更新时间:2026-07-14 GMT+08:00
分享

创建自定义委托

在开发作业过程中,如需要访问外部服务(如OBS进行数据上传或下载),需在创建RayJob或Spark端点时配置相应的权限委托。权限委托是访问外部服务的必要条件,需用户自行创建并配置。

本节操作主要介绍如何创建自定义委托、完成服务授权,并在作业配置中添加新建的委托的操作步骤。

常见自定义委托场景

表1 自定义委托场景

委托应用场景

委托名称

说明

示例权限策略

配置Spark存储委托

自定义

AI DataLake Spark作业上传日志/临时数据至OBS桶。

访问和使用OBS的权限策略

配置Spark作业委托

自定义

Spark作业访问LakeFormation元数据。

AI DataLake Spark作业上传日志/临时数据至OBS桶。

配置RayJob端点委托

自定义

在创建RayJob端点时,需要配置委托给该端点的权限,在运行时自动换取凭证并刷新至Ray集群。您可以在Ray集群中使用该委托凭证调用对应服务。

访问和使用OBS的权限策略

步骤1:创建委托并授权

  1. 登录IAM控制台
  2. 鼠标悬浮至右上方登录的用户名,在下拉列表中选择“统一身份认证”。
  3. 创建委托。
    1. 在左侧导航栏中,单击“委托”。
    2. 在“委托”页面,单击“创建委托”。
    3. 在“创建委托”页面,设置关键参数如下:
      • 委托名称:输入委托名称,例如“aidatalake_obs_agency_access”。
      • 委托类型:选择“云服务”。
      • 委托的账号:输入op_svc_fabric。
      • 持续:即选择编程访问获取的临时访问凭证可持续的最大会话时长。例如:永久。

      关于参数的更多说明,请参考创建信任委托并授权

    4. 配置完委托参数后,单击“完成”。
  4. 新建策略并授权。
    1. 在弹出的“创建成功”对话框中,单击“立即授权”。
    2. 在“授权”页面的右上角,单击“新建策略”。
    3. 配置策略信息。
      1. 输入策略名称,本例:aidatalake-obs-agency。
      2. 选择“JSON视图”。
      3. 在策略内容中粘贴自定义策略。具体策略,请参见常见场景的委托权限策略
      4. 按需输入策略描述。
    4. 新建策略完成后,单击“下一步”,返回委托授权页面。
    5. 勾选新建的自定义身份策略名称后,单击“下一步”,然后单击“确定”。

步骤2:在作业中设置委托权限

您可以创建Spark或者Ray端点时选择对应的委托权限。

配置Spark委托

创建Spark端点时,在存储配置和作业配置区域,选择新建的委托信息。

作业指定委托后,授予委托的权限要谨慎修改,委托权限变动可能会影响作业的正常运行。

  1. 登录AI DataLake管理控制台
  2. 在页面左上角切换至对应的工作空间。
  3. 在左侧导航栏选择“引擎端点 > 批处理引擎 Spark”进入端点列表页面。
  4. 单击页面右上角的“创建端点”,进入端点创建页面。
  5. 配置端点的基础信息。具体操作,请参考创建Spark引擎端点
  6. 在存储配置区域配置委托信息:

    委托名:选择步骤1:创建委托并授权中新建的委托。

配置RayJob委托

  1. 登录AI DataLake管理控制台
  2. 在页面左上角切换至对应的工作空间。
  3. 在左侧导航栏选择“引擎端点 > AI 计算引擎 Ray”进入端点列表页面。
  4. 单击页面右上角的“创建端点”,配置端点信息。具体操作,请参见创建RayJob端点

    在“委托配置”区域勾选“委托配置”,然后在下拉框中选择步骤1:创建委托并授权中新建的委托名。

相关文档