创建子用户并授权使用盘古
如果您需要对华为云上购买的盘古资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(IAM)并结合盘古大模型套件平台提供的“角色管理”功能实现精细的权限管理。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户(子用户)进行权限管理,您可以跳过本章节,不影响您使用盘古的其他功能。
创建用户组
- 使用主账号登录IAM服务控制台。
- 左侧导航窗格中,选择“用户组”页签,单击右上方的“创建用户组”。
图1 创建用户组
- 在“创建用户组”界面,输入“用户组名称”,创建用户组。
- 返回用户组列表,单击列表中的“授权”。
图2 用户组授权
- 参考表1,为用户组设置权限。
表1 授权项 授权项
说明
Agent Operator
拥有该权限的用户可以切换角色到委托方账号中,访问被授权的服务。
Tenant Administrator
全部云服务管理员(除IAM管理权限)。
Security Administrator
统一身份认证服务(除切换角色外)所有权限。
图3 添加用户组权限
- 设置最小授权范围。
根据授权项策略,系统会自动推荐授权范围方案。例如,可以选择“所有资源”,即用户组内的IAM用户可以基于设置的授权项限使用账号中所有的企业项目、区域项目、全局服务资源。也可以选择“指定区域项目资源”,如指定“西南-贵阳一”区域,即用户组内的IAM用户仅可使用该区域项目中的资源。
图4 设置最小授权范围
- 完成用户组授权。
图5 完成授权
创建IAM用户,并加入用户组
设置用户角色
主账号登录盘古大模型套件平台页面,在页面左侧导航栏“平台管理 > 权限管理”功能中为不同子用户设置角色。
- 主账号(最终租户)默认拥有系统管理员权限,支持给子账号分配角色。
- 角色包括:推理服务API调用人员、模型开发人员、运营人员、Prompt工程人员、系统管理员。
图9 设置用户角色
表2 角色和功能关系 功能
推理服务API调用人员
模型开发人员
运营人员
Prompt工程人员
系统管理员
总览
√
√
√
√
√
体验中心
-
-
-
-
√
应用百宝箱
-
-
-
√
√
服务管理
√
√
-
√
√
能力调测
√
√
-
√
√
数据工程-数据管理
-
√
-
-
√
数据工程-数据清洗
-
√
-
-
√
数据工程-提示用例管理
-
-
-
√
√
模型开发-模型管理
-
√
-
-
√
模型开发-模型训练
-
√
-
-
√
模型开发-模型评估
-
√
-
-
√
模型开发-模型压缩
-
√
-
-
√
模型开发-模型部署
-
√
-
-
√
应用开发-提示词工程
-
-
-
√
√
应用开发-提示词管理
-
-
-
√
√
应用开发-工具管理
-
-
-
√
√
应用开发-AI助手
-
-
-
√
√
应用开发-知识库管理
-
-
-
√
√
应用开发-应用开发SDK(link)
-
-
-
√
√
平台管理-资产管理
-
-
√
-
√
平台管理-权限管理
√
√
√
√
√
平台管理-授权管理
-
√
-
-
√
运营面板
√
-
-
-
√
