更新时间:2024-09-26 GMT+08:00

场景描述

ModelArts作为顶层服务,其部分功能依赖于其他服务的访问权限。本章节主要介绍对于IAM子账号使用ModelArts时,如何根据需要开通的功能配置子账号相应权限。

权限列表

子账号的权限,由主用户来控制,主用户通过IAM的权限配置功能设置用户组的权限,从而控制用户组内的子账号的权限。此处的授权列表均按照ModelArts和其他服务的系统预置策略来举例。

表1 服务授权列表

待授权的服务

授权说明

IAM权限设置

是否必选

ModelArts

授予子账号使用ModelArts服务的权限。

ModelArts CommonOperations没有任何专属资源池的创建、更新、删除权限,只有使用权限。推荐给子账号配置此权限。

ModelArts CommonOperations

必选

如果需要给子账号开通专属资源池的创建、更新、删除权限,此处要勾选ModelArts FullAccess,请谨慎配置。

ModelArts FullAccess

可选

ModelArts FullAccess权限和ModelArts CommonOperations权限只能二选一,不能同时选。

OBS对象存储服务

授予子账号使用OBS服务的权限。ModelArts的数据管理、开发环境、训练作业、模型推理部署均需要通过OBS进行数据中转

OBS OperateAccess

必选

SWR容器镜像仓库

授予子账号使用SWR服务权限。ModelArts的自定义镜像功能依赖镜像服务SWR FullAccess权限。

SWR OperateAccess

必选

密钥管理服务

当子账号使用ModelArts Notebook的SSH远程功能时,需要配置子账号密钥管理服务的使用权限。

KMS CMKFullAccess

可选

IEF智能边缘平台

授予子账号智能边缘平台使用权限,ModelArts的边缘服务依赖智能边缘平台,要求配置Tenant Administrator权限。

Tenant Administrator

可选

CES云监控

授予子账号使用CES云监控服务的权限。通过CES云监控可以查看ModelArts的在线服务和对应模型负载运行状态的整体情况,并设置监控告警。

CES FullAccess

可选

SMN消息服务

授予子账号使用SMN消息服务的权限。SMN消息通知服务配合CES监控告警功能一起使用。

SMN FullAccess

可选

VPC虚拟私有云

子账号在创建ModelArts的专属资源池过程中,如果需要开启自定义网络配置,需要配置VPC权限。

VPC FullAccess

可选

SFS弹性文件服务

授予子账号使用SFS服务的权限,ModelArts的专属资源池中可以挂载SFS系统作为开发环境或训练的存储。

SFS Turbo FullAccess

SFS FullAccess

可选