Configuração da autorização de acesso (configuração global)
Cenários
As funções expostas do ModelArts são controladas por meio de permissões do IAM. Por exemplo, se você, como usuário do IAM, precisa criar um trabalho de treinamento no ModelArts, deve ter a permissão modelarts:trainJob:create.
O ModelArts deve acessar outros serviços para computação de IA. Por exemplo, o ModelArts deve acessar o OBS para ler seus dados para treinamento. Para fins de segurança, o ModelArts deve estar autorizada a acessar outros serviços em nuvem. Esta é a autorização da agência.
O ModelArts fornece autorização automática com um clique. Você pode configurar rapidamente a autorização da agência na página Global Configuration do ModelArts. Em seguida, o ModelArts criará automaticamente uma agência para você e a configurará no ModelArts.
Nesse modo, o escopo de autorização é especificado com base nas políticas de sistema predefinidas de serviços dependentes para garantir permissões suficientes para o uso de serviços. A agência criada tem quase todas as permissões de serviços dependentes. Se você quiser controlar com precisão o escopo das permissões concedidas a uma agência, use a autorização personalizada. Para saber mais sobre gerenciamento de permissões, consulte Gerenciamento de permissões.
Esta seção apresenta a autorização automática de um clique. Esse modo permite que você conceda permissões a usuários do IAM, usuários federados (usuários virtuais do IAM), agências e todos os usuários com um clique.
Restrições
- Conta da Huawei Cloud
- Somente uma conta da Huawei Cloud pode usar uma agência para autorizar a conta atual ou todos os usuários do IAM sob a conta atual.
- Vários usuários ou contas do IAM podem usar a mesma agência.
- Um máximo de 50 agências podem ser criadas em uma conta.
- Se você usa o ModelArts pela primeira vez, adicione uma agência. Geralmente, permissões de usuário comuns são suficientes para suas necessidades. Se o gerenciamento de permissões refinado for necessário, você poderá solicitar permissões personalizadas.
- Usuário do IAM
- Se você tiver obtido a autorização, poderá exibir as informações de autorização na página Global Configuration.
- Se você não tiver sido autorizado, o ModelArts exibirá uma mensagem indicando que você não foi autorizado ao acessar a página Add Authorization. Nesse caso, entre em contato com o seu administrador para adicionar autorização.
Adicionar autorização
- Faça logon no console de gerenciamento do ModelArts. No painel de navegação à esquerda, escolha Settings. A página Global Configuration é exibida.
- Clique em Add Authorization. Na página Add Authorization exibida, configure os parâmetros.
Tabela 1 Parâmetros Parâmetro
Descrição
Authorized User
Opções: IAM user, Federated user, Agency e All users
- IAM user: você pode usar a sua conta de locatário para criar usuários do IAM e atribuir permissões para recursos específicos. Cada usuário do IAM tem suas próprias credenciais de identidade (senhas ou chaves de acesso) e usa recursos em nuvem relativos às permissões atribuídas. Para obter detalhes sobre usuários do IAM, consulte Usuário do IAM.
- Federated user: um usuário federado também é chamado de usuário empresarial virtual. Para obter detalhes sobre usuários federados, consulte Configuração da autenticação de identidade federada.
- Agency: você pode criar agências no IAM. Para obter detalhes sobre como criar uma agência, consulte Criação de uma agência.
- All users: se você selecionar essa opção, as permissões de agência serão concedidas a todos os usuários do IAM na conta atual, incluindo aqueles criados no futuro. Para usuários individuais, escolha All users.
Authorized To
Este parâmetro não é exibido quando Authorized User é definido como All users.
- IAM user: selecione um usuário do IAM e configure uma agência para o usuário do IAM.
Figura 1 Selecionar um usuário do IAM
- Federated user: insira o nome de usuário ou o ID de usuário do usuário federado de destino.
Figura 2 Selecionar um usuário federado
- Agency: selecione um nome de agência. Você pode criar uma agência na conta A e conceder permissões à agência para a conta B. Ao usar a conta B, você pode alternar a função no canto superior direito do console para a conta A e usar as permissões de agência da conta A.
Figura 3 Troca de função
Agency
- Use existing: se houver agências na lista, selecione uma disponível para autorizar o usuário selecionado. Clique na seta suspensa ao lado do nome de uma agência para exibir seus detalhes de permissão.
- Add agency: se não houver agência disponível, crie uma. Se você usar o ModelArts pela primeira vez, selecione Add agency.
Add agency > Agency Name
O sistema cria automaticamente um nome de agência alterável.
Add agency > Authorization Method
- Role-based: uma estratégia de autorização de IAM grosseira para atribuir permissões com base nas responsabilidades do usuário. Apenas um número limitado de funções de nível de serviço está disponível. Ao usar funções para conceder permissões, atribua outras funções das quais as permissões dependem para entrar em vigor. As funções não são ideais para autorização refinada e controle de acesso seguro.
- Policy-based: uma ferramenta de autorização refinada que define permissões para operações em recursos de nuvem específicos sob certas condições. Esse tipo de autorização é mais flexível e ideal para o controle de acesso seguro.
Para obter detalhes sobre funções e políticas, consulte Conceitos Básicos.
Add agency > Permissions > Common User
Common User fornece as permissões para usar todas as funções básicas do ModelArts. Por exemplo, você pode acessar dados e criar e gerenciar trabalhos de treinamento. Selecione esta opção em geral.
Clique em View permissions para exibir permissões de usuário comuns.
Add agency > Permissions > Custom
Se precisar de gerenciamento de permissões refinado, selecione Custom para atribuir permissões de forma flexível à agência criada. Você pode selecionar permissões na lista de permissões conforme necessário.
- Selecione I have read and agree to the ModelArts Service Statement. Clique em Create.
Exibir permissões autorizadas
Você pode exibir as autorizações configuradas na página Global Configuration. Clique em View Permissions na coluna Authorization Content para exibir os detalhes da permissão.
Alterar o escopo da autorização
- Para alterar o escopo da autorização, clique em Modify permissions in IAM na caixa de diálogo View Permissions.
Figura 6 Modificar permissões no IAM
- Modifique as informações da agência. Selecione o período de validade necessário.
Figura 7 Informações da agência
- Na página Agencies, clique em Authorize, selecione políticas ou regras e clique em Next. Selecione o escopo para autorização mínima e clique em OK.
Ao definir o escopo mínimo de autorização, você pode selecionar Global services ou All resources. Se você selecionar All resources, as permissões selecionadas serão aplicadas a todos os recursos.
Excluir autorização
Para gerenciar melhor sua autorização, você pode excluir a autorização de um usuário do IAM ou excluir as autorizações de todos os usuários em lotes.
- Excluir a autorização de um usuário
Na página Global Configuration, localize o usuário de destino. Clique em Delete na coluna Operation do usuário de destino. Digite DELETE e clique em OK. Depois que a exclusão entrar em vigor, o usuário não poderá usar as funções do ModelArts.
- Excluir autorizações em lotes
Na página Global Configuration, clique em Clear Authorization acima da lista de autorizações. Digite DELETE e clique em OK. Após a exclusão, a conta e todos os usuários do IAM sob a conta não poderão usar as funções do ModelArts.
Perguntas frequentes
- Como configurar a autorização quando uso o ModelArts pela primeira vez?
Na página Add Authorization, defina Agency como Add agency e selecione Common User, que fornece as permissões para usar todas as funções básicas do ModelArts. Por exemplo, você pode acessar dados e criar e gerenciar trabalhos de treinamento. Selecione esta opção em geral.
- Onde é a entrada para autorização usando uma chave de acesso?
A autorização da chave de acesso na página de configuração global foi descontinuada. Se você usou uma chave de acesso para autorização antes, mude para autorização de agência. Para fazer isso, clique em Clear Authorization na página Global Configuration e use uma agência para autorização.
- Como obter uma chave de acesso (AK/SK)?
Se você usar a autenticação AK/SK para usar certas funções, como acessar serviços em tempo real e fazer logon usandoPyCharm Toolkit ou VS Code, obtenha uma chave de acesso. Para obter detalhes, consulte Como obter uma chave de acesso?.
- Como excluir uma agência existente da lista de agências?
Figura 8 Usar a existente
Acesse o console do IAM, clique em Agencies no painel de navegação e exclua a agência de destino.
Figura 9 Gerenciamento de identidade e acesso
- Por que uma mensagem indicando permissão insuficiente é exibida quando acesso uma página no console de gerenciamento do ModelArts?
As causas possíveis são permissões de usuário insuficientes ou alterações nos recursos do módulo. Para corrigir esse problema, siga as instruções para atualizar a autorização.