Autenticação de identidade e controle de acesso
Autenticação de identificação
Você pode usar os serviços do ModelArts por meio do console, das APIs ou dos SDKs. Essencialmente, as solicitações de acesso são enviadas por meio de APIs REST do ModelArts.
As APIs do ModelArts podem ser acessadas após a autenticação bem-sucedida. As solicitações enviadas pelo console podem ser autenticadas usando tokens, e as solicitações de chamadas de APIs podem ser autenticadas usando tokens ou AK/SK. Para detalhes, veja Autenticação.
Controle de acesso
O ModelArts permite configurar permissões refinadas para o gerenciamento refinado de recursos e permissões. Para fazer isso, o ModelArts fornece controle de permissão do IAM, autorização de agência e espaço de trabalho.
- Controle de permissão de IAM
Para usar as funções do ModelArts, você precisa conceder permissões por meio do IAM. Por exemplo, se você precisar criar um trabalho de treinamento no ModelArts, deve ter a permissão modelarts:trainJob:create.
Se nenhuma diretiva de autorização refinada estiver configurada para um usuário criado pelo administrador, o usuário terá todas as permissões do ModelArts por padrão. Para controlar as permissões do usuário, o administrador precisa adicionar o usuário a um grupo de usuários no IAM e configurar políticas de autorização refinadas para o grupo de usuários. Desta forma, o usuário obtém as permissões definidas nas políticas antes de executar operações em recursos de serviço de nuvem. Durante a autorização baseada em política, o administrador pode selecionar o escopo de autorização com base nos tipos de recurso do ModelArts. Para obter detalhes sobre permissões de recursos, consulte Políticas de permissões e ações suportadas.
- Autorização da agência
O ModelArts precisa acessar outros serviços para computação de IA. Por exemplo, o ModelArts precisa acessar o OBS para ler seus dados para treinamento. Para fins de segurança, o ModelArts deve estar autorizada a acessar outros serviços em nuvem. Esta é a autorização da agência.
O ModelArts não salva suas credenciais de autenticação de token. Antes de executar operações em seus recursos (como buckets do OBS) em um trabalho de back-end, é necessário autorizar explicitamente o ModelArts por meio de uma agência do IAM. O ModelArts usará a agência para obter uma credencial de autenticação temporária para executar operações em seus recursos. Para obter detalhes, consulte Configuração de autorização de acesso (configuração global).
- Espaço de trabalho
O espaço de trabalho permite que os clientes que habilitaram projetos empresariais para dividir seus recursos em vários espaços logicamente isolados e controlar o acesso a diferentes espaços.
Depois que o espaço de trabalho é ativado, um espaço de trabalho padrão é criado. Todos os recursos que você criou estão neste espaço de trabalho. Um espaço de trabalho é como um gêmeo do ModelArts. Você pode alternar entre espaços de trabalho no canto superior esquerdo do painel de navegação. Trabalhos em espaços de trabalho diferentes não se afetam mutuamente. O ModelArts permite criar vários espaços de trabalho para desenvolver algoritmos e gerenciar e implementar modelos para diferentes objetivos de serviço. Desta forma, as saídas de desenvolvimento de diferentes aplicativos são gerenciadas em diferentes espaços de trabalho para uso.
Gerenciamento de acesso remoto
Quando você usa um IDE local para acessar remotamente o ambiente de desenvolvimento do notebook do ModelArts por SSH, o par de chaves é necessário para autenticação. Você também pode adicionar os endereços IP para acessar remotamente a instância de notebook à lista branca.
