更新时间:2025-07-08 GMT+08:00
分享

配置DataArtsFabric服务委托权限

当前云服务提供多种功能,不同的功能需要不同的委托权限。详细见表1

前提条件

已有可正常使用的华为云账号。

操作步骤

  1. 登录DataArtsFabric工作空间管理台,单击“服务授权”

    图1 服务授权界面

  2. “服务授权”页面配置授权委托。用户可以根据实际需要参照委托策略进行配置委托权限。

    图2 服务授权配置
    表1 委托策略

    委托策略名称

    权限项

    是否必须

    功能

    FABRIC_COMMON_POLICY

    iam:agencies:listAgencies

    iam:roles:getRole

    iam:permissions:listRolesForAgency

    obs:bucket:ListAllMyBuckets

    obs:bucket:ListBucket

    obs:object:GetObjectVersion

    obs:object:GetObject

    • IAM相关权限:仅委托部分只读权限,保证服务能够比较当前用户的委托和服务需要的委托,用于提示用户进行委托更新。
    • OBS相关权限:服务所有业务,包括作业,推理,都需要OBS文件的读取权限,保证后续能够从用户的OBS桶拉取到作业文件进行执行,模型文件进行部署。针对OBS的权限,用户可以在IAM的委托界面手动修改fabric_admin_trust委托中OBS相关的部分,限制服务可以访问的OBS资源,具体如何设置参考IAM权限,OBS自定义策略样例。

    FABRIC_LTS_POLICY

    lts:groups:create

    lts:groups:get

    lts:groups:list

    lts:topics:create

    lts:topics:get

    lts:topics:list

    DataArtsFabric服务配置转储日志所需的权限。

    FABRIC_SELF_POLICY

    DataArtsFabric:workspace:list

    DataArtsFabric:workspace:listRoute

    DataArtsFabric:workspace:showSession

    DataArtsFabric:workspace:listMessagePolicy

    DataArtsFabric:endpoint:show

    DataArtsFabric:endpoint:list

    DataArtsFabric:job:dropJobInstance

    DataArtsFabric:job:listJobInstance

    DataArtsFabric服务用来帮助用户管理资源所需的权限。

    FABRIC_LAKEFORMATION_POLICY

    lakeformation:accessTenant:grant

    lakeformation:access:delete

    lakeformation:access:create

    lakeformation:access:describe

    lakeformation:agreement:grant

    lakeformation:agreement:describe

    lakeformation:agreement:cancel

    lakeformation:agency:create

    lakeformation:agency:drop

    lakeformation:agency:describe

    DataArtsFabric服务使用LakeFormation服务所需的权限。如果需要对接LakeFormation,则需要开启。

    FABRIC_SMN_POLICY

    smn:topic:publish

    DataArtsFabric服务使用消息通知服务所需的权限。如果需要消息通知能力,则需要开启。

    FABRIC_SWR_POLICY

    swr:repo:listRepoDomains

    swr:repo:listRepoTags

    swr:repo:createRepoDomain

    DataArtsFabric服务使用用户共享的镜像所需要的权限。

    FABRIC_VPCEP_POLICY

    vpcep:epservices:get

    vpcep:connections:update

    vpcep:permissions:update

    vpcep:permissions:list

    DataArtsFabric服务使用连接用户网络功能所需权限。

    FABRIC_OBS_POLICY

    obs:bucket:PutLifecycleConfiguration

    obs:bucket:ListBucketMultipartUploads

    obs:object:GetObject

    obs:bucket:HeadBucket

    obs:bucket:DeleteBucket

    obs:bucket:CreateBucket

    obs:bucket:ListAllMyBuckets

    obs:bucket:ListBucket

    obs:object:PutObject

    DataArtsFabric服务使用用户OBS桶所需权限

    除必选的委托,其他委托权限都支持取消。

  3. 在桶策略中加入委托。

    DataArtsFabric服务会使用委托fabric_admin_trust来访问用户的OBS桶中的文件,因此需要保证委托能正常访问用户的OBS桶。

    用户需确认在DataArtsFabric服务中使用的OBS桶是否配置了桶策略。如果配置了桶策略,请确保委托没有被已有的桶策略拒绝,并且请按照以下步骤将委托加入桶策略中:

    1. 登录OBS管理控制台,在左侧导航栏选择资源管理 > 桶列表
    2. “桶列表”页面,单击桶名称,进入“对象”页面。
    3. 在左侧导航栏,单击权限控制 > 桶策略,然后单击“创建”
    4. “创建桶策略”面板,自定义策略名称,“被授权用户”选择“其他账号”,输入委托账号(格式为委托方账号ID/委托名称)。其中,委托名称为fabric_admin_trust。例如:s3a7973a07cf4725abf5ba0b6d7*****/fabric_admin_trust。
    图3 创建桶策略

  4. 确认OBS是否配置了服务端加密。

    如果OBS桶配置了服务端加密功能,且加密模式为SSE-KMS,则需要在委托fabric_admin_trust中加入KMS Administrator权限。详情信息,请参见被委托账号或用户为什么无法上传下载KMS加密对象?

    由于安全管理的要求,DataArtsFabric无法为用户直接配置KMS Administrator权限。用户需要按照以下步骤确认并添加权限。

    1. 登录OBS管理控制台,在左侧导航栏选择资源管理 > 桶列表
    2. “桶列表”页面,单击桶名称,进入“对象”页面。
    3. 在左侧导航栏,单击“概览”
    4. “基础配置”区域,确认是否已配置服务端加密,且“加密模式”“SSE-KMS”
      • 如果“加密模式”不是“SSE-KMS”,请跳过以下步骤。
      • 如果“加密模式”“SSE-KMS”,请继续执行以下步骤。
        图4 确认是否已配置服务端加密
        图5 加密模式为SSE-KMS
    5. 配置KMS Administrator权限。
      1. 在OBS管理控制台右上角,鼠标悬停至用户名,单击“统一身份认证”
        图6 统一身份认证
      2. 在IAM控制台左侧导航栏,单击“委托”
      3. “委托”页面的文本框,搜索委托名称fabric_admin_trust,在fabric_admin_trust委托右侧,单击“授权”
        图7 委托页面
      4. “授权”页面右上角的文本框,搜索策略名称KMS Administrator,选中该策略,单击“下一步”并完成授权。
        图8 授权页面

相关文档