文档首页/ 智能数据湖 AIDataLake/ 用户指南/ 准备工作/ 开通AI DataLake服务并授权
更新时间:2026-04-14 GMT+08:00
查看PDF
分享

开通AI DataLake服务并授权

为保证正常使用AI DataLake服务,您需要开通AI DataLake服务,并授权允许AI DataLake服务代表用户访问其他云服务,才可以在AI DataLake服务中执行创建工作空间,开发作业等操作。

本节操作介绍如何开通AI DataLake,并设置云资源访问授权。

前提条件

您已经注册了华为账号开通华为云。具体操作可参见账号注册。实名认证指引请参考实名认证

约束与限制

授权需要主账号或者用户组Admin中的子账号进行操作。

操作步骤

  1. 配置AI DataLake云资源访问授权
    1. 登录AI DataLake服务管理控制台,进入AI DataLake服务页面。

      当前页面会展示完整AI DataLake服务依赖的其他云服务资源。

      为保证正常使用AI DataLake服务,请您授权允许AI DataLake服务代表用户访问其他云服务。详细的委托策略请参考表2

    2. 根据需要勾选对应委托权限。
  1. 阅读并同意AI DataLake服务声明

    仔细阅读AI DataLake服务条款,并勾选同意该服务声明。

  2. 单击“立即授权”。

    同意授权后,AI DataLake将在统一身份认证服务IAM为您创建名为ai_datalake_admin_trust的委托,授权成功后,可以进入IAM服务委托列表查看该未委托的基本信息和授权记录。

    委托ai_datalake_admin_trust创建成功后,请勿删除,一旦删除将变更授权范围,影响相关业务权限。

AI DataLake云资源授权列表

表1 AI DataLake云资源授权列表

策略类型

策略类型

是否必选

说明

不勾选对业务的影响

基础通用服务

AI_DATALAKE_COMMON_POLICY

必选

委托必须的基础权限策略。

基础权限验证失败:

  • 不能获取IAM用户信息。
  • 不能读取OBS桶及数据。

访问自身服务

AI_DATALAKE_SELF_POLICY

必选

访问AI DataLake服务所需的权限。

核心数据分析功能完全不可用

  • 不能创建/管理工作空间。
  • 不能执行SQL查询和分析。
  • 不能创建/查看/取消作业。

日志功能

AI_DATALAKE_LTS_POLICY

必选

LTS日志服务功能。

问题排查和审计追踪困难:

  • 不能使用LTS日志服务。
  • 作业运行日志无法记录和查看。

LakeFormation

AI_DATALAKE_LAKEFORMATION_POLICY

必选

LakeFormation 数据湖功能。

数据目录功能失效:

  • 不能管理数据访问权限。
  • 不能进行数据治理和权限管控。

消息通知

AI_DATALAKE_SMN_POLICY

可选

SMN通知消息。

作业运行完成/失败等事件无法通过SMN推送通知。

AOM 监控

AI_DATALAKE_AOM_POLICY

可选

AOM监控告警功能。

运维监控能力缺失:

  • 业运行指标无法上报至AOM。
  • 不能使用AOM进行性能监控和告警。

镜像包注册

AI_DATALAKE_SWR_POLICY

可选

SWR镜像包功能。

依赖特定镜像的高级功能受限:

  • 不能使用SWR中的自定义镜像包。
  • 不能注册和管理自定义运行环境。

VPCEP

AI_DATALAKE_VPCEP_POLICY

可选

VPCEP网络打通功能。

跨服务网络打通受限:

  • 不能通过VPCEP打通私有网络。
  • 不能访问其他私有网络服务。

DNS 功能

AI_DATALAKE_DNS_POLICY

可选

DNS服务功能。

跨域网络访问配置困难:

  • 不能使用DNS服务进行域名解析配置。
  • 自定义域名访问受限。

OBS 存储

AI_DATALAKE_OBS_POLICY

可选

OBS对象存储功能。

数据存储管理功能受限:

  • 不能通过AI DataLake直接创建和管理OBS桶。
  • 不能上传/下载数据对象。
  • 不能配置桶的加密和生命周期策略。
AI DataLake将在统一身份认证服务IAM为您创建名为ai_datalake_admin_trust的委托,该委托包含的策略和Action请参考表2
表2 AI DataLake云资源授权列表

策略类型

策略类型

Action

是否必选

说明

基础通用服务

AI_DATALAKE_COMMON_POLICY

iam:agencies:listAgencies 列举委托

iam:roles:getRole 查询角色

iam:roles:listRoles 列举角色

iam:permissions:listRolesForAgency 查询委托的角色权限

iam:users:getUser 查询用户

obs:bucket:ListAllMyBuckets 列举所有桶

obs:bucket:ListBucket 列举桶

obs:object:GetObjectVersion 获取对象版本

obs:object:GetObject 获取对象

必选

委托必须的基础权限策略

访问自身服务

AI_DATALAKE_SELF_POLICY

DataArtsFabric:workspace:list列举工作空间

DataArtsFabric:endpoint:show查看端点

DataArtsFabric:workspace:listRoute查询工作空间路由

DataArtsFabric:endpoint:list列举端点

DataArtsFabric:job:dropJobInstance删除作业实例

DataArtsFabric:job:listJobInstance列举作业实例

DataArtsFabric:workspace:showSession查看会话

DataArtsFabric:workspace:listMessagePolicy列举消息策略

DataArtsFabric:workspace:executeStatement执行语句

DataArtsFabric:workspace:showStatementResult查看语句结果

DataArtsFabric:workspace:deleteSqlSession删除SQL会话

DataArtsFabric:workspace:cancelStatement取消语句

DataArtsFabric:workspace:createSqlSession创建SQL会话

DataArtsFabric:workspace:listSessionStatementRecords列举会话语句记录

DataArtsFabric:workspace:listSqlSessions列举SQL会话

DataArtsFabric:workspace:listStatementRecords列举语句记录

DataArtsFabric:workspace:showSqlSession查看SQL会话

必选

访问AI DataLake服务所需的权限

日志功能

AI_DATALAKE_LTS_POLICY

lts:groups:get 查询日志组

lts:groups:list 列举日志组

lts:groups:create 创建日志组

lts:topics:get 查询日志流

lts:topics:list 列举日志流

lts:topics:create 创建日志流

必选

LTS日志服务功能

LakeFormation

AI_DATALAKE_LAKEFORMATION_POLICY

lakeformation:accessTenant:grant授予租户访问权限

lakeformation:access:delete删除访问权限

lakeformation:access:create创建访问权限

lakeformation:access:describe查询访问权限

lakeformation:table:describe查询表详情

lakeformation:credential:describe查询凭证信息

lakeformation:policy:describe查询策略信息

lakeformation:table:drop删除表

lakeformation:table:create创建表

lakeformation:policy:create创建策略

lakeformation:database:describe查询数据库详情

lakeformation:table:alter修改表属性

lakeformation:policy:describe查询策略信息

lakeformation:credential:describe查询凭证信息

lakeformation:function:describe查询函数详情

lakeformation:catalog:describe查询Catalog详情

lakeformation:database:create创建数据库

lakeformation:database:drop删除数据库

lakeformation:function:create创建函数

lakeformation:function:alter修改函数属性

lakeformation:function:drop删除函数

lakeformation:policy:drop删除策略

lakeformation:role:describe查询角色详情

lakeformation:user:describe查询用户详情

lakeformation:transaction:operate操作事务

必选

LakeFormation 数据湖功能

消息通知

AI_DATALAKE_SMN_POLICY

smn:topic:publish 发布主题消息

可选

SMN通知消息

AOM 监控

AI_DATALAKE_AOM_POLICY

aom:metric:put 上报指标

aom:alarm:put 上报告警

可选

AOM监控告警功能

镜像包注册

AI_DATALAKE_SWR_POLICY

swr:repo:listRepoDomains 列举镜像仓库组织

swr:repo:listRepoTags 列举镜像标签

swr:repo:createRepoDomain 创建镜像仓库

swr:repo:getRepo 获取镜像仓库

可选

SWR镜像包功能

VPCEP

AI_DATALAKE_VPCEP_POLICY

vpcep:epservices:get查询终端节点服务

vpcep:connections:update更新连接

vpcep:permissions:update更新权限

vpcep:permissions:list列举权限

vpcep:epserviceDesc:get查询终端节点服务描述

vpcep:endpoints:get查询终端节点

vpcep:endpoints:delete删除终端节点

vpcep:endpoints:create创建终端节点

vpcep:connections:list列举连接

vpcep:endpoints:list列举终端节点

可选

VPCEP网络打通功能

DNS 功能

AI_DATALAKE_DNS_POLICY

dns:zone:get 查询Zone

dns:zone:create 创建Zone

dns:zone:list 列举Zone

dns:zone:delete 删除Zone

dns:recordset:update 更新记录集

dns:recordset:create 创建记录集

dns:recordset:delete 删除记录集

dns:recordset:list 列举记录集

可选

DNS服务功能

OBS 存储

AI_DATALAKE_OBS_POLICY

obs:bucket:CreateBucket创建桶

obs:bucket:DeleteBucket删除桶

obs:bucket:PutLifecycleConfiguration设置生命周期配置

obs:bucket:ListBucketMultipartUploads列举分段上传

obs:bucket:HeadBucket判断桶是否存在

obs:bucket:ListAllMyBuckets列举所有桶

obs:bucket:ListBucket列举桶

obs:bucket:PutEncryptionConfiguration设置加密配置

obs:bucket:PutBucketObjectLockConfiguration设置对象锁定配置

obs:object:PutObject上传对象

obs:object:GetObject获取对象

obs:bucket:GetLifecycleConfiguration获取生命周期配置

可选

OBS对象存储功能
父主题: 准备工作

相关文档