云服务器内容精选
-
示例流程 图1 给用户授权NAT网关权限流程 创建用户组并授权 在 IAM 控制台创建用户组,并授予NAT网关服务权限“NATReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择NAT网关,进入NAT网关主界面,单击右上角“购买NAT网关”,如果无法购买NAT网关(假设当前权限仅包含NATReadOnlyAccess),表示“NATReadOnlyAccess”已生效。 在“服务列表”中选择除NAT网关外(假设当前策略仅包含NATReadOnlyAccess)的任一服务,若提示权限不足,表示“NATReadOnlyAccess”已生效。
-
权限概述 工业数字模型驱动引擎(Industrial Digital Model Engine,简称iDME)权限管理是在 统一身份认证 服务(Identity and Access Management,简称IAM)和组织成员帐号(OrgID)的能力基础上,打造的细粒度权限管理功能。支持对控制台、设计服务和不同运行服务的权限控制,帮助用户便捷灵活的对租户下的IAM用户/用户组和OrgID组织成员设置不同的操作权限。 iDME的权限管理包括“控制台权限”、“设计服务”、“数据建模引擎”和“数字主线引擎”等能力,能够从控制台、设计服务和不同的运行服务层面对用户/用户组和组织成员进行细粒度授权,具体解释如下: 控制台权限:是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过控制台权限设置可以让某些用户组操作控制台(如创建应用、部署应用、卸载应用、购买iDME商品等),让某些用户组仅能在控制台查看资源信息。 设计服务权限:基于IAM能力的授权,通过应用设计态中的用户管理功能使IAM用户拥有进入应用设计态开发应用的权限。 数据建模引擎权限:提供体验版和基础版的数据建模引擎,应用部署在不同的数据建模引擎,对应应用运行态的权限控制能力不同。 部署在体验版数据建模引擎的应用运行态的权限,是基于IAM能力的授权,IAM用户可拥有进入对应应用运行态开发的权限。 部署在基础版数据建模引擎的应用运行态的权限,是基于OrgID能力的授权,OrgID组织成员可拥有进入对应的权限应用运行态开发的权限。请确保您的华为账号已开通OrgID和创建组织。关于OrgID的详细介绍,请参见OrgID。 数字主线引擎权限:基于IAM能力的授权,通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 父主题: 权限管理
-
策略集 策略集是一个容器,是您创建的参与者、数据模型、权限规则和操作类型相互关联的权限策略集合。当应用进行鉴权时,系统将在您指定的策略集中寻找权限策略,来确定参与者是否具有相应权限。更多关于策略集的操作请参见策略集。 xDM-F内置的“adhoc”和“function”策略集不允许编辑、删除或添加子策略集。 此外,文件夹具有策略集继承的功能,子文件夹的策略集可以继承父文件夹的策略集,也可以自定义。更多关于文件夹的操作请参见文件夹。
-
参与者 参与者一般指的是在系统之外与系统交互的某人或某角色,在xDM-F中,参与者指的是对搜索服务定义、“权限管理”功能的数据模型与其 数据实例 等操作的某人或某角色。xDM-F当前提供如表1所示的参与者类型。 表1 参与者类型 类型 说明 团队角色 指一个人在团队中某一职位上应该承担的责任,例如某业务团队的业务经理、业务组长、业务人员和业务代表。 一个团队可以引用多个团队角色,一个团队角色可以被多个团队引用。 只有被引用的团队角色才可以在团队中为该团队角色添加角色成员。 群组 指将用户按照子公司、部门、项目等维度划分为不同的群组,使群组下的全部用户获得相应的权限,方便统一权限管理。 全局角色 指用于管理xDM-F全局功能的操作权限或者某个子模块最高权限的角色,例如超级管理员、系统管理员、安全管理员、质量管理员、数据源管理员等。 虚拟角色 xDM-F在团队角色中预置了所有人、拥有者和团队成员三种虚拟角色。 所有人:指应用下的所有用户,即“XDMUser”数据实体的所有数据实例。 拥有者:指数据实例的所有者,即创建某个数据实例时指定的所有者。 团队成员:指某个团队下的某个用户。例如某医院的护士团队、急诊医生团队、外科医生团队等,每个团队中均存在临时员工。此时,您可以通过该虚拟角色动态授权/鉴权。 用户 指应用下的个体成员,即“XDMUser”数据实体创建的数据实例。
-
授权 为了保证各类数据的安全性,满足用户自定义开发数据对象或功能授权的需求,xDM-F提供基于数据对象和操作的授权功能。您可以通过授权功能将参与者、搜索服务定义/具有“权限管理”功能的数据模型及操作类型进行关联,并将这组关系配置到策略集,提升模型维护效率,方便用户维护系统权限、数据流转等操作。 根据授权维度的不同,xDM-F的授权分为静态授权和动态授权。 表2 授权类型 类型 说明 静态授权 即实体授权,是对搜索服务定义/具有“权限管理”功能的数据模型的权限处理,基于数据模型维度所设置的权限,将影响至此数据模型所有的数据实例。 更多关于实体授权的操作请参见授权。 动态授权 即实例授权,是对具有“权限管理”功能的数据实例的精细化权限处理,可以为参与者基于某一个确定的数据实例进行权限设置,常见于工作流审批等需要临时为参与者设置数据权限等场景。 更多关于实例授权的操作请参见管理数据实例授权。
-
支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。 权限:允许或拒绝某项操作。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 权限 授权项 查询实例详情 aad:instance:get 查询实例列表 aad:instance:list 创建实例 aad:instance:create 修改实例 aad:instance:put 查询证书列表 aad:certificate:list 上传证书 aad:certificate:create 删除证书 aad:certificate:delete 获取 域名 详情 aad:domain:get 获取域名列表 aad:domain:list 添加域名 aad:domain:create 编辑域名 aad:domain:put 删除域名 aad:domain:delete 查询防护策略 aad:policy:get 查询开启防护策略的域名列表 aad:policy:list 创建防护策略 aad:policy:create 更新防护策略 aad:policy:put 删除防护策略 aad:policy:delete 创建黑白名单规则 aad:whiteBlackIpRule:create 删除黑白名单规则 aad:whiteBlackIpRule:delete 查询黑白名单规则列表 aad:whiteBlackIpRule:list 查询配额 aad:quotas:get 查询转发规则 aad:forwardingRule:get 导出转发规则 aad:forwardingRule:list 添加转发规则 aad:forwardingRule:create 修改转发规则 aad:forwardingRule:put 删除转发规则 aad:forwardingRule:delete 查看数据报表 aad:dashboard:get 查询告警通知 aad:alarmConfig:get 创建告警通知 aad:alarmConfig:create
-
示例流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云数据库 RDS,进入RDS主界面,单击右上角“购买关系型数据库”,尝试购买关系型数据库,如果无法购买关系型数据库(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库 RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,若提示权限不足,表示“RDS ReadOnlyAccess”已生效。
-
示例流程 图1 给用户授权Flexus云数据库RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予Flexus云数据库RDS只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 进入Flexus云数据库RDS界面,单击右上角“购买Flexus云数据库RDS实例”,尝试购买实例,如果无法购买Flexus云数据库RDS(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 选择除Flexus云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“RDS ReadOnlyAccess”已生效。
-
示例场景 如果用户需要访问成本中心的所有操作权限,请授予“BSS Administrator”权限。 如果用户仅需要查看成本中心的成本数据权限,请授予“BSS ReadonlyAccess”权限。 如果用户想要查看成本分析数据,下载分析结果等财务相关的权限,请授予“BSS FinanceAccess”权限。 如果想要对用户权限做更细粒度的限制,可以创建自定义策略。自定义策略的授权项(Action)说明请参考表3。
-
示例流程 图1 给用户授权流程 创建用户组并授权 在IAM控制台创建用户组,并授予成本中心所有操作权限“BSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录成本中心,验证是否具有导出成本明细的权限。 在“成本分析”页面单击“导出成本明细”,验证是否可以导出成功。如果导出成功,表示“BSS Administrator”已生效。
-
示例流程 图1 给用户授予CBH权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 云堡垒机 的只读权限“CBH ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云 堡垒机 ,进入CBH实例主界面,单击“购买云堡垒机”,尝试购买CBH实例,若提示权限不足,无法购买CBH实例(假设当前权限仅包含“CBH ReadOnlyAccess”),表示“CBH ReadOnlyAccess”生效。 在“服务列表”中选择除云堡垒机外(假设当前策略仅包含“CBH ReadOnlyAccess”)的任一服务,若提示权限不足,表示“CBH ReadOnlyAccess”已生效。
-
示例流程 图1 给用户授权 OMS 权限流程 创建用户组并授权 系统策略:如果IAM用户需要OMS的所有操作权限,则为IAM用户授予系统策略。在IAM控制台创建用户组,并授予“OMS Administrator”与“OBS Administrator”。 自定义策略:如果IAM用户只需要拥有OMS的部分操作权限,则使用自定义策略,参见如何获取源端桶权限和目的端桶权限? 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户的“访问方式”必须同时勾选“编程访问”和“管理控制台访问”。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择 对象存储迁移 服务,进入对象存储迁移服务主界面,单击右上角“创建迁移任务”,如果可以创建迁移任务,表示“OMS Administrator”已生效。 在“服务列表”中选择除对象存储迁移服务外(假设当前策略仅包含OMS Administrator)的任一服务,若提示权限不足,表示“OMS Administrator”已生效。
-
用工作空间限制资源访问 工作空间是ModelArts面向企业用户提供的一个高阶功能,用于进一步将用户的资源划分在多个逻辑隔离的空间中,并支持以空间维度进行访问的权限限定。目前工作空间功能是“受邀开通”状态,作为企业用户您可以通过您对口的技术支持经理申请开通。 在开通工作空间后,系统会默认为您创建一个“default”空间,您之前所创建的所有资源,均在该空间下。当您创建新的工作空间之后,相当于您拥有了一个新的“ModelArts分身”,您可以通过菜单栏的左上角进行工作空间的切换,不同工作空间中的工作互不影响。 创建工作空间时,必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目,但一个工作空间不可以绑定多个企业项目。借助工作空间,您可以对不同用户的资源访问和权限做更加细致的约束,具体为如下两种约束: 只有被授权的用户才能访问特定的工作空间(在创建、管理工作空间的页面进行配置),这意味着,像数据集、算法等AI资产,均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中,如果“选择授权范围方案”时设定为“指定企业项目资源”,那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的,意味着对于一个用户,必须同时拥有工作空间的访问权和训练任务的创建权限(且该权限覆盖至当前的工作空间),他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户,其所有操作均相当于在“default”企业项目里进行,请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户,不受上述约束限制。
-
理解ModelArts的权限与委托 图1 权限管理抽象 ModelArts与其他服务类似,功能都通过IAM的权限来进行控制。比如,用户(此处指IAM子账号,而非租户)希望在ModelArts创建训练作业,则该用户必须拥有 "modelarts:trainJob:create" 的权限才可以完成操作(无论界面操作还是API调用)。关于如何给一个用户赋权(准确讲是需要先将用户加入用户组,再面向用户组赋权),可以参考IAM的文档《权限管理》。 而ModelArts还有一个特殊的地方在于,为了完成AI计算的各种操作,AI平台在任务执行过程中需要访问用户的其他服务,典型的就是训练过程中,需要访问OBS读取用户的训练数据。在这个过程中,就出现了ModelArts“代表”用户去访问其他云服务的情形。从安全角度出发,ModelArts代表用户访问任何云服务之前,均需要先获得用户的授权,而这个动作就是一个“委托”的过程。用户授权ModelArts再代表自己访问特定的云服务,以完成其在ModelArts平台上执行的AI计算任务。 综上,对于图1 权限管理抽象可以做如下解读: 用户访问任何云服务,均是通过标准的IAM权限体系进行访问控制。用户首先需要具备相关云服务的权限(根据您具体使用的功能不同,所需的相关服务权限亦有差异)。 权限:用户使用ModelArts的任何功能,亦需要通过IAM权限体系进行正确权限授权。 委托:ModelArts上的AI计算任务执行过程中需要访问其他云服务,此动作需要获得用户的委托授权。
-
ModelArts权限管理 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分,为项目级服务,授权时“选择授权范围方案”可以选择“指定区域项目资源”,如果授权时指定了区域(如华北-北京4)对应的项目(cn-north-4),则该权限仅对此项目生效;简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目,所以选择授权范围方案时,也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候,并不是直接将具体的某个权限进行赋权,而是需要先将权限加入到“策略”当中,再把策略赋给用户组。为了方便用户的权限管理,各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求,则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户,拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户,拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲,只给管理员开通“ModelArts FullAccess”,如果不需要太精细的控制,直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制,请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上,当您给用户进行ModelArts赋权时,系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全,不会出现预期外的“越权”,但缺点是,您必须同时给用户赋予不同服务的权限,才能确保用户可以顺利完成某些ModelArts操作。 举例,如果用户需要用OBS中的数据进行训练,当已经为IAM用户配置ModelArts训练权限时,仍需同时为其配置对应的OBS权限(读、写、列表),才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径;读权限主要用于数据的预览以及训练任务执行时的数据读取;写权限则是为了保存训练结果和日志。 对于个人用户或小型组织,一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略,这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时,由于用户的权限较大,会存在相对较大的安全风险,需谨慎使用。(对于个人用户,其默认IAM账号就已经属于admin用户组,且具备Tenant Administrator权限,无需额外操作) 当您需要限制用户操作,仅为ModelArts用户配置OBS相关的最小化权限项,具体操作请参见OBS权限管理。对于其他云服务,也可以进行精细化权限控制,具体请参考对应的云服务文档。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格