场景描述
ModelArts作为顶层服务,其部分功能依赖于其他服务的访问权限。本章节主要介绍对于IAM子账号使用ModelArts时,如何根据需要开通的功能配置子账号相应权限。
权限列表
子账号的权限,由主用户来控制,主用户通过IAM的权限配置功能设置用户组的权限,从而控制用户组内的子账号的权限。此处的授权列表均按照ModelArts和其他服务的系统预置策略来举例。
待授权的服务 |
授权说明 |
IAM权限设置 |
是否必选 |
---|---|---|---|
ModelArts |
授予子账号使用ModelArts服务的权限。 ModelArts CommonOperations没有任何专属资源池的创建、更新、删除权限,只有使用权限。推荐给子账号配置此权限。 |
ModelArts CommonOperations |
必选 |
如果需要给子账号开通专属资源池的创建、更新、删除权限,此处要勾选ModelArts FullAccess,请谨慎配置。 |
ModelArts FullAccess |
可选 ModelArts FullAccess权限和ModelArts CommonOperations权限只能二选一,不能同时选。 |
|
OBS对象存储服务 |
授予子账号使用OBS服务的权限。ModelArts的数据管理、开发环境、训练作业、模型推理部署均需要通过OBS进行数据中转。 |
OBS OperateAccess |
必选 |
SWR容器镜像仓库 |
授予子账号使用SWR服务权限。ModelArts的自定义镜像功能依赖镜像服务SWR FullAccess权限。 |
SWR OperateAccess |
必选 |
密钥管理服务 |
当子账号使用ModelArts Notebook的SSH远程功能时,需要配置子账号密钥管理服务的使用权限。 |
KMS CMKFullAccess |
可选 |
IEF智能边缘平台 |
授予子账号智能边缘平台使用权限,ModelArts的边缘服务依赖智能边缘平台,要求配置Tenant Administrator权限。 |
Tenant Administrator |
可选 |
CES云监控 |
授予子账号使用CES云监控服务的权限。通过CES云监控可以查看ModelArts的在线服务和对应模型负载运行状态的整体情况,并设置监控告警。 |
CES FullAccess |
可选 |
SMN消息服务 |
授予子账号使用SMN消息服务的权限。SMN消息通知服务配合CES监控告警功能一起使用。 |
SMN FullAccess |
可选 |
VPC虚拟私有云 |
子账号在创建ModelArts的专属资源池过程中,如果需要开启自定义网络配置,需要配置VPC权限。 |
VPC FullAccess |
可选 |
SFS弹性文件服务 |
授予子账号使用SFS服务的权限,ModelArts的专属资源池中可以挂载SFS系统作为开发环境或训练的存储。 |
SFS Turbo FullAccess SFS FullAccess |
可选 |