Concesión de permisos de acceso a la carpeta SFS Turbo a usuarios de IAM
Escenarios
Otorgue permisos de acceso a las carpetas de SFS Turbo específicas a usuarios de IAM.
Restricciones
- Asegúrese de haber habilitado una autorización estricta. Inicie sesión en la consola de ModelArts y seleccione Settings en el panel de navegación de la izquierda. En la página Global Configuration, haga clic en Enable strict authorization.
- Si no se ha otorgado los permisos de ModelArts a los usuarios de IAM, es posible que los usuarios no puedan utilizar ModelArts una vez activada la autorización estricta. Otorgue el permiso a los usuarios de IAM consultando Asignación de permisos a usuarios individuales para usar ModelArts.
Procedimiento
- Inicie sesión en la consola de gestión con la cuenta principal, coloque el cursor sobre su nombre de usuario en la esquina superior derecha y seleccione Identity and Access Management en la lista desplegable para pasar a la consola de gestión de IAM.
- En la consola de IAM, seleccione Permissions > Policies/Roles en el panel de navegación de la izquierda, haga clic en Create Custom Policy en la esquina superior derecha y configure la política de la siguiente manera:
- Policy Name: introduzca un nombre de política, por ejemplo, ma_sfs_turbo.
- Policy View: seleccione JSON.
- Policy Content: Introduzca la siguiente información:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "<modelarts_action>" ], "Condition": { "StringEquals": { "modelarts:sfsId": [ "<your_ssf_id>" ], "modelarts:sfsPath": [ "<sfs_path>" ], "modelarts:sfsOption": [ "<sfs_option>" ] } } } ] }
Sustituya <modelarts_action>, <your_ssf_id>, <sfs_path> y <sfs_option> con los parámetros reales que necesite. La tabla siguiente describe los parámetros.
Tabla 1 Descripción del parámetro Parámetro
Descripción
Action
Escenario en el que se otorga el permiso de acceso a la carpeta de SFS Turbo.
- modelarts:trainJob:create: El permiso se concede durante la creación de la instancia del entorno de desarrollo.
- modelarts:notebook:create: el permiso se concede durante la creación del trabajo de entrenamiento.
Se soportan múltiples acciones. A continuación se muestra un ejemplo:
"Action": [ "modelarts:trainJob:create", "modelarts:notebook:create" ],
modelarts:sfsId
ID de SFS Turbo, que puede obtenerse en la página de detalles de SFS Turbo. Puede introducir varios ID. A continuación se muestra un ejemplo:
"modelarts:sfsId": [ "0e51c7d5-d90e-475a-b5d0-ecf896da3b0d", "2a70da1e-ea87-4ee4-ae1e-55df846e7f41" ],
modelarts:sfsPath
Ruta de la carpeta de SFS Turbo cuyos permisos deben configurarse. Puede introducir varias rutas. A continuación se muestra un ejemplo:
"modelarts:sfsPath": [ "/path1", "/path2/path2-1" ],
Si existen varios ID de SFS, las rutas de SFS se aplicarán a todos los ID de SFS. Como se muestra en el siguiente ejemplo, se configura el permiso para acceder a /path1 y /path2/path2-1 de ambos 0e51c7d5-d90e-475a-b5d0-ecf896da3b0d y 2a70da1e-ea87-4ee4-ae1e-55df846e7f41.
"modelarts:sfsId": [ "0e51c7d5-d90e-475a-b5d0-ecf896da3b0d", "2a70da1e-ea87-4ee4-ae1e-55df846e7f41" ], "modelarts:sfsPath": [ "/path1", "/path2/path2-1" ],
modelarts:sfsOption
Tipo de permiso de acceso. Se soportan los siguientes parámetros:
- readonly: permiso de solo lectura
- readwrite: permiso de lectura y escritura
Para agregar varias opciones de SFS a una política personalizada, agregue una estructura de JSON a Statement, a continuación se muestra un ejemplo:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "modelarts:notebook:create" ], "Condition": { "StringEquals": { "modelarts:sfsId": [ "0e51c7d5-d90e-475a-b5d0-ecf896da3b0d" ], "modelarts:sfsPath": [ "/path1" ], "modelarts:sfsOption": [ "readonly" ] } } }, { "Effect": "Allow", "Action": [ "modelarts:notebook:create" ], "Condition": { "StringEquals": { "modelarts:sfsId": [ "0e51c7d5-d90e-475a-b5d0-ecf896da3b0d" ], "modelarts:sfsPath": [ "/path2" ], "modelarts:sfsOption": [ "readwrite" ] } } } ] }
- Cree un grupo de usuarios y agregue el usuario a este grupo. Consulte Paso 1 Cree un grupo de usuarios y agregue datos al grupo de usuarios para obtener más detalles.
- Otorgue una política al grupo de usuarios. En la página de lista de grupos de usuarios de IAM, haga clic en Authorize del grupo de usuarios de destino. Aparecerá la página Authorize User Group. Seleccione la política ma_sfs_turbo creada en el Paso 2. Haga clic en Next y luego en OK.
- Agregue el permiso IAM ReadOnlyAccess a una delegación de ModelArts existente.
- En la consola de gestión de ModelArts, seleccione Settings en el panel de navegación de la izquierda. En la página que aparece en pantalla, busque la delegación de destino, seleccione View Permissions en la columna Operation y haga clic en Modify permission in IAM.
- En la consola de IAM, seleccione Agencies en el panel de navegación situado a la izquierda y luego seleccione Permissions > Authorize. Busque IAM ReadOnlyAccess, actívelo y haga clic en Next y OK.
- Verifique que se haya concedido el permiso.
Inicie sesión en ModelArts como usuario IAM, solo se mostrarán las carpetas de SFS Turbo configuradas durante la creación de trabajos de entrenamiento y la creación de notebook.