配置ModelArts委托授权以使用ModelArts Studio(MaaS)
在使用ModelArts平台的MaaS服务时,权限管理是保障服务正常运行和数据安全的关键环节。ModelArts平台所有功能均依托IAM体系进行权限管控,服务管理员可借此对用户进行精细化权限设置。然而,部分用户在操作过程中,因未正确处理权限相关设置,出现了不可预期的错误,导致服务使用受阻。
无论是个人用户还是其他类型用户,都需要完成ModelArts委托授权,这是使用MaaS服务的必要前提,否则将导致操作出现错误。对于个人用户而言,无需考虑细粒度权限问题,完成ModelArts委托授权后,即可使用ModelArts。
场景描述
MaaS服务的访问授权是通过ModelArts统一管理的,当用户已拥有ModelArts的访问授权时,无需单独配置MaaS服务的访问授权,当用户没有ModelArts的访问授权时,则需要先完成配置才能正常使用MaaS服务。
ModelArts在任务执行过程中需要访问用户的其他服务,典型的就是训练过程中,需要访问OBS读取用户的训练数据。在这个过程中,就出现了ModelArts“代表”用户去访问其他云服务的情形。从安全角度出发,ModelArts代表用户访问任何云服务之前,均需要先获得用户的授权,而这个动作就是一个“委托”的过程。用户授权ModelArts再代表自己访问特定的云服务,以完成其在ModelArts平台上执行的AI计算任务。
ModelArts提供了一键式自动授权功能,用户可以在ModelArts的权限管理功能中,快速完成委托授权,由ModelArts为用户自动创建委托并配置到ModelArts服务中。
本章节主要介绍一键式自动授权方式。一键式自动授权方式支持给IAM子用户、联邦用户(虚拟IAM用户)、委托用户和所有用户授权。
约束与限制
- 华为云账号
- 只有华为云账号可以使用委托授权,可以为当前账号授权,也可以为当前账号下的所有IAM用户授权。
- 多个IAM用户或账号,可使用同一个委托。
- 一个账号下,最多可创建50个委托。
- 对于首次使用ModelArts的新用户,请直接新增委托即可。一般用户新增普通用户权限即可满足使用要求。如果有精细化权限管理的需求,可以自定义权限按需设置。
- IAM用户
- 如果已获得委托授权,则可以在权限管理页面中查看到已获得的委托授权信息。
- 如果未获得委托授权,当打开“访问授权”页面时,ModelArts会提醒您当前用户未配置授权,需联系此IAM用户的管理员账号进行委托授权。
计费说明
授权是通过IAM(身份和访问管理)服务进行的,用于控制用户对ModelArts资源的访问权限。IAM服务本身是免费的,您无需为授权操作支付费用。
计费主要与资源的使用相关,例如计算资源(vCPU、GPU、NPU)、存储资源(云硬盘、对象存储)等,详情请见计费说明。
前提条件
已注册华为账号并开通华为云,详情请见注册华为账号并开通华为云。
MaaS委托授权
- 登录ModelArts管理控制台,按照版本选择以下操作。
- 新版本:在左侧导航栏选择。
- 旧版本:在左侧导航栏选择“全局配置”。
- 单击“添加授权”,进入“访问授权”配置页面,根据表1参数说明进行配置。
以IAM子用户添加授权为例,参考表1中“举例”列快速授权。
表1 授权配置参数说明 参数
说明
举例
“授权对象类型”
包括IAM子用户、联邦用户、委托用户和所有用户。
选择“IAM子用户”。
“授权对象”
“授权对象类型”选择“所有用户”时不涉及此参数。
- IAM子用户:选择指定的IAM子用户,给指定的IAM子用户配置委托授权。
图1 选择IAM子用户
- 联邦用户:输入联邦用户的用户名或用户ID。
图2 选择联邦用户
- 委托用户:选择委托名称。使用账号A创建一个权限委托,在此处将该委托授权给账号B拥有的委托。在使用账号B登录ModelArts管理控制台时,可以在ModelArts管理控制台上角的个人账号切换角色到账号A,使用账号A的委托权限。
图3 委托用户切换角色
选择指定的IAM子用户,给指定的IAM子用户配置委托授权。
“委托选择”
- 已有委托:列表中如果已有委托选项,则直接选择一个可用的委托为上述选择的用户授权。单击委托名称查看该委托的权限详情。
- 新增委托:如果没有委托可选,可以在新增委托中创建委托权限。对于首次使用ModelArts的用户,需要新增委托。
选择“新增委托”。
“新增委托 > 委托名称”
系统自动创建委托名称,用户可以手动修改。
ModelArts自动生成委托命名规则:
- 授权对象类型为“IAM子用户”时,默认委托名称为ma_agency_[授权对象名称]。
- 授权对象类型为其他对象类型时,默认委托名称为modelarts_agency。
- 如果上述规则生成的委托名称已存在,则名称新增四位随机码后缀。
-
“新增委托 > 权限配置 > 普通模式”
普通模式下配置权限,该模式可针对用户业务场景进行自由定制,并保持最小授权,安全可靠。
在服务列表右侧勾选“全选”。
图4 普通模式
在服务列表右侧勾选“全选”。
“新增委托 > 权限配置 >高权限模式 ”
高权限模式下配置权限,配置的权限范围较大,适用于有管理员权限需求的用户。
对高权限有特殊需求的用户,可使用该模式,建议管理员谨慎配置该模式下的权限。
图5 高权限模式
-
- IAM子用户:选择指定的IAM子用户,给指定的IAM子用户配置委托授权。
- 勾选“我已经详细阅读并同意《ModelArts服务声明》”,单击“创建”,即可完成委托配置。
登录ModelArts Studio(MaaS)控制台,如果页面上没有显示任何关于权限配置的提示信息,说明委托配置已经完成。
也可前往“权限管理”页面查看授权的权限列表,查看已配置权限的权限详情。
修改授权的权限范围
- 在查看授权详情时,如果想要修改授权范围,可以在权限详情页单击“IAM查看全部委托权限”。
图8 去IAM修改委托权限
- 进入IAM管理控制台的“委托”页面,单击需要修改的委托名称,按需修改该委托的基本信息。“持续时间”可以选择永久、1天,或者自定义天数,例如30天。
图9 手动创建的委托
- 在“授权记录”页面单击“授权”,勾选要配置的策略,单击“下一步”设置最小授权范围,单击“确定”,完成授权修改。
设置最小授权范围时,可以选择指定的区域,也可以选择所有区域,即不设置范围。
删除授权
为了更好地管理您的授权,您可以删除某一IAM用户的授权,也可批量清空所有用户的授权。删除操作无法恢复,请谨慎操作。
- 删除某一用户的授权
在“权限管理”页面,展示当前账号下为其IAM用户配置的授权列表,针对某一用户,您可以单击“操作”列的“删除”,输入“DELETE”后单击“确认”,可删除此用户的授权。删除生效后,此用户将无法继续使用ModelArts的相关功能。
- 批量清空所有授权
在“权限管理”页面,单击授权列表上方的“清空授权”,输入“DELETE”后单击“确认”,可删除当前账号下的所有授权。删除生效后,此账号及其所有IAM子用户将无法继续使用ModelArts的相关功能。
常见问题
- 首次使用ModelArts如何配置授权?
直接选择“新增委托”中的“普通用户”权限即可,普通用户包括用户使用ModelArts完成AI开发的所有必要功能权限,如数据的访问、训练任务的创建和管理等。一般用户选择此项即可。
- 如何获取访问密钥AK/SK?
如果在其他功能(例如访问模型服务等)中使用到访问密钥AK/SK认证,获取AK/SK方式请参考如何获取访问密钥。
- 如何删除已有委托?
- 进入ModelArts管理控制台的某个页面时,为什么会提示权限不足?
可能原因是用户委托权限配置不足或模块能力升级,需要更新授权信息。根据界面操作提示追加授权即可。具体操作,请参见配置用户缺失的ModelArts Studio(MaaS)相关服务权限。
