Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ ModelArts/ Prácticas recomendadas/ Gestión de permisos/ Mecanismos de gestión de permiso/ Delegaciones y dependencias

Actualización más reciente 2024-09-20 GMT+08:00

Ver PDF

Delegaciones y dependencias

Dependencia de funciones

Políticas de la dependencia de funciones

Cuando utilice ModelArts para desarrollar algoritmos o gestionar trabajos de entrenamiento, deberá utilizar otros servicios en la nube. Por ejemplo, antes de enviar un trabajo de entrenamiento, seleccione una ruta de OBS para almacenar el conjunto de datos y los logs, respectivamente. Por lo tanto, al configurar políticas de autorización de grano fino para un usuario, el administrador debe configurar permisos dependientes para que el usuario pueda utilizar las funciones requeridas.

Si utiliza ModelArts como usuario de root (el usuario de IAM por defecto con el mismo nombre que la cuenta), el usuario de root tiene todos los permisos predeterminados.

**Tabla 1** Configuración básica
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Configuración global	IAM	iam:users:listUsers	Obtener una lista de usuarios. Solo el administrador requiere esta acción.
Función básica	IAM	iam:tokens:assume	(Obligatorio) Utilice una delegación para obtener credenciales de autenticación temporales.
Función básica	BSS	bss:balance:view	Mostrar el saldo de la cuenta actual en la página después de crear los recursos en la consola ModelArts.

**Tabla 2** Gestión de los espacios de trabajo
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Espacio de trabajo	IAM	iam:users:listUsers	Autorizar a un usuario de IAM a utilizar un espacio de trabajo.
Espacio de trabajo	ModelArts	modelarts::delete*	Borrar los recursos en un espacio de trabajo cuando eliminarlo.

**Tabla 3** Gestión de instancias de notebook
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Gestión del ciclo de vida de las instancias del entorno de desarrollo	ModelArts	modelarts:notebook:create modelarts:notebook:list modelarts:notebook:get modelarts:notebook:update modelarts:notebook:delete modelarts:notebook:start modelarts:notebook:stop modelarts:notebook:updateStopPolicy modelarts:image:delete modelarts:image:list modelarts:image:create modelarts:image:get modelarts:pool:list modelarts:tag:list modelarts:network:get aom:metric:get aom:metric:list aom:alarm:list	Iniciar, detener, crear, eliminar y actualizar una instancia.
Almacenamiento de montaje dinámico	ModelArts	modelarts:notebook:listMountedStorages modelarts:notebook:mountStorage modelarts:notebook:getMountedStorage modelarts:notebook:umountStorage	Montar almacenamiento de forma dinámica.
Almacenamiento de montaje dinámico	OBS	obs:bucket:ListAllMyBuckets obs:bucket:ListBucket	Montar almacenamiento de forma dinámica.
Gestión de imágenes	ModelArts	modelarts:image:register modelarts:image:listGroup	Registre y consulte una imagen en la página Image Management.
Guardar una imagen	SWR	SWR Admin	La política SWR Admin contiene el alcance máximo de los permisos de SWR, que puede utilizarse para: Guarde una instancia del entorno de desarrollo en ejecución como imagen. Cree una instancia de notebook con una imagen personalizada.
Uso de la función de SSH	ECS	ecs:serverKeypairs:list ecs:serverKeypairs:get ecs:serverKeypairs:delete ecs:serverKeypairs:create	Configure una clave de inicio de sesión para una instancia de notebook.
Montaje de un sistema de archivos de SFS Turbo	SFS Turbo	SFS Turbo FullAccess	Leer y escribir un directorio de SFS como usuario de IAM. Monte un sistema de archivos de SFS que no haya creado usted en una instancia de notebook mediante un grupo de recursos dedicado.
Consulta de todas las instancias	ModelArts	modelarts:notebook:listAllNotebooks	Consultar instancias del entorno de desarrollo de todos los usuarios en la consola de gestión de ModelArts. Esta acción es requerida por el administrador de la instancia del entorno de desarrollo.
Consulta de todas las instancias	IAM	iam:users:listUsers
Complemento de VS Code local o PyCharm Toolkit	ModelArts	modelarts:notebook:listAllNotebooks modelarts:trainJob:create modelarts:trainJob:list modelarts:trainJob:update modelarts:trainJobVersion:delete modelarts:trainJob:get modelarts:trainJob:logExport modelarts:workspace:getQuotas (This policy is required if the workspace function is enabled.)	Acceda a una instancia de notebook desde VS Code local y envíe trabajos de entrenamiento.
	OBS	obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:ModifyObjectMetaData
	IAM	iam:projects:listProjects	Obtenga una lista de proyectos de IAM con PyCharm local para configuraciones de acceso.

**Tabla 4** Gestión de trabajos de entrenamiento
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Gestión de entrenamientos	ModelArts	modelarts:trainJob:* modelarts:trainJobLog:* modelarts:aiAlgorithm:* modelarts:image:list	Crear un trabajo de entrenamiento y consultar los logs de entrenamiento.
		modelarts:workspace:getQuotas	Obtener una cuota de espacio de trabajo. Esta política es necesaria si se habilita la función de espacio de trabajo.
		modelarts:tag:list	Utilice Tag Management Service (TMS) en un trabajo de entrenamiento.
	IAM	iam:credentials:listCredentials iam:agencies:listAgencies	Utilice la autorización de delegación configurada.
	SFS Turbo	sfsturbo:shares:getShare sfsturbo:shares:getAllShares	Utilizar SFS Turbo en un trabajo de entrenamiento.
	SWR	swr:repository:listTags swr:repository:getRepository swr:repository:listRepositories	Utilice una imagen personalizada para crear un trabajo de entrenamiento.
	SMN	smn:topic:publish smn:topic:list	Notificar cambios en el estado del trabajo de entrenamiento con SMN.
	OBS	obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:ModifyObjectMetaData	Ejecutar un trabajo de entrenamiento con un conjunto de datos en un bucket de OBS.

**Tabla 5** Uso de flujos de trabajo
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Uso de un conjunto de datos	ModelArts	modelarts:dataset:getDataset modelarts:dataset:createDataset modelarts:dataset:createDatasetVersion modelarts:dataset:createImportTask modelarts:dataset:updateDataset modelarts:processTask:createProcessTask modelarts:processTask:getProcessTask modelarts:dataset:listDatasets	Utilice conjuntos de datos de ModelArts en un flujo de trabajo.
Gestión de aplicaciones de IA	ModelArts	modelarts:model:list modelarts:model:get modelarts:model:create modelarts:model:delete modelarts:model:update	Gestione aplicaciones de IA de ModelArts en un flujo de trabajo.
Despliegue de un servicio	ModelArts	modelarts:service:get modelarts:service:create modelarts:service:update modelarts:service:delete modelarts:service:getLogs	Gestione servicios de ModelArts en tiempo real en un flujo de trabajo.
Trabajos de entrenamiento	ModelArts	modelarts:trainJob:get modelarts:trainJob:create modelarts:trainJob:list modelarts:trainJobVersion:list modelarts:trainJobVersion:create modelarts:trainJob:delete modelarts:trainJobVersion:delete modelarts:trainJobVersion:stop	Gestione los trabajos de entrenamiento de ModelArts en un flujo de trabajo.
Espacio de trabajo	ModelArts	modelarts:workspace:get modelarts:workspace:getQuotas	Utilizar los espacios de trabajo de ModelArts en un flujo de trabajo.
Gestión de datos	OBS	obs:bucket:ListAllMybuckets (Obtaining a bucket list) obs:bucket:HeadBucket (Obtaining bucket metadata) obs:bucket:ListBucket (Listing objects in a bucket) obs:bucket:GetBucketLocation (Obtaining the bucket location) obs:object:GetObject (Obtaining object content and metadata) obs:object:GetObjectVersion (Obtaining object content and metadata) obs:object:PutObject (Uploading objects using PUT method, uploading objects using POST method, copying objects, appending an object, initializing a multipart task, uploading parts, and merging parts) obs:object:DeleteObject (Deleting an object or batch deleting objects) obs:object:DeleteObjectVersion (Deleting an object or batch deleting objects) obs:object:ListMultipartUploadParts (Listing uploaded parts) obs:object:AbortMultipartUpload (Aborting multipart uploads) obs:object:GetObjectAcl (Obtaining an object ACL) obs:object:GetObjectVersionAcl (Obtaining an object ACL) obs:bucket:PutBucketAcl (Configuring a bucket ACL) obs:object:PutObjectAcl (Configuring an object ACL)	Utilizar datos de OBS en un flujo de trabajo.
Ejecución de un flujo de trabajo	IAM	iam:users:listUsers (Obtaining users) iam:agencies:getAgency (Obtaining details about a specified agency) iam:tokens:assume (Obtaining an agency token)	Llame a otros servicios de ModelArts cuando se ejecute el flujo de trabajo.
Integración de DLI	DLI	dli:jobs:get (Obtaining job details) dli:jobs:list_all (Viewing a job list) dli:jobs:create (Creating a job)	Integrar DLI en un flujo de trabajo.
Integración de MRS	MRS	mrs:job:get (Obtaining job details) mrs:job:submit (Creating and executing a job) mrs:job:list (Viewing a job list) mrs:job:stop (Stopping a job) mrs:job:batchDelete (Batch deleting jobs) mrs:file:list (Viewing a file list)	Integrar MRS en un flujo de trabajo.

**Tabla 6** Gestión de aplicaciones de IA
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Gestión de aplicaciones de IA	SWR	swr:repository:deleteRepository swr:repository:deleteTag swr:repository:getRepository swr:repository:listTags	Importe un modelo desde una imagen personalizada. Utilice un motor personalizado al importar un modelo de OBS.
Gestión de aplicaciones de IA	OBS	obs:bucket:ListAllMybuckets (Obtaining a bucket list) obs:bucket:HeadBucket (Obtaining bucket metadata) obs:bucket:ListBucket (Listing objects in a bucket) obs:bucket:GetBucketLocation (Obtaining the bucket location) obs:object:GetObject (Obtaining object content and metadata) obs:object:GetObjectVersion (Obtaining object content and metadata) obs:object:PutObject (Uploading objects using PUT method, uploading objects using POST method, copying objects, appending an object, initializing a multipart task, uploading parts, and merging parts) obs:object:DeleteObject (Deleting an object or batch deleting objects) obs:object:DeleteObjectVersion (Deleting an object or batch deleting objects) obs:object:ListMultipartUploadParts (Listing uploaded parts) obs:object:AbortMultipartUpload (Aborting multipart uploads) obs:object:GetObjectAcl (Obtaining an object ACL) obs:object:GetObjectVersionAcl (Obtaining an object ACL) obs:bucket:PutBucketAcl (Configuring a bucket ACL) obs:object:PutObjectAcl (Configuring an object ACL)	Importe un modelo desde una plantilla. Especificar una ruta de OBS para la conversión del modelo.

**Tabla 7** Gestión de despliegue de servicio
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Servicios en tiempo real	LTS	lts:logs:list (Obtaining the log list)	Mostrar logs de LTS.
Servicios en tiempo real	OBS	obs:bucket:GetBucketPolicy (Obtaining a bucket policy) obs:bucket:HeadBucket (Obtaining bucket metadata) obs:bucket:ListAllMyBuckets (Obtaining a bucket list) obs:bucket:PutBucketPolicy (Configuring a bucket policy) obs:bucket:DeleteBucketPolicy (Deleting a bucket policy)	Montar volúmenes externos en un contenedor cuando se ejecuten los servicios.
Servicios por lotes	OBS	obs:object:GetObject (Obtaining object content and metadata) obs:object:PutObject (Uploading objects using PUT method, uploading objects using POST method, copying objects, appending an object, initializing a multipart task, uploading parts, and merging parts) obs:bucket:CreateBucket (Creating a bucket) obs:bucket:ListBucket (Listing objects in a bucket) obs:bucket:ListAllMyBuckets (Obtaining a bucket list)	Crear servicios por lotes y realizar inferencias por lotes.
Servicios de borde	CES	ces:metricData:list: (Obtaining metric data)	Consultar las métricas de monitoreo.
Servicios de borde	IEF	ief:deployment:delete (Deleting a deployment)	Gestionar servicios perimetrales.

**Tabla 8** Gestión de conjuntos de datos
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Gestión de conjuntos de datos y etiquetas	OBS	obs:bucket:ListBucket (Listing objects in a bucket) obs:object:GetObject (Obtaining object content and metadata) obs:object:PutObject (Uploading objects using PUT method, uploading objects using POST method, copying objects, appending an object, initializing a multipart task, uploading parts, and merging parts) obs:object:DeleteObject (Deleting an object or batch deleting objects) obs:bucket:HeadBucket (Obtaining bucket metadata) obs:bucket:GetBucketAcl (Obtaining a bucket ACL) obs:bucket:PutBucketAcl (Configuring a bucket ACL) obs:bucket:GetBucketPolicy (Obtaining a bucket policy) obs:bucket:PutBucketPolicy (Configuring a bucket policy) obs:bucket:DeleteBucketPolicy (Deleting a bucket policy) obs:bucket:PutBucketCORS (Configuring or deleting CORS rules of a bucket) obs:bucket:GetBucketCORS (Obtaining the CORS rules of a bucket) obs:object:PutObjectAcl (Configuring an object ACL)	Gestionar datasets en OBS. Etiquetar datos de OBS. Crear un trabajo de gestión de datos.
Gestión de conjuntos de datos de tablas	DLI	dli:database:displayAllDatabases dli:database:displayAllTables dli:table:describe_table	Gestión de datos de DLI en un conjunto de datos.
Gestión de conjuntos de datos de tablas	DWS	dws:openAPICluster:list dws:openAPICluster:getDetail	Gestionar datos de DWS en un conjunto de datos.
Gestión de conjuntos de datos de tablas	MRS	mrs:job:submit mrs:job:list mrs:cluster:list mrs:cluster:get	Gestionar datos de MRS en un conjunto de datos.
Etiquetado automático	ModelArts	modelarts:service:list modelarts:model:list modelarts:model:get modelarts:model:create modelarts:trainJobInnerModel:list modelarts:workspace:get modelarts:workspace:list	Habilitar etiquetado automático.
Etiquetado en equipo	IAM	iam:projects:listProjects (Obtaining tenant projects) iam:users:listUsers (Obtaining users) iam:agencies:createAgency (Creating an agency) iam:quotas:listQuotasForProject (Obtaining the quotas of a project)	Gestionar equipos de etiquetado.

**Tabla 9** Gestión de recursos
Escenario de aplicación	Servicio dependiente	Política dependiente	Función admitida
Gestión de grupos de recursos	BSS	bss:coupon:view bss:order:view bss:balance:view bss:discount:view bss:renewal:view bss:bill:view bss:contract:update bss:order:pay bss:unsubscribe:update bss:renewal:update bss:order:update	Crear, renovar y cancelar la suscripción de un grupo de recursos. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de grupos de recursos	ECS	ecs:availabilityZones:list	Mostrar las AZ. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de red	VPC	vpc:routes:create vpc:routes:list vpc:routes:get vpc:routes:delete vpc:peerings:create vpc:peerings:accept vpc:peerings:get vpc:peerings:delete vpc:routeTables:update vpc:routeTables:get vpc:routeTables:list vpc:vpcs:create vpc:vpcs:list vpc:vpcs:get vpc:vpcs:delete vpc:subnets:create vpc:subnets:get vpc:subnets:delete vpcep:endpoints:list vpcep:endpoints:create vpcep:endpoints:delete vpcep:endpoints:get vpc:ports:create vpc:ports:get vpc:ports:update vpc:ports:delete vpc:networks:create vpc:networks:get vpc:networks:update vpc:networks:delete	Crear y eliminar redes de ModelArts e interconectar las VPC. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de red	SFS Turbo	sfsturbo:shares:addShareNic sfsturbo:shares:deleteShareNic sfsturbo:shares:showShareNic sfsturbo:shares:listShareNics	Interconecte su red con SFS Turbo. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Grupo de recursos de borde	IEF	ief:node:list ief:group:get ief:application:list ief:application:get ief:node:listNodeCert ief:node:get ief:IEFInstance:get ief:deployment:list ief:group:listGroupInstanceState ief:IEFInstance:list ief:deployment:get ief:group:list	Agregar, eliminar, modificar y buscar grupos de borde

Autorización de delegación

Para simplificar las operaciones cuando se utiliza ModelArts para ejecutar trabajos, ciertas operaciones se realizan automáticamente en el backend ModelArts. Por ejemplo, descargar los conjuntos de datos de un bucket de OBS a un espacio de trabajo antes de iniciar un trabajo de entrenamiento y volcar los logs del trabajo de entrenamiento al bucket de OBS.

ModelArts no guarda sus credenciales de autenticación de token. Antes de realizar operaciones en sus recursos (como buckets de OBS) en un trabajo asincrono de backend, debe autorizar explícitamente ModelArts con una delegación de IAM. ModelArts utilizará la delegación para obtener una credencial de autenticación temporal para realizar operaciones con sus recursos. Para obtener más detalles, consulte Agregación de autorización.

Figura 1 Autorización de delegación

Como se muestra en Figura 1, una vez configurada la autorización en ModelArts, ModelArts utiliza la credencial temporal para acceder a sus recursos y utilizarlos, liberándole de algunas operaciones complejas y lentas. La credencial de la delegación también se sincronizará con sus trabajos (incluidas las instancias de notebook y los trabajos de entrenamiento). Puede utilizar la credencial de la delegación para acceder a sus recursos en los trabajos.

Puede utilizar cualquiera de los siguientes métodos para autorizar ModelArts utilizando una delegación:

Autorización con un clic

ModelArts proporciona la autorización automática con un solo clic. En la página Global Configuration de ModelArts puede configurar rápidamente la autorización de la delegación. A continuación, ModelArts creará automáticamente una delegación para usted y la configurará en ModelArts.

En este modo, el ámbito de autorización se especifica en función de las políticas del sistema preestablecidas de los servicios dependientes para garantizar permisos suficientes para utilizar los servicios. La delegación creada cuenta con casi todos los permisos de los servicios dependientes. Si desea controlar con precisión el alcance de los permisos concedidos a una delegación, utilice el segundo método.

Autorización personalizada

The administrator creates different agency authorization policies for different users in IAM, and configures the created agency for ModelArts users. Cuando se crea una agencia para un usuario de IAM, el administrador especifica los permisos mínimos para la delegación basándose en los permisos del usuario para controlar los recursos a los que el usuario puede acceder cuando utiliza ModelArts. Para obtener más información, consulte Asignación de permisos básicos para utilizar ModelArts.

Riesgos de las operaciones no autorizadas

La autorización de delegación de un usuario es independiente. En teoría, el alcance de autorización de delegación de un usuario puede exceder el alcance de autorización de la política de autorización configurada para el grupo de usuarios. Cualquier configuración incorrecta dará lugar a operaciones no autorizadas.

Para evitar operaciones no autorizadas, solo un administrador de tenant puede configurar agencias para usuarios en la configuración global de ModelArts para garantizar la seguridad de la autorización de agencias.

Autorización mínima de delegación

Al configurar la autorización de la delegación, el administrador debe controlar estrictamente el alcance de la autorización.

ModelArts realiza de forma asincrona y automática operaciones como la preparación y la limpieza de trabajos. La autorización requerida de la agencia está dentro del ámbito de la autorización básica. Si utiliza solo algunas funciones de ModelArts, el administrador puede filtrar los permisos básicos que no se utilizan de acuerdo con la configuración de autorización de la delegación. Por el contrario, si necesita obtener permisos de recursos más allá del ámbito de autorización básico en un trabajo, el administrador puede agregar nuevos permisos a la configuración de autorización de la agencia. En una palabra, el alcance de la autorización de agencias debe minimizarse y personalizarse según los requerimientos del servicio.

Ámbito básico de la autorización de delegación

Para personalizar el permiso para una delegación, seleccione los permisos en función de sus requisitos de servicio.

**Tabla 10** Autorización básica de delegación para un entorno de desarrollo
Escenario de aplicación	Servicio dependiente	Autorización de delegación	Descripción	Sugerencia de configuración
JupyterLab	OBS	obs:object:DeleteObject obs:object:GetObject obs:object:GetObjectVersion obs:bucket:CreateBucket obs:bucket:ListBucket obs:bucket:ListAllMyBuckets obs:object:PutObject obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:PutBucketCORS	Utilice OBS para cargar y descargar datos en JupyterLab con notebook de ModelArts.	Recomendado
Monitoreo del entorno de desarrollo	AOM	aom:alarm:put	Invoque a la API de AOM para obtener datos de monitoreo y eventos de instancias de notebook y mostrarlos en el notebook de ModelArts.	Recomendado

**Tabla 11** Autorización básica de delegación para trabajos de entrenamiento
Escenario de aplicación	Servicio dependiente	Autorización de delegación	Descripción
Trabajos de entrenamiento	OBS	obs:bucket:ListBucket obs:object:GetObject obs:object:PutObject	Descargue datos, modelos y código antes de comenzar un trabajo de entrenamiento. Cargue logs y modelos cuando se ejecute un trabajo de entrenamiento.

**Tabla 12** Autorización básica de delegación para desplegar servicios
Escenario de aplicación	Servicio dependiente	Autorización de delegación	Descripción
Servicios en tiempo real	LTS	lts:groups:create lts:groups:list lts:topics:create lts:topics:delete lts:topics:list	Configure LTS para reportar logs de servicios en tiempo real.
Servicios por lotes	OBS	obs:bucket:ListBucket obs:object:GetObject obs:object:PutObject	Ejecutar un servicio por lotes.
Servicios de borde	IEF	ief:deployment:list ief:deployment:create ief:deployment:update ief:deployment:delete ief:node:createNodeCert ief:iefInstance:list ief:node:list	Despliegue un servicio de borde con IEF.

**Tabla 13** Autorización básica de delegación para gestionar datos
Escenario de aplicación	Servicio dependiente	Autorización de delegación	Descripción
Conjunto de datos y etiquetado de datos	OBS	obs:object:GetObject obs:object:PutObject obs:object:DeleteObject obs:object:PutObjectAcl obs:bucket:ListBucket obs:bucket:HeadBucket obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:GetBucketPolicy obs:bucket:PutBucketPolicy obs:bucket:DeleteBucketPolicy obs:bucket:PutBucketCORS obs:bucket:GetBucketCORS	Gestionar conjuntos de datos en un bucket de OBS.
Etiquetado de datos	ModelArts inference	modelarts:service:get modelarts:service:create modelarts:service:update	Realizar el etiquetado automático basado en la inferencia de ModelArts.

**Tabla 14** Autorización básica de delegación para gestionar grupos de recursos dedicados
Escenario de aplicación	Servicio dependiente	Autorización de delegación	Descripción
Gestión de redes (nueva versión)	VPC	vpc:routes:create vpc:routes:list vpc:routes:get vpc:routes:delete vpc:peerings:create vpc:peerings:accept vpc:peerings:get vpc:peerings:delete vpc:routeTables:update vpc:routeTables:get vpc:routeTables:list vpc:vpcs:create vpc:vpcs:list vpc:vpcs:get vpc:vpcs:delete vpc:subnets:create vpc:subnets:get vpc:subnets:delete vpcep:endpoints:list vpcep:endpoints:create vpcep:endpoints:delete vpcep:endpoints:get vpc:ports:create vpc:ports:get vpc:ports:update vpc:ports:delete vpc:networks:create vpc:networks:get vpc:networks:update vpc:networks:delete	Crear y eliminar redes de ModelArts e interconectar las VPC. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de redes (nueva versión)	SFS Turbo	sfsturbo:shares:addShareNic sfsturbo:shares:deleteShareNic sfsturbo:shares:showShareNic sfsturbo:shares:listShareNics	Interconecte su red con SFS Turbo. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de grupos de recursos	BSS	bss:coupon:view bss:order:view bss:balance:view bss:discount:view bss:renewal:view bss:bill:view bss:contract:update bss:order:pay bss:unsubscribe:update bss:renewal:update bss:order:update	Crear, renovar y cancelar la suscripción de un grupo de recursos. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.
Gestión de grupos de recursos	ECS	ecs:availabilityZones:list	Mostrar las AZ. Los permisos dependientes debe configurarse en la vista del proyecto de IAM.