权限管理
如果您需要为企业员工设置不同的访问权限,以实现对华为云上购买的盘古大模型资源的权限隔离,可以使用统一身份认证服务(IAM)和盘古角色管理功能进行精细的权限管理。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户(子用户)进行权限管理,可以跳过本章节,不影响您使用服务的其他功能。
通过IAM,您可以在华为云账号中为员工创建IAM用户(子用户),并授权控制他们对华为云资源的访问范围。例如,对于负责软件开发的人员,您希望他们拥有接口的调用权限,但不希望他们拥有训练模型或访问训练数据的权限,那么您可以先创建一个IAM用户,并设置该用户在盘古平台中的角色,控制他们对资源的使用范围。
IAM权限
默认情况下,管理员创建的IAM用户(子用户)没有任何权限,需要将其加入用户组,并对用户组授权,才能使得用户组中的用户获得对应的权限。授权后,用户就可以基于被授予的权限对云服务进行操作。
服务使用OBS存储训练数据和评估数据,如果需要对OBS的访问权限进行细粒度的控制。可以在盘古服务的委托中增加Pangu OBSWriteOnly、Pangu OBSReadOnly策略,控制OBS的读写权限。
|
策略名称 |
拥有细粒度权限/Action |
权限描述 |
|---|---|---|
|
Pangu OBSWriteOnly |
obs:object:PutObjectAcl obs:object:AbortMultipartUpload obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:PutObject |
拥有用户OBS桶写权限。 |
|
Pangu OBSReadOnly |
obs:bucket:GetBucketPolicy obs:bucket:GetBucketLocation obs:bucket:HeadBucket obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:object:GetObject obs:object:GetObjectAcl obs:object:GetObjectVersion obs:object:GetObjectVersionAcl obs:object:ListMultipartUploadParts |
拥有用户OBS桶只读权限。 |
盘古用户角色
盘古大模型的用户可被赋予不同的角色,对平台资源进行精细化的控制。
|
角色 |
说明 |
|---|---|
|
系统管理员 |
购买平台的用户默认为系统管理员,具有所有操作的权限。 |
|
运营人员 |
具备总览、平台管理(资产管理、权限管理)功能的权限。 |
|
模型开发人员 |
具备总览、服务管理、能力调测、数据工程(数据管理、数据清洗)、模型开发(模型管理、模型训练、模型评估、模型压缩、模型部署)、平台管理(资产管理、权限管理)功能的使用权限。 |
|
推理服务API调用人员 |
具备总览、服务管理、能力调测、平台管理(权限管理)、运营面板功能的使用权限。 |
|
Prompt工程人员 |
具备总览、应用百宝箱、服务管理、能力调测、数据工程(提示用例管理)、应用开发(提示词工程、提示词管理、工具管理、AI助手、知识库管理、应用开发SDK)、平台管理(权限管理)功能的使用权限。 |
