Autenticación de identidad y control de acceso
Autenticación de identidad
Puede utilizar los servicios de ModelArts con la consola, las API o los SDK. Esencialmente, las solicitudes de acceso se envían con las API de REST de ModelArts.
Se puede acceder a las API de ModelArts tras la autenticación exitosa. Las solicitudes enviadas con la consola se pueden autenticar mediante tokens y las solicitudes de invocaciones a las API se pueden autenticar mediante tokens o AK/SK. Consulte Autenticación para obtener más detalles.
Control de acceso
ModelArts le permite configurar permisos de grano fino para una gestión refinada de recursos y permisos. Para ello, ModelArts proporciona control de permisos de IAM, autorización de agencias y espacio de trabajo.
- Control de permisos de IAM
Para utilizar las funciones de ModelArts, debe otorgar permisos con IAM. Por ejemplo, si necesita crear un trabajo de entrenamiento para ModelArts, debe obtener el permiso ModelArts:trainJob:create.
Si no se configura una política de autorización detallada para un usuario creado por el administrador, el usuario tiene todos los permisos de ModelArts por defecto. Para controlar los permisos de usuario, el administrador debe agregar al usuario a un grupo de usuarios en IAM y configurar políticas de autorización detalladas para este grupo. De esta manera, el usuario obtiene los permisos definidos en las políticas antes de realizar operaciones sobre los recursos del servicio en la nube. Durante la autorización basada en políticas, el administrador puede seleccionar el ámbito de autorización en función de los tipos de recursos de ModelArts. Para obtener más detalles sobre los permisos de recurso, consulte Políticas de permisos y acciones admitidas.
- Autorización de delegación
ModelArts necesita acceder a otros servicios para la computación de IA. Por ejemplo, ModelArts debe acceder a OBS para leer los datos para el entrenamiento. Por razones de seguridad, ModelArts debe estar autorizado para acceder a otros servicios en la nube. Esta es la autorización de la delegación.
ModelArts no guarda sus credenciales de autenticación de token. Antes de realizar operaciones en sus recursos (como buckets de OBS) en un trabajo de backend, es necesario que autorice explícitamente a ModelArts con una delegación de IAM. ModelArts utilizará la delegación para obtener una credencial de autenticación temporal para realizar operaciones con sus recursos. Para obtener más detalles, consulte Configuración de la autorización de acceso (Configuración global).
- Espacio de trabajo
Espacio de trabajo permite a los clientes que han habilitado los proyectos empresariales a dividir sus recursos en múltiples espacios aislados lógicamente y controlar el acceso a diferentes espacios.
Una vez que se habilita el espacio de trabajo, se crea un espacio de trabajo predeterminado. Todos los recursos que ha creado se encuentran en este espacio de trabajo. Un espacio de trabajo es como un gemelo de ModelArts. Puede pasar de un espacio de trabajo a otro en la esquina superior izquierda del panel de navegación. Los trabajos en diferentes espacios de trabajo no se afectan entre sí. ModelArts le permite crear múltiples espacios de trabajo para desarrollar algoritmos y gestionar y desplegar modelos para diferentes objetivos de servicio. De este modo, los resultados del desarrollo de las distintas aplicaciones se gestionan en diferentes espacios de trabajo para su uso.
Gestión de acceso remoto
Cuando utiliza un IDE local para acceder remotamente al entorno de desarrollo de notebook de ModelArts con SSH, se requiere el par de claves para la autenticación. También puede agregar a la lista blanca las direcciones IP para acceder de forma remota a la instancia de notebook.
