权限管理
如果您需要对华为云上购买的盘古大模型资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(IAM)和盘古角色管理功能进行精细的权限管理。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户(子用户)进行权限管理,您可以跳过本章节,不影响您使用服务的其他功能。
通过IAM,您可以在华为云账号中给员工创建IAM用户(子用户),并授权控制他们对华为云资源的访问范围。例如,您的员工中有负责软件开发的人员,您希望他们拥有接口的调用权限,但是不希望他们拥有训练模型或者访问训练数据的权限,那么您可以先创建一个IAM用户,并设置该用户在盘古平台中的角色,控制对资源的使用范围。
IAM权限
默认情况下,管理员创建的IAM用户(子用户)没有任何权限,需要将其加入用户组,并对用户组授权,才能使得用户组中的用户获得对应的权限。授权后,用户就可以基于被授予的权限对云服务进行操作。
服务使用OBS存储训练数据和评估数据,如果需要对OBS的访问权限进行细粒度的控制。可以在盘古服务的委托中增加Pangu OBSWriteOnly、Pangu OBSReadOnly策略,控制OBS的读写权限。
|
策略名称 |
拥有细粒度权限/Action |
权限描述 |
|---|---|---|
|
Pangu OBSWriteOnly |
obs:object:AbortMultipartUpload obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:PutObject |
拥有用户OBS桶写权限 |
|
Pangu OBSReadOnly |
obs:bucket:GetBucketLocation obs:bucket:HeadBucket obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:object:GetObject obs:object:GetObjectAcl obs:object:GetObjectVersion obs:object:GetObjectVersionAcl obs:object:ListMultipartUploadParts |
拥有用户OBS桶只读权限 |
盘古用户角色
盘古大模型的用户可以被赋予不同的角色,对平台资源进行精细化的控制。
|
角色名称 |
角色描述 |
|---|---|
|
超级管理员 |
订购服务的用户,具备当前平台下对所有工作空间的所有权限。 |
|
管理员 |
对工作空间有完全访问权,包括查看、创建、编辑或删除(适用时)工作空间中的资产,同时拥有添加、移除所在空间成员以及编辑所在空间成员角色的权限。 |
|
模型开发工程师 |
可以执行模型开发工具链模块的所有操作,但是不能创建或者删除计算资源,也不能修改所在空间本身。 |
|
应用开发工程师 |
应用开发工程师具备执行应用开发工具链模块所有操作的权限,其余角色不具备。 |
|
标注管理员 |
拥有数据工程数据标注-标注管理模块的所有权限,其余角色不具备。 |
|
标注作业员 |
拥有数据工程数据标注-标注作业模块的所有权限,其余角色不具备。 |
|
标注审核员 |
拥有数据工程数据标注-标注审核模块的所有权限,其余角色不具备。 |
|
评估管理员 |
拥有数据工程数据评估-评估标准模块的所有权限,其余角色不具备。 |
|
评估作业员 |
拥有数据工程数据评估-评估作业模块的所有权限,其余角色不具备。 |
|
数据导入员 |
拥有数据工程数据获取-数据导入模块的所有权限,其余角色不具备。 |
|
数据加工员 |
拥有数据工程数据加工模块的所有权限,其余角色不具备。 |
|
数据发布员 |
拥有数据工程数据发布模块的所有权限,其余角色不具备。 |
