Asignación separada de permisos a administradores y desarrolladores

Escenarios

Para desarrollar un proyecto con notebook, los administradores necesitan los permisos de control completo para usar grupos de recursos dedicados de ModelArts y los permisos de acceso y de operación en todas las instancias de notebook.

Para usar entornos de desarrollo, los desarrolladores solo necesitan los permisos de operación para usar sus propias instancias y servicios dependientes. No necesitan realizar operaciones en grupos de recursos dedicados de ModelArts ni ver instancias de notebook de otros usuarios.

Figura 1 Relaciones entre las cuentas

Configuración de permisos para un administrador

Asigne permisos de control total a los administradores para utilizar los grupos de recursos dedicados de ModelArts y todas las instancias de notebook. El procedimiento es el siguiente:

1. Utilice una cuenta de tenant para crear un grupo de usuarios de administradores ModelArts_admin_group y agregar cuentas de administrador a ModelArts_admin_group. Para obtener más información, consulte Paso 1 Cree un grupo de usuarios y agregue datos al grupo de usuarios.
2. Cree una política personalizada.
   1. Inicie sesión en la consola de gestión con una cuenta de administrador, coloque el cursor sobre su nombre de usuario en la esquina superior derecha y haga clic en Identity and Access Management en la lista desplegable para pasar a la consola de gestión de IAM.
      Figura 2 Gestión de identidades y accesos
      
   2. Cree la política 1 personalizada y asigne los permisos de IAM y de OBS al usuario. En el panel de navegación de la consola de IAM, seleccione Permissions > Policies/Roles. Haga clic en Create Custom Policy en la esquina superior derecha. En la página mostrada, escriba Policy1_IAM_OBS para Policy Name, seleccione JSON para Policy View, configure el contenido de la política y haga clic en OK.
      La políticas personalizadas Policy1_IAM_OBS es el siguiente, que otorga los permisos de operaciones de IAM y OBS al usuario. Puede copiar y pegar el contenido directamente.

      { 
          "Version": "1.1", 
          "Statement": [ 
              { 
                  "Effect": "Allow", 
                  "Action": [ 
                      "iam:users:listUsers",
                      "iam:projects:listProjects",
                      "obs:object:PutObject",
                      "obs:object:GetObject",
                      "obs:object:GetObjectVersion",
                      "obs:bucket:HeadBucket",
                      "obs:object:DeleteObject",
                      "obs:bucket:CreateBucket",
                      "obs:bucket:ListBucket"
                      ] 
              }
          ] 
      }

   3. Repita 2.b para crear la política 2 personalizada y otorgar al usuario el permiso para realizar operaciones en los servicios dependientes ECS, SWR, MRS y SMN, así como ModelArts. Configure Policy Name en Policy2_AllowOperation y Policy View en JSON, configure el contenido de la política y haga clic en OK.
      La políticas personalizadas Policy2_AllowOperation es el siguiente, que otorga al usuario los permisos para realizar operaciones en servicios dependientes ECS, SWR, MRS y SMN como ModelArts. Puede copiar y pegar el contenido directamente.

      { 
          "Version": "1.1", 
          "Statement": [ 
              { 
                  "Effect": "Allow", 
                  "Action": [ 
                      "ecs:serverKeypairs:list",
                      "ecs:serverKeypairs:get",
                      "ecs:serverKeypairs:delete",
                      "ecs:serverKeypairs:create",
                      "swr:repository:getNamespace",
                      "swr:repository:listNamespaces",
                      "swr:repository:deleteTag",
                      "swr:repository:getRepository",
                      "swr:repository:listTags",
                      "swr:instance:createTempCredential",
                      "mrs:cluster:get",
                      "modelarts:*:*"
                  ] 
              }
          ] 
      }

3. Otorgue la política creada en 2 al grupo de administradores ModelArts_admin_group.
   1. En el panel de navegación de la consola de IAM, seleccione User Groups. En la página User Groups, localice la fila que contiene ModelArts_admin_group; haga clic en Authorize en la columna Operation y seleccione Policy1_IAM_OBS y Policy2_AllowOperation. Haga clic en Next.
   2. Especifique el ámbito como All resources y haga clic en OK.

4. Configure la autorización de acceso a ModelArts basada en agentes para que un administrador permita a ModelArts acceder a los servicios dependientes como OBS.
   1. Inicie sesión en la consola de ModelArts con una cuenta de tenant. En el panel de navegación de la izquierda, seleccione Settings. Se muestra la página Global Configuration.
   2. Haga clic en Add Authorization. En la página Add Authorization, configure Authorized User como IAM user, seleccione una cuenta de administrador para Authorized To, seleccione Add agency y seleccione Common User para Permissions. Los administradores no requieren el control de permisos, por lo que se utiliza la configuración predeterminada Common User.
   3. Seleccione I have read and agree to the ModelArts Service Statement. Haga clic en Create.

5. Pruebe los permisos de administrador.
   1. Inicie sesión en la consola de gestión de ModelArts como administrador. En la página de inicio de sesión, asegúrese de que IAM User Login esté seleccionado.

      Cambie la contraseña según se le indique al iniciar la sesión por primera vez.

   2. En el panel de navegación de la consola de gestión de ModelArts, seleccione Dedicated Resource Pools y haga clic en Create. Se han asignado los permisos al administrador si la consola no muestra el mensaje de permisos insuficientes.

Configuración de permisos para un desarrollador

Utilizar IAM para el control de grano fino de los permisos del desarrollador. El procedimiento es el siguiente:

1. Utilice una cuenta de tenant para crear un grupo de usuarios de desarrolladores user_group y agregar cuentas de desarrolladores a user_group. Para obtener más información, consulte Paso 1 Cree un grupo de usuarios y agregue datos al grupo de usuarios.
2. Cree una política personalizada.
   1. Inicie sesión en la consola de gestión con una cuenta de tenant, coloque el cursor sobre su nombre de usuario en la esquina superior derecha y haga clic en Identity and Access Management en la lista desplegable para pasar a la consola de gestión de IAM.
      Figura 3 Gestión de identidades y accesos
      
   2. Cree la política 3 personalizada para impedir que los usuarios realicen operaciones en los grupos de recursos dedicados de ModelArts y vean las instancias de notebook de otros usuarios.

      En el panel de navegación de la consola de IAM, seleccione Permissions > Policies/Roles. Haga clic en Create Custom Policy en la esquina superior derecha. En la página mostrada, escriba Policy3_DenyOperation para Policy Name, seleccione JSON para Policy View, configure el contenido de la política y haga clic en OK.

      La política personalizada Policy3_DenyOperation es el siguiente. Puede copiar y pegar el contenido.

      { 
          "Version": "1.1", 
          "Statement": [ 
             	{
                  "Effect": "deny", 
                  "Action": [
                      "modelarts:pool:create",
                      "modelarts:pool:update",
                      "modelarts:pool:delete",
      		"modelarts:notebook:listAllNotebooks"
                  ]			
      		}
          ] 
      }

3. Otorgue la política personalizada al grupo de usuarios del desarrollador user_group.
   1. En el panel de navegación de la consola de IAM, seleccione User Groups. En la página User Groups, localice la fila que contiene user_group y haga clic en Authorize en la columna Operation y seleccione Policy1_IAM_OBS, Policy2_AllowOperation y Policy3_DenyOperation. Haga clic en Next.
   2. Especifique el ámbito como All resources y haga clic en OK.

4. Configure la autorización de acceso a ModelArts basada en agentes para que un desarrollador permita a ModelArts acceder a servicios dependientes como OBS.
   1. Inicie sesión en la consola de ModelArts con una cuenta de tenant. En el panel de navegación de la izquierda, seleccione Settings. Se muestra la página Global Configuration.
   2. Haga clic en Add Authorization. En la página Add Authorization, establezca Authorized User como IAM user, seleccione una cuenta de desarrollador para Authorized To, agregue una delegación ma_agency_develop_user, establezca Permissions como Custom y seleccione OBS Administrator. Los desarrolladores solo necesitan la autorización de OBS para permitirles acceder a OBS cuando utilizan notebook.
   3. Haga clic en Create.
   4. En la página Global Configuration, vuelva a hacer clic en Add Authorization. En la página Add Authorization que aparece en pantalla, configure una delegación para otros usuarios de desarrolladores.

      En la página Add Authorization, establezca Authorized User en IAM user y seleccione una cuenta de desarrollador para Authorized To y seleccione la delegación existente ma_agency_develop_user creada anteriormente.

5. Pruebe los permisos de desarrollador.
   1. Inicie sesión en la consola de gestión de ModelArts como usuario de IAM en user_group. En la página de inicio de sesión, asegúrese de que IAM User Login esté seleccionado.

      Cambie la contraseña según se le indique al iniciar la sesión por primera vez.

   2. En el panel de navegación de la consola de gestión de ModelArts, seleccione Dedicated Resource Pools y haga clic en Create. Se han asignado los permisos al desarrollador si la consola no muestra el mensaje de permisos insuficientes.