Gestión de permisos
ModelArts le permite configurar permisos de grano fino para una gestión refinada de recursos y permisos. Esto lo utilizan habitualmente las grandes empresas, pero es complejo para los usuarios individuales. Se recomienda que los usuarios individuales configuren los permisos para utilizar ModelArts según Asignación de permisos a los usuarios individuales para usar ModelArts.
Si cumple alguna de las siguientes condiciones, lea este documento.
- Usted es un usuario empresarial y
- En su empresa hay varios departamentos y necesita controlar los permisos de los usuarios para que los usuarios de los distintos departamentos sólo puedan acceder a los recursos y funciones que les corresponden.
- Existen múltiples roles en su empresa, incluidos administradores, desarrolladores de algoritmos e ingenieros de O&M de aplicaciones. Solo es necesario que utilicen las funciones específicas.
- Lógicamente, existen varios entornos aislados, como el entorno de desarrollo, el entorno de preproducción y el entorno de producción. Es necesario controlar los permisos de los usuarios en diferentes entornos.
- Es necesario controlar los permisos de usuarios o grupos de usuarios específicos de IAM.
- Usted es un usuario individual y ha creado varios usuarios de IAM. Debe asignar los permisos diferentes de ModelArts a diferentes usuarios de IAM.
- Debe comprender los conceptos y operaciones de la gestión de permisos de ModelArts.
ModelArts utiliza Identity and Access Management (IAM) para la mayoría de los permisos de las funciones de gestión. Antes de leer a continuación, conozca los Conceptos básicos. Esto le ayudará a comprender mejor este documento.
Para implementar una gestión de permisos detallada, ModelArts proporciona control de permisos, autorización de agencias y espacio de trabajo. A continuación se describen los detalles.
Permisos y delegaciones de ModelArts
Las funciones expuestas de ModelArts se controlan mediante permisos de IAM. Por ejemplo, si usted, como usuario de IAM, necesita crear un trabajo de entrenamiento en ModelArts, debe tener el permiso ModelArts:trainJob:create. Para obtener detalles sobre cómo asignar permisos a un usuario (necesita agregar el usuario a un grupo de usuarios y luego asignar los permisos a este grupo), consulte Gestión de permisos.
ModelArts debe acceder a otros servicios para el cómputo de IA. Por ejemplo, ModelArts debe acceder al OBS para leer los datos para el entrenamiento. Por razones de seguridad, ModelArts debe estar autorizado para acceder a otros servicios en la nube. Esta es la autorización de la delegación.
A continuación se presenta un resumen de la gestión de permisos:
- El acceso a cualquier servicio en la nube se controla con IAM. Debe tener los permisos del servicio en la nube. (Los permisos de servicios requeridos varían según las funciones que utilice)
- Para utilizar las funciones de ModelArts, debe otorgar permisos con IAM.
- ModelArts debe estar autorizado por usted para acceder a otros servicios en la nube para el cómputo de IA.
Gestión de permisos de ModelArts
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Es necesario agregar el usuario a un grupo de usuarios y otorgar políticas al grupo de usuarios, de modo que los usuarios del grupo puedan heredar los permisos. Después de la autorización, los usuarios pueden realizar operaciones de ModelArts basadas en permisos.
ModelArts es un servicio a nivel de proyecto desplegado y al que se accede en regiones físicas específicas. Cuando autoriza una delegación, puede establecer el alcance de los permisos seleccionados para todos los recursos, proyectos empresariales o proyectos específicos de la región. Si especifica proyectos específicos para cada región, los permisos seleccionados se aplicarán a los recursos de estos proyectos.
Para obtener más detalles, consulte Creación de un grupo de usuarios y asignación de permisos.
Al asignar permisos a un grupo de usuarios, IAM no asigna directamente los permisos específicos al grupo de usuarios. En su lugar, IAM debe agregar los permisos a una política y luego asignar la política al grupo de usuarios. Para facilitar la gestión de los permisos de usuarios, cada servicio en la nube ofrece algunas políticas preestablecidas para que usted las utilice directamente. Si las políticas preestablecidas no pueden satisfacer sus requisitos de gestión de permisos de grano fino, puede personalizar las políticas.
Política |
Descripción |
Tipo |
---|---|---|
ModelArts FullAccess |
Administrator permissions for ModelArts. Los usuarios a los que se les conceden estos permisos pueden operar y usar ModelArts. |
Política definida por el sistema |
ModelArts CommonOperations |
Permisos de usuario comunes para ModelArts. Los usuarios a los que se conceden estos permisos pueden operar y usar ModelArts pero no pueden gestionar grupos de recursos dedicados. |
Política definida por el sistema |
ModelArts Dependency Access |
Permisos en los servicios dependientes para ModelArts |
Política definida por el sistema |
Por lo general, ModelArts FullAccess solo se asigna a los administradores. Si no se requiere una gestión detallada, asignar ModelArts CommonOperations a todos los usuarios cumplirá con los requisitos de desarrollo de la mayoría de los equipos pequeños. Si desea personalizar políticas para una gestión detallada, consulte IAM.
Cuando se asigna permisos de ModelArts a un usuario, el sistema no asigna automáticamente los permisos de otros servicios al usuario. Esto garantiza la seguridad y evita las operaciones no autorizadas inesperadas. En este caso, sin embargo, debe asignar por separado permisos de diferentes servicios a los usuarios para que puedan realizar algunas operaciones de ModelArts.
Por ejemplo, si un usuario de IAM necesita utilizar datos de OBS para entrenamiento y el permiso de entrenamiento de ModelArts ha sido configurado para el usuario de IAM, el usuario de IAM aún necesita ser asignado con los permisos de OBS de lectura, escritura y lista. El permiso de lista de OBS permite seleccionar la ruta de datos de entrenamiento en ModelArts. El permiso de lectura se utiliza para obtener una vista previa de los datos y leer datos para el entrenamiento. El permiso de escritura se utiliza para guardar los resultados y logs del entrenamiento.
- Para usuarios individuales o pequeñas organizaciones, es una buena práctica configurar la política Tenant Administrator que se aplica a los servicios globales para usuarios de IAM. De esta manera, los usuarios de IAM pueden obtener todos los permisos de usuario excepto IAM. Sin embargo, esto puede causar problemas de seguridad. (Para un usuario individual, su usuario de IAM predeterminado pertenece al grupo de usuarios admin y tiene el permiso Tenant Administrator.)
- Si desea restringir las operaciones de usuarios, configure los permisos mínimos de OBS para los usuarios de ModelArts. Para obtener más detalles, consulte Gestión de permisos de OBS. Para obtener más información sobre la gestión de permisos detallados de otros servicios en la nube, consulte los documentos de los servicios en la nube correspondientes.
Autorización de delegación de ModelArts
ModelArts debe estar autorizado por los usuarios para acceder a otros servicios en la nube para el cómputo de IA. En el sistema de permisos de IAM, dicha autorización se realiza con delegaciones.
Para obtener más información sobre los conceptos básicos y las operaciones de delegaciones, consulte Delegación de servicios en la nube.
Para simplificar la autorización de delegaciones, ModelArts admite la configuración automática de autorizaciones de delegaciones. Solo necesita configurar una delegación para usted o para los usuarios especificados en la página Global Configuration de la consola de ModelArts.
- Solo los usuarios con permiso de gestión de agencias de IAM pueden realizar esta operación. Por lo general, los miembros del grupo de usuarios admin de IAM tienen este permiso.
- La autorización de delegación de ModelArts es específica de cada región, lo que significa que debe realizar la autorización de delegación en cada región que utilice.
En la página Global Configuration de la consola de ModelArts, después de hacer clic en Add Authorization, puede configurar una delegación para un usuario específico o para todos los usuarios. Por lo general, se crea una delegación denominada modelarts_agency_<Username>_Random ID de forma predeterminada. En el área Permissions, puede seleccionar la configuración de permisos preestablecida o seleccionar las políticas necesarias. Si ambas opciones no satisfacen sus requisitos, puede crear una delegación en la página de gestión de IAM (necesita delegar ModelArts para acceder a sus recursos) y luego usar una delegación existente en lugar de agregar una delegación en la página Add Authorization.
ModelArts asocia varios usuarios con una delegación. Esto significa que si dos usuarios necesitan configurar la misma delegación, no es necesario crear una delegación para cada usuario. En su lugar, solo necesita configurar la misma delegación para los dos usuarios.
Cada usuario puede utilizar ModelArts solo después de asociarse con una delegación. Sin embargo, aunque los permisos asignados a la delegación sean insuficientes, no se reporta ningún error cuando se invoca a la API. Solo se produce un error cuando el sistema utiliza funciones no autorizadas. Por ejemplo, puede activar la notificación de mensajes al crear un trabajo de entrenamiento. La notificación de mensajes requiere autorización de SMN. Sin embargo, solo se produce un error cuando es necesario enviar mensajes para el trabajo de entrenamiento. El sistema ignora algunos errores y otros pueden causar fallas en el trabajo. Cuando implemente la minimización de permisos, asegúrese de que aún tendrá suficientes permisos para las operaciones requeridas en ModelArts.
Autorización estricta
En el modo de autorización estricta, se requiere la autorización explícita por el administrador de la cuenta para que los usuarios de IAM puedan acceder a ModelArts. El administrador puede agregar los permisos de ModelArts requeridos a los usuarios comunes mediante las políticas de autorización.
En el modo de autorización no estricta, los usuarios de IAM pueden usar ModelArts sin autorización explícita. El administrador necesita configurar la política de denegación para usuarios de IAM para evitar que utilicen algunas funciones de ModelArts.
El administrador puede cambiar el modo de autorización en la página Global Configuration.
Se recomienda el modo de autorización estricta. En este modo, los usuarios de IAM deben estar autorizados a utilizar funciones de ModelArts. De este modo, se puede controlar con precisión el alcance de los permisos de los usuarios de IAM, minimizando los permisos concedidos a los usuarios de IAM.
Gestión del acceso a los recursos con espacios de trabajo
El espacio de trabajo permite a los clientes empresariales dividir sus recursos en varios espacios lógicamente aislados y gestionar el acceso a los distintos espacios. Como usuario de empresa, puede enviar la solicitud de habilitación de la función de espacio de trabajo a su responsable de asistencia técnica.
Una vez que se habilita el espacio de trabajo, se crea un espacio de trabajo predeterminado. Todos los recursos que ha creado se encuentran en este espacio de trabajo. Un espacio de trabajo es como un gemelo de ModelArts. Puede cambiar de un espacio de trabajo a otro en la esquina superior izquierda de la consola de ModelArts. Los trabajos en espacios de trabajo diferentes no se afectan entre sí.
Al crear un espacio de trabajo, debe vincularlo a un proyecto empresarial. Pueden vincularse múltiples espacios de trabajo a un mismo proyecto empresarial, pero no puede vincularse un espacio de trabajo a varios proyectos empresariales. Puede utilizar espacios de trabajo para refinar las restricciones de acceso a los recursos y los permisos de los distintos usuarios. Las restricciones son las siguientes:
- Los usuarios deben estar autorizados para acceder a espacios de trabajo específicos (esto debe configurarse en las páginas de creación y gestión de espacios de trabajo). Esto significa que el acceso a activos de IA, como conjuntos de datos y algoritmos, puede gestionarse mediante espacios de trabajo.
- En las operaciones de autorización de permisos anteriores, si establece el ámbito en proyectos de empresa, la autorización solo tendrá efecto para los espacios de trabajo vinculados a los proyectos seleccionados.
- Las restricciones sobre los espacios de trabajo y la autorización de permisos surten efecto al mismo tiempo. Es decir, un usuario debe tener los permisos para acceder al espacio de trabajo y para crear trabajos de entrenamiento (el permiso se aplica a este espacio de trabajo) para que el usuario pueda enviar trabajos de entrenamiento en este espacio de trabajo.
- Si ha habilitado un proyecto de empresa pero no ha habilitado un espacio de trabajo, todas las operaciones se realizarán en el proyecto de empresa predeterminado. Asegúrese de que los permisos de las operaciones requeridas se aplican al proyecto de empresa por defecto.
- Las restricciones anteriores no se aplican a los usuarios que no hayan habilitado ningún proyecto de empresa.
Resumen
Características principales de la gestión de permisos de ModelArts:
- Si usted es un usuario individual, no es necesario que considere la gestión detallada de permisos. Su cuenta tiene todos los permisos para utilizar ModelArts de forma predeterminada.
- IAM controla todas las funciones de ModelArts. Puede utilizar la autorización de IAM para implementar una gestión detallada de permisos para los usuarios específicos.
- Todos los usuarios (incluidos los usuarios individuales) pueden usar funciones específicas solo después de la autorización de la delegación en ModelArts (Settings > Add Authorization). De lo contrario, pueden producirse errores inesperados.
- Si ha habilitado la función de proyecto empresarial, también puede habilitar el espacio de trabajo de ModelArts y utilizar tanto la autorización básica como el espacio de trabajo para una gestión de permisos refinada.