配置Fabric服务委托权限

前提条件

• 已有可正常使用的华为云账号。
• 已有至少一个正常可用的工作空间。

操作步骤

1. 登录Fabric工作空间管理台，单击“服务授权”。
   图1 服务授权界面
   

2. 在服务授权页面配置授权委托。用户可以根据实际需要参照委托策略进行配置委托权限。
   图2 服务授权配置
   

   表1 委托策略

   委托策略名称	权限项	是否必须	功能
   FABRIC_COMMON_POLICY	iam:tokens:assume iam:groups:listGroups iam:users:listUsers iam:roles:listRoles iam:groups:listGroupsForUser iam:agencies:listAgencies iam:roles:getRole iam:permissions:listRolesForAgency obs:bucket:ListAllMyBuckets obs:bucket:GetLifecycleConfigurationd obs:bucket:GetBucketLocation obs:bucket:ListBucket obs:object:GetObjectVersion obs:object:GetObject DataArtsFabric:workspace:list DataArtsFabric:endpoint:list DataArtsFabric:endpoint:show DataArtsFabric:endpoint:listRoute	是	IAM相关权限：仅委托部分只读权限，保证服务能够比较当前用户的委托和服务需要的委托，用于提示用户进行委托更新。 OBS相关权限：服务所有业务，包括作业，推理，都需要OBS文件的读取权限，保证后续能够从用户的OBS桶拉取到作业文件进行执行，模型文件进行部署。针对OBS的权限，用户可以在IAM的委托界面手动修改fabric_admin_trust委托中OBS相关的部分，限制服务可以访问的OBS资源，具体如何设置参考IAM权限，OBS自定义策略样例。
   FABRIC_AOM_POLICY	aom:alarm:put	否	Fabric服务使用运维管理服务所需的权限。如果需要指标监控和告警能力，需要开启。
   FABRIC_LAKEFORMATION_POLICY	lakeformation:accessTenant:grant lakeformation:access:delete lakeformation:access:create lakeformation:access:describe lakeformation:access:describe lakeformation:agreement:grant lakeformation:agreement:describe lakeformation:agreement:cancel lakeformation:agency:create lakeformation:agency:drop lakeformation:agency:describe	否	Fabric服务使用LakeFormation服务所需的权限。如果需要对接LakeFormation，则需要开启。
   FABRIC_SMN_POLICY	smn:topic:publish	否	Fabric服务使用消息通知服务所需的权限。如果需要消息通知能力，则需要开启。

   

   除必选的委托，其他委托权限都支持取消。