创建自定义委托
在开发作业过程中,如需要访问外部服务(如OBS进行数据上传或下载),需在创建RayJob或Spark端点时配置相应的权限委托。权限委托是访问外部服务的必要条件,需用户自行创建并配置。
本节操作主要介绍如何创建自定义委托、完成服务授权,并在作业配置中添加新建的委托的操作步骤。
常见自定义委托场景
| 委托应用场景 | 委托名称 | 说明 | 示例权限策略 |
|---|---|---|---|
| 配置Spark存储委托 | 自定义 | AI DataLake Spark作业上传日志/临时数据至OBS桶。 | |
| 配置Spark作业委托 | 自定义 | Spark作业访问LakeFormation元数据。 AI DataLake Spark作业上传日志/临时数据至OBS桶。 | |
| 配置RayJob端点委托 | 自定义 | 在创建RayJob端点时,需要配置委托给该端点的权限,在运行时自动换取凭证并刷新至Ray集群。您可以在Ray集群中使用该委托凭证调用对应服务。 |
步骤1:创建委托并授权
- 登录IAM控制台。
- 鼠标悬浮至右上方登录的用户名,在下拉列表中选择“统一身份认证”。
- 创建委托。
- 在左侧导航栏中,单击“委托”。
- 在“委托”页面,单击“创建委托”。
- 在“创建委托”页面,设置关键参数如下:
- 委托名称:输入委托名称,例如“aidatalake_obs_agency_access”。
- 委托类型:选择“云服务”。
- 委托的账号:输入op_svc_fabric。
- 持续:即选择编程访问获取的临时访问凭证可持续的最大会话时长。例如:永久。
关于参数的更多说明,请参考创建信任委托并授权。
- 配置完委托参数后,单击“完成”。
- 新建策略并授权。
- 在弹出的“创建成功”对话框中,单击“立即授权”。
- 在“授权”页面的右上角,单击“新建策略”。
- 配置策略信息。
- 输入策略名称,本例:aidatalake-obs-agency。
- 选择“JSON视图”。
- 在策略内容中粘贴自定义策略。具体策略,请参见常见场景的委托权限策略。
- 按需输入策略描述。
- 新建策略完成后,单击“下一步”,返回委托授权页面。
- 勾选新建的自定义身份策略名称后,单击“下一步”,然后单击“确定”。
步骤2:在作业中设置委托权限
您可以创建Spark或者Ray端点时选择对应的委托权限。
配置Spark委托
创建Spark端点时,在存储配置和作业配置区域,选择新建的委托信息。
作业指定委托后,授予委托的权限要谨慎修改,委托权限变动可能会影响作业的正常运行。
- 登录AI DataLake管理控制台。
- 在页面左上角切换至对应的工作空间。
- 在左侧导航栏选择“引擎端点 > 批处理引擎 Spark”进入端点列表页面。
- 单击页面右上角的“创建端点”,进入端点创建页面。
- 配置端点的基础信息。具体操作,请参考创建Spark引擎端点。
- 在存储配置区域配置委托信息:
委托名:选择步骤1:创建委托并授权中新建的委托。
配置RayJob委托
- 登录AI DataLake管理控制台。
- 在页面左上角切换至对应的工作空间。
- 在左侧导航栏选择“引擎端点 > AI 计算引擎 Ray”进入端点列表页面。
- 单击页面右上角的“创建端点”,配置端点信息。具体操作,请参见创建RayJob端点。
在“委托配置”区域勾选“委托配置”,然后在下拉框中选择步骤1:创建委托并授权中新建的委托名。
