
Scalable File Service (SFS) |
SFS Turbo FullAccess |
|
Application Operations Management (AOM) |
AOM FullAccess |
|
Key Management Service (KMS) |
KMS CMKFullAccess |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Gestión de entrenamientos |
OBS |
OBS Administrator |
Simple Message Notification (SMN) |
SMN Administrator |
|
CTS |
CTS Administrator |
|
SFS Turbo |
SFS Turbo ReadOnlyAccess |
|
SWR |
SWR Administrator |
|
AOM |
AOM FullAccess |
|
KMS |
KMS CMKFullAccess |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Flujo de trabajo |
OBS |
OBS Administrator |
CTS |
CTS Administrator |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
ExeML |
OBS |
OBS Administrator |
CTS |
CTS Administrator |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Gestión de aplicaciones de IA |
OBS |
OBS Administrator |
Enterprise Project Management Service (EPS) |
EPS FullAccess |
|
CTS |
CTS Administrator |
|
SWR |
SWR Administrator |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Despliegue del servicio |
OBS |
OBS Administrator |
Cloud Eye Service (CES) |
CES ReadOnlyAccess |
|
SMN |
SMN Administrator |
|
EPS |
EPS FullAccess |
|
CTS |
CTS Administrator |
|
Log Tank Service (LTS) |
LTS FullAccess |
|
Virtual Private Cloud (VPC) |
VPC FullAccess |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
AI Gallery |
OBS |
OBS Administrator |
CTS |
CTS Administrator |
|
SWR |
SWR Administrator |
|
ModelArts |
ModelArts CommonOperations ModelArts Dependency Access |
|
Grupo de recursos dedicados |
CTS |
CTS Administrator |
Cloud Container Engine (CCE) |
CCE Administrator |
|
Bare Metal Server (BMS) |
BMS FullAccess |
|
Image Management Service (IMS) |
IMS FullAccess |
|
Data Encryption Workshop (DEW) |
DEW KeypairReadOnlyAccess |
|
VPC |
VPC FullAccess |
|
ECS |
ECS FullAccess |
|
SFS |
SFS Turbo FullAccess |
|
OBS |
OBS Administrator |
|
AOM |
AOM FullAccess |
|
ModelArts |
ModelArts FullAccess |
|
Billing Center |
BSS Administrator |
Si las políticas definidas por el sistema no pueden satisfacer sus requisitos, puede crear una política personalizada. Para obtener más información sobre las acciones admitidas por las directivas personalizadas, consulte Permisos de recursos de ModelArts.
Puede crear las políticas personalizadas de cualquiera de las siguientes maneras:
- Visual editor: Seleccione los servicios en la nube, acciones, recursos y condiciones de solicitud sin la necesidad de conocer la sintaxis de la política.
- JSON: Crea una política JSON o edita una existente.
Para obtener más información, consulte Creación de una política personalizada. A continuación se enumeran ejemplos de políticas personalizadas comunes de ModelArts.
- Ejemplo 1: Conceder permiso para gestionar imágenes.
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "modelarts:image:register", "modelarts:image:listGroup" ] } ] }
- Ejemplo 2: Conceder permiso para denegar la creación, actualización y eliminación de un grupo de recursos dedicados.
Una política con solo permisos "Deny" debe usarse junto con otras políticas. Si los permisos concedidos a un usuario de IAM contienen tanto "Allow" como "Deny", los permisos "Deny" tienen la prioridad sobre los permisos "Allow".
{ "Version": "1.1", "Statement": [ { "Action": [ "modelarts:*:*" ], "Effect": "Allow" }, { "Action": [ "swr:*:*" ], "Effect": "Allow" }, { "Action": [ "smn:*:*" ], "Effect": "Allow" }, { "Action": [ "modelarts:pool:create", "modelarts:pool:update", "modelarts:pool:delete" ], "Effect": "Deny" } ] }
- Ejemplo 3: Crear una política personalizada que contenga varias acciones.
Una política personalizada puede contener acciones de varios servicios que son de tipo global o de nivel de proyecto. A continuación se muestra una política de ejemplo que contiene acciones de varios servicios:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "modelarts:service:*" ] }, { "Effect": "Allow", "Action": [ "lts:logs:list" ] } ] }
Campos de políticas en formato JSON
Estructura de políticas
Una política consiste en una versión y una o más sentencias (que indican diferentes acciones).
Parámetros de políticas
A continuación se describen los parámetros de política. Puede crear políticas personalizadas especificando los parámetros. Para obtener más información, consulte Casos de uso de políticas personalizadas.
Parámetro |
Descripción |
Valor |
|
---|---|---|---|
Version |
Versión de política |
1.1: indica el control de acceso basado en políticas. |
|
Statement: authorization statement of a policy |
Effect |
Permitir o denegar las operaciones definidas en la acción |
|
Action |
Operación a realizar en el servicio |
Formato: nombre de servicio:Tipo de recurso:Acción. Se admiten caracteres carácter comodín (*), que indican todas las opciones. Ejemplo: modelarts:notebook:list: indica el permiso para ver una lista de instancias de notebook. modelarts indica el nombre del servicio, notebook indica el tipo de recurso y list, la operación. Ver todas las acciones de un servicio en su Referencia de las API. |
|
Condition |
Condición para que una política entre en vigor, incluidas las claves de condición y los operadores |
Formato: "Condition operator:{Condition key:[Value 1,Value 2]}" Si establece varias condiciones, la política solo tendrá efecto cuando se cumplan todas las condiciones. Ejemplo: StringEndWithIfExists":{"g:UserName":["specialCharacter"]}: La instrucción es válida para los usuarios cuyos nombres terminan con specialCharacter. |
|
Resource |
Recursos sobre los que entra en vigor una política |
Formato: Service name:<Region>:<Account ID>:Resource type:Resource path. Se soportan asteriscos (*) para el tipo de recurso, que indican todos los recursos.
NOTA:
La autorización de ModelArts no permite especificar una ruta de acceso de recurso. |
Tipos de recursos de ModelArts
Los administradores pueden especificar el ámbito en función de los tipos de recursos de ModelArts. En la siguiente tabla se enumeran los tipos de recursos admitidos por ModelArts:
Tipo de recurso |
Descripción |
---|---|
notebook |
Instancias de notebook de DevEnviron |
exemlProject |
Proyectos de ExeML |
exemlProjectInf |
Servicio de inferencia en tiempo real desarrollado por ExeML |
exemlProjectTrain |
Trabajos de entrenamiento desarrollado por ExeML |
exemlProjectVersion |
Versión del proyecto de ExeML |
workflow |
Flujo de trabajo |
pool |
Grupo de recursos dedicados |
network |
Conexión en red de un grupo de recursos dedicado |
trainJob |
Trabajo de entrenamiento |
trainJobLog |
Registros de tiempo de ejecución de un trabajo de entrenamiento |
trainJobInnerModel |
Modelo predeterminado |
trainJobVersion |
Versión de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve) |
trainConfig |
Configuración de un trabajo de entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve) |
tensorboard |
Trabajo de visualización de los resultados del entrenamiento (con el apoyo de trabajos de entrenamiento de versiones antiguas que se suspenderán en breve) |
model |
Modelos |
service |
Servicio en tiempo real |
nodeservice |
Servicio en el borde |
workspace |
Espacio de trabajo |
dataset |
Conjunto de datos |
dataAnnotation |
Etiquetas de conjunto de datos |
aiAlgorithm |
Algoritmo para trabajos de entrenamiento |
image |
Imagen |
devserver |
El BMS elástico |