Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ ModelArts/ Prácticas recomendadas/ Gestión de permisos/ Prácticas de configuración en escenarios típicos/ Prohibición de que un usuario utilice un grupo de recursos público

Actualización más reciente 2024-09-20 GMT+08:00

Ver PDF

Prohibición de que un usuario utilice un grupo de recursos público

Esta sección describe cómo controlar los permisos de ModelArts de un usuario para que no se le permita usar un grupo de recursos público para crear trabajos de entrenamiento, crear instancias de notebook o desplegar servicios de inferencia.

Contexto

Mediante el control de permisos, se puede prohibir a los usuarios del grupo de recursos dedicado de ModelArts que utilicen un grupo de recursos público para crear trabajos de entrenamiento, crear instancias de notebook o desplegar servicios de inferencia.

Para controlar los permisos, configure los siguientes elementos de políticas de permisos:

modelarts:notebook:create: permite crear una instancia de notebook.
modelarts:trainJob:create: permite crear un trabajo de entrenamiento.
modelarts:service:create: permite crear un servicio de inferencia.

Procedimiento

Inicie sesión en la consola de gestión como usuario tenant, coloque el cursor sobre su nombre de usuario en la esquina superior derecha y elija Identity and Access Management en la lista desplegable para cambiar a la consola de gestión de IAM.
En el panel de navegación, seleccione Permissions > Policies/Roles. En la página Policies/Roles, haga clic en Create Custom Policy en la esquina superior derecha, configure los parámetros y haga clic en OK.
- Policy Name: configure el nombre de la política.
- Policy View: seleccione Visual editor o JSON.
- Policy Content: seleccione Deny. En Select service, busque ModelArts y selecciónelo. En ReadWrite bajo Actions, busque modelarts:trainJob:create, modelarts:notebook:create y modelarts:service:create y selecciónelos. All: conserva la configuración predeterminada. En Add request condition, haga clic en Add Request Condition. En el cuadro de diálogo que aparece en pantalla, configure Condition Key a modelarts:poolType, Operator a StringEquals y Value to public.
  El contenido de la política en la vista de JSON es el siguiente:
```
{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "modelarts:trainJob:create",
                "modelarts:notebook:create",
                "modelarts:service:create"
            ],
            "Condition": {
                "StringEquals": {
                    "modelarts:poolType": [
                        "public"
                    ]
                }
            }
        }
    ]
}
```
En el panel de navegación, seleccione User Groups. En la página User Groups, localice la fila que contiene el grupo de usuarios de destino y haga clic en Authorize en la columna Operation. En la página Authorize User Group, seleccione la política personalizada creada en 2 y haga clic en Next. A continuación, seleccione el ámbito y haga clic en OK.
Después de la configuración, todos los usuarios del grupo de usuarios tienen permiso para ver todas las instancias de notebook creadas por los usuarios del grupo de usuarios.

Si no hay ningún grupo de usuarios disponible, cree uno, agregue usuarios a él con la gestión de grupos de usuarios y configure la autorización para el grupo de usuarios. Si el usuario objetivo no pertenece a un grupo de usuarios, agréguelo a un grupo de usuarios con la gestión de grupos de usuarios.
Agregue la política a la autorización de delegación del usuario. Esto evita que el usuario rompa el alcance del permiso con un token en el plano de tenant.
En el panel de navegación, elija Agencies. Localice la delegación utilizada por el grupo de usuarios de ModelArts y haga clic en Modify en la columna Operation. En la ficha Permissions, haga clic en Authorize, seleccione la política personalizada creada y haga clic en Next. Seleccione el ámbito de autorización y haga clic en OK.

Verificación

Inicie sesión en la consola de ModelArts como usuario de IAM, seleccione Training Management > Training Jobs y haga clic en Create Training Job. En la página para crear un trabajo de entrenamiento, solo se puede seleccionar un grupo de recursos dedicado para Resource Pool.

Inicie sesión en la consola de ModelArts como usuario de IAM, seleccione DevEnviron > Notebook y haga clic en Create. En la página para crear una instancia de notebook, solo se puede seleccionar un grupo de recursos dedicado para Resource Pool.

Inicie sesión en la consola de ModelArts como usuario de IAM, seleccione Service Deployment > Real-Time Services y haga clic en Deploy. En la página de despliegue de servicio, solo se puede seleccionar un grupo de recursos dedicado para Resource Pool.

Tema principal: Prácticas de configuración en escenarios típicos

Tema anterior: Inicio de sesión en un contenedor de entrenamiento con Cloud Shell

Tema siguiente: Concesión de permisos de acceso a la carpeta SFS Turbo a usuarios de IAM