Gerenciamento de permissões

Permissões e agências do ModelArts

Figura 1 Gerenciamento de permissões

As funções expostas do ModelArts são controladas por meio de permissões do IAM. Por exemplo, se você, como usuário do IAM, precisa criar uma tarefa de treinamento no ModelArts, deve ter a permissão modelarts:trainJob:create. Para obter detalhes sobre como atribuir permissões a um usuário (você precisa adicionar o usuário a um grupo de usuários e, em seguida, atribuir permissões ao grupo de usuários), consulte Gerenciamento de permissões.

O ModelArts deve acessar outros serviços para computação de IA. Por exemplo, o ModelArts deve acessar o OBS para ler seus dados para treinamento. Para fins de segurança, o ModelArts deve estar autorizada a acessar outros serviços em nuvem. Esta é a autorização da agência.

O seguinte resume o gerenciamento de permissões:

• Seu acesso a qualquer serviço de nuvem é controlado por meio do IAM. Você deve ter as permissões do serviço de nuvem. (As permissões de serviço necessárias variam de acordo com as funções que você usa.)
• Para usar as funções do ModelArts, você precisa conceder permissões por meio do IAM.
• O ModelArts deve ser autorizado por você para acessar outros serviços em nuvem para computação de IA.

Gerenciamento de permissões do ModelArts

Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Você precisa adicionar o usuário a um grupo de usuários e conceder políticas ao grupo de usuários, para que os usuários do grupo possam herdar as permissões. Após a autorização, os usuários podem executar operações no ModelArts com base em permissões.

O ModelArts é um serviço de nível de projeto implementado e acessado em regiões físicas específicas. Ao autorizar uma agência, você pode definir o escopo das permissões selecionadas para todos os recursos, projetos empresariais ou projetos específicos da região. Se você especificar projetos específicos da região, as permissões selecionadas serão aplicadas aos recursos nesses projetos.

Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões.

Ao atribuir permissões a um grupo de usuários, o IAM não atribui permissões específicas diretamente ao grupo de usuários. Em vez disso, o IAM precisa adicionar as permissões a uma política e, em seguida, atribuir a política ao grupo de usuários. Para facilitar o gerenciamento de permissões de usuário, cada serviço de nuvem fornece algumas políticas predefinidas para você usar diretamente. Se as políticas predefinidas não puderem atender aos seus requisitos de gerenciamento de permissões refinado, você poderá personalizar as políticas.

Geralmente, ModelArts FullAccess é atribuída apenas aos administradores. Se o gerenciamento refinado não for necessário, atribuir ModelArts CommonOperations a todos os usuários atenderá aos requisitos de desenvolvimento da maioria das equipes pequenas. Se você quiser personalizar políticas para o gerenciamento de permissões refinado, consulte IAM.

Quando você atribui permissões do ModelArts a um usuário, o sistema não atribui automaticamente as permissões de outros serviços ao usuário. Isso garante a segurança e evita operações inesperadas não autorizadas. Nesse caso, no entanto, você deve atribuir permissões de diferentes serviços aos usuários para que eles possam executar algumas operações do ModelArts.

Por exemplo, se um usuário do IAM precisar usar dados do OBS para treinamento e a permissão de treinamento do ModelArts tiver sido configurada para o usuário do IAM, o usuário do IAM ainda precisará receber as permissões de leitura, gravação e lista do OBS. A permissão de lista do OBS permite que você selecione o caminho de dados de treinamento no ModelArts. A permissão de leitura é usada para visualizar dados e ler dados para treinamento. A permissão de gravação é usada para salvar resultados de treinamento e logs.

• Para usuários individuais ou pequenas organizações, é uma boa prática configurar a política Tenant Administrator que se aplica a serviços globais para usuários do IAM. Dessa forma, os usuários do IAM podem obter todas as permissões de usuário, exceto o IAM. No entanto, isso pode causar problemas de segurança. (Para um usuário individual, o usuário padrão do IAM pertence ao grupo de usuários admin e tem a permissão Tenant Administrator.)
• Se você quiser restringir as operações do usuário, configure as permissões mínimas do OBS para usuários do ModelArts. Para obter detalhes, consulte Gerenciamento de permissões do OBS. Para obter detalhes sobre o gerenciamento refinado de permissões de outros serviços de nuvem, consulte os documentos de serviço de nuvem correspondentes.

Autorização da agência do ModelArts

O ModelArts deve ser autorizado pelos usuários a acessar outros serviços em nuvem para computação de IA. No sistema de permissões do IAM, essa autorização é realizada por meio de agências.

Para obter detalhes sobre os conceitos básicos e as operações das agências, consulte Delegação de serviço de nuvem.

Para simplificar a autorização de agência, o ModelArts oferece suporte à configuração automática de autorização de agência. Você só precisa configurar uma agência para você ou usuários especificados na página Global Configuration do console do ModelArts.

• Somente os usuários com a permissão de gerenciamento de agência do IAM podem executar essa operação. Geralmente, os membros do grupo de usuários administradores do IAM têm essa permissão.
• A autorização da agência do ModelArts é específica da região, o que significa que você deve executar a autorização da agência em cada região que você usa.

Figura 2 Configurações

Na página Global Configuration do console do ModelArts, após clicar em Add Authorization, você pode configurar uma agência para um usuário específico ou todos os usuários. Geralmente, uma agência chamada modelarts_agency_<Username>_Random ID é criada por padrão. Na área Permissions, você pode selecionar a configuração de permissão predefinida ou selecionar as políticas necessárias. Se as duas opções não atenderem aos seus requisitos, crie uma agência na página de gerenciamento do IAM (é necessário delegar ModelArts para acessar seus recursos) e use uma agência existente em vez de adicionar uma agência na página Add Authorization.

O ModelArts associa vários usuários a uma agência. Isso significa que, se dois usuários precisarem configurar a mesma agência, não será necessário criar uma agência para cada usuário. Em vez disso, você só precisa configurar a mesma agência para os dois usuários.

Figura 3 Mapeamento entre usuários e agências

Cada usuário pode usar o ModelArts somente depois de estar associado a uma agência. No entanto, mesmo que as permissões atribuídas à agência sejam insuficientes, nenhum erro é relatado quando a API é chamada. Um erro ocorre apenas quando o sistema utiliza funções não autorizadas. Por exemplo, você habilita a notificação de mensagem ao criar um trabalho de treinamento. A notificação de mensagem requer autorização de SMN. No entanto, um erro ocorre somente quando as mensagens precisam ser enviadas para o trabalho de treinamento. O sistema ignora alguns erros e outros erros podem causar falhas de trabalho. Ao implementar a minimização de permissões, verifique se você ainda terá permissões suficientes para as operações necessárias no ModelArts.

Autorização estrita

No modo de autorização estrita, é necessária autorização explícita do administrador da conta para que os usuários do IAM acessem o ModelArts. O administrador pode adicionar as permissões necessárias do ModelArts para usuários comuns por meio de políticas de autorização.

No modo de autorização não restrita, os usuários do IAM podem usar o ModelArts sem autorização explícita. O administrador precisa configurar a política de negação para usuários do IAM para impedi-los de usar algumas funções do ModelArts.

O administrador pode alterar o modo de autorização na página Global Configuration.

Recomenda-se o modo de autorização estrita. Nesse modo, os usuários do IAM devem estar autorizados a usar as funções do ModelArts. Dessa forma, o escopo de permissão dos usuários do IAM pode ser controlado com precisão, minimizando as permissões concedidas aos usuários do IAM.

Gerenciar o acesso a recursos usando espaços de trabalho

O espaço de trabalho permite que os clientes corporativos dividam seus recursos em vários espaços logicamente isolados e gerenciem o acesso a diferentes espaços. Como um usuário corporativo, você pode enviar a solicitação para ativar a função do espaço de trabalho ao seu gerente de suporte técnico.

Depois que o espaço de trabalho é ativado, um espaço de trabalho padrão é criado. Todos os recursos que você criou estão neste espaço de trabalho. Um espaço de trabalho é como um gêmeo do ModelArts. Você pode alternar entre áreas de trabalho no canto superior esquerdo do console do ModelArts. Trabalhos em espaços de trabalho diferentes não se afetam mutuamente.

Ao criar um espaço de trabalho, você deve vinculá-lo a um projeto corporativo. Vários espaços de trabalho podem ser vinculados ao mesmo projeto da empresa, mas um espaço de trabalho não pode ser vinculado a vários projetos corporativo. Você pode usar espaços de trabalho para restrições refinadas no acesso a recursos e permissões de diferentes usuários. As restrições são as seguintes:

• Os usuários devem ser autorizados a acessar espaços de trabalho específicos (isso deve ser configurado nas páginas para criar e gerenciar espaços de trabalho). Isso significa que o acesso a ativos de IA, como conjuntos de dados e algoritmos, pode ser gerenciado usando espaços de trabalho.
• Nas operações de autorização de permissão anteriores, se você definir o escopo para projetos da empresa, a autorização terá efeito somente para espaços de trabalho vinculados aos projetos selecionados.

• Restrições em espaços de trabalho e autorização de permissão entram em vigor ao mesmo tempo. Ou seja, um usuário deve ter a permissão para acessar o espaço de trabalho e a permissão para criar trabalhos de treinamento (a permissão se aplica a esse espaço de trabalho) para que o usuário possa enviar trabalhos de treinamento nesse espaço de trabalho.
• Se você ativou um projeto corporativo, mas não ativou um espaço de trabalho, todas as operações serão executadas no projeto da empresa padrão. Certifique-se de que as permissões nas operações necessárias se aplicam ao projeto corporativo padrão.
• As restrições anteriores não se aplicam a usuários que não ativaram nenhum projeto corporativo.

Resumo

Principais recursos do gerenciamento de permissões do ModelArts:

• Se você for um usuário individual, não precisa considerar o gerenciamento de permissões refinado. Sua conta tem todas as permissões para usar o ModelArts por padrão.
• Todas as funções do ModelArts são controladas pelo IAM. Você pode usar a autorização do IAM para implementar o gerenciamento de permissões refinado para usuários específicos.
• Todos os usuários (incluindo usuários individuais) podem usar funções específicas somente após a autorização da agência no ModelArts (Settings > Add Authorization). Caso contrário, podem ocorrer erros inesperados.
• Se você ativou a função de projeto corporativo, também pode ativar o espaço de trabalho do ModelArts e usar a autorização básica e o espaço de trabalho para o gerenciamento de permissões refinado.