配置DataArtsFabric服务委托权限
当前云服务提供多种功能,不同的功能需要不同的委托权限。详细见表1。
前提条件
已有可正常使用的华为云账号。
操作步骤
- 登录DataArtsFabric工作空间管理台,单击“服务授权”。
图1 服务授权界面
- 在“服务授权”页面配置授权委托。用户可以根据实际需要参照委托策略进行配置委托权限。
图2 服务授权配置
表1 委托策略 委托策略名称
权限项
是否必须
功能
FABRIC_COMMON_POLICY
iam:agencies:listAgencies
iam:roles:getRole
iam:permissions:listRolesForAgency
obs:bucket:ListAllMyBuckets
obs:bucket:ListBucket
obs:object:GetObjectVersion
obs:object:GetObject
是
- IAM相关权限:仅委托部分只读权限,保证服务能够比较当前用户的委托和服务需要的委托,用于提示用户进行委托更新。
- OBS相关权限:服务所有业务,包括作业,推理,都需要OBS文件的读取权限,保证后续能够从用户的OBS桶拉取到作业文件进行执行,模型文件进行部署。针对OBS的权限,用户可以在IAM的委托界面手动修改fabric_admin_trust委托中OBS相关的部分,限制服务可以访问的OBS资源,具体如何设置参考IAM权限,OBS自定义策略样例。
FABRIC_LTS_POLICY
lts:groups:create
lts:groups:get
lts:groups:list
lts:topics:create
lts:topics:get
lts:topics:list
是
DataArtsFabric服务配置转储日志所需的权限。
FABRIC_SELF_POLICY
DataArtsFabric:workspace:list
DataArtsFabric:workspace:listRoute
DataArtsFabric:workspace:showSession
DataArtsFabric:workspace:listMessagePolicy
DataArtsFabric:endpoint:show
DataArtsFabric:endpoint:list
DataArtsFabric:job:dropJobInstance
DataArtsFabric:job:listJobInstance
是
DataArtsFabric服务用来帮助用户管理资源所需的权限。
FABRIC_LAKEFORMATION_POLICY
lakeformation:accessTenant:grant
lakeformation:access:delete
lakeformation:access:create
lakeformation:access:describe
lakeformation:agreement:grant
lakeformation:agreement:describe
lakeformation:agreement:cancel
lakeformation:agency:create
lakeformation:agency:drop
lakeformation:agency:describe
否
DataArtsFabric服务使用LakeFormation服务所需的权限。如果需要对接LakeFormation,则需要开启。
FABRIC_SMN_POLICY
smn:topic:publish
否
DataArtsFabric服务使用消息通知服务所需的权限。如果需要消息通知能力,则需要开启。
FABRIC_SWR_POLICY
swr:repo:listRepoDomains
swr:repo:listRepoTags
swr:repo:createRepoDomain
否
DataArtsFabric服务使用用户共享的镜像所需要的权限。
FABRIC_VPCEP_POLICY
vpcep:epservices:get
vpcep:connections:update
vpcep:permissions:update
vpcep:permissions:list
否
DataArtsFabric服务使用连接用户网络功能所需权限。
FABRIC_OBS_POLICY
obs:bucket:PutLifecycleConfiguration
obs:bucket:ListBucketMultipartUploads
obs:object:GetObject
obs:bucket:HeadBucket
obs:bucket:DeleteBucket
obs:bucket:CreateBucket
obs:bucket:ListAllMyBuckets
obs:bucket:ListBucket
obs:object:PutObject
否
DataArtsFabric服务使用用户OBS桶所需权限
除必选的委托,其他委托权限都支持取消。
- 在桶策略中加入委托。
DataArtsFabric服务会使用委托fabric_admin_trust来访问用户的OBS桶中的文件,因此需要保证委托能正常访问用户的OBS桶。
用户需确认在DataArtsFabric服务中使用的OBS桶是否配置了桶策略。如果配置了桶策略,请确保委托没有被已有的桶策略拒绝,并且请按照以下步骤将委托加入桶策略中:
- 登录OBS管理控制台,在左侧导航栏选择。
- 在“桶列表”页面,单击桶名称,进入“对象”页面。
- 在左侧导航栏,单击,然后单击“创建”。
- 在“创建桶策略”面板,自定义策略名称,“被授权用户”选择“其他账号”,输入委托账号(格式为委托方账号ID/委托名称)。其中,委托名称为fabric_admin_trust。例如:s3a7973a07cf4725abf5ba0b6d7*****/fabric_admin_trust。
图3 创建桶策略
- 确认OBS是否配置了服务端加密。
如果OBS桶配置了服务端加密功能,且加密模式为SSE-KMS,则需要在委托fabric_admin_trust中加入KMS Administrator权限。详情信息,请参见被委托账号或用户为什么无法上传下载KMS加密对象?。
由于安全管理的要求,DataArtsFabric无法为用户直接配置KMS Administrator权限。用户需要按照以下步骤确认并添加权限。
- 登录OBS管理控制台,在左侧导航栏选择。
- 在“桶列表”页面,单击桶名称,进入“对象”页面。
- 在左侧导航栏,单击“概览”。
- 在“基础配置”区域,确认是否已配置服务端加密,且“加密模式”为“SSE-KMS”。
- 如果“加密模式”不是“SSE-KMS”,请跳过以下步骤。
- 如果“加密模式”是“SSE-KMS”,请继续执行以下步骤。
图4 确认是否已配置服务端加密
图5 加密模式为SSE-KMS
- 配置KMS Administrator权限。
- 在OBS管理控制台右上角,鼠标悬停至用户名,单击“统一身份认证”。
图6 统一身份认证
- 在IAM控制台左侧导航栏,单击“委托”。
- 在“委托”页面的文本框,搜索委托名称fabric_admin_trust,在fabric_admin_trust委托右侧,单击“授权”。
图7 委托页面
- 在“授权”页面右上角的文本框,搜索策略名称KMS Administrator,选中该策略,单击“下一步”并完成授权。
图8 授权页面
- 在OBS管理控制台右上角,鼠标悬停至用户名,单击“统一身份认证”。
