云服务器内容精选
-
理解ModelArts的权限与委托 图1 权限管理抽象 ModelArts与其他服务类似,功能都通过 IAM 的权限来进行控制。比如,用户(此处指IAM子账号,而非租户)希望在ModelArts创建训练作业,则该用户必须拥有 "modelarts:trainJob:create" 的权限才可以完成操作(无论界面操作还是API调用)。关于如何给一个用户赋权(准确讲是需要先将用户加入用户组,再面向用户组赋权),可以参考IAM的文档《权限管理》。 而ModelArts还有一个特殊的地方在于,为了完成AI计算的各种操作,AI平台在任务执行过程中需要访问用户的其他服务,典型的就是训练过程中,需要访问OBS读取用户的训练数据。在这个过程中,就出现了ModelArts“代表”用户去访问其他云服务的情形。从安全角度出发,ModelArts代表用户访问任何云服务之前,均需要先获得用户的授权,而这个动作就是一个“委托”的过程。用户授权ModelArts再代表自己访问特定的云服务,以完成其在ModelArts平台上执行的AI计算任务。 综上,对于图1 权限管理抽象可以做如下解读: 用户访问任何云服务,均是通过标准的IAM权限体系进行访问控制。用户首先需要具备相关云服务的权限(根据您具体使用的功能不同,所需的相关服务权限多寡亦有差异)。 权限:用户使用ModelArts的任何功能,亦需要通过IAM权限体系进行正确权限授权。 委托:ModelArts上的AI计算任务执行过程中需要访问其他云服务,此动作需要获得用户的委托授权。
-
用工作空间限制资源访问 工作空间是ModelArts面向企业用户提供的一个高阶功能,用于进一步将用户的资源划分在多个逻辑隔离的空间中,并支持以空间维度进行访问的权限限定。目前工作空间功能是“受邀开通”状态,作为企业用户您可以通过您对口的技术支持经理申请开通。 在开通工作空间后,系统会默认为您创建一个“default”空间,您之前所创建的所有资源,均在该空间下。当您创建新的工作空间之后,相当于您拥有了一个新的“ModelArts分身”,您可以通过菜单栏的左上角进行工作空间的切换,不同工作空间中的工作互不影响。 创建工作空间时,必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目,但一个工作空间不可以绑定多个企业项目。借助工作空间,您可以对不同用户的资源访问和权限做更加细致的约束,具体为如下两种约束: 只有被授权的用户才能访问特定的工作空间(在创建、管理工作空间的页面进行配置),这意味着,像数据集、算法等AI资产,均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中,如果“选择授权范围方案”时设定为“指定企业项目资源”,那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的,意味着对于一个用户,必须同时拥有工作空间的访问权和训练任务的创建权限(且该权限覆盖至当前的工作空间),他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户,其所有操作均相当于在“default”企业项目里进行,请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户,不受上述约束限制。
-
ModelArts权限管理 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分,为项目级服务,授权时“选择授权范围方案”可以选择“指定区域项目资源”,如果授权时指定了区域(如华北-北京4)对应的项目(cn-north-4),则该权限仅对此项目生效;简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目,所以选择授权范围方案时,也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候,并不是直接将具体的某个权限进行赋权,而是需要先将权限加入到“策略”当中,再把策略赋给用户组。为了方便用户的权限管理,各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求,则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户,拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户,拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲,只给管理员开通“ModelArts FullAccess”,如果不需要太精细的控制,直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制,请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上,当您给用户进行ModelArts赋权时,系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全,不会出现预期外的“越权”,但缺点是,您必须同时给用户赋予不同服务的权限,才能确保用户可以顺利完成某些ModelArts操作。 举例,如果用户需要用OBS中的数据进行训练,当已经为IAM用户配置ModelArts训练权限时,仍需同时为其配置对应的OBS权限(读、写、列表),才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径;读权限主要用于数据的预览以及训练任务执行时的数据读取;写权限则是为了保存训练结果和日志。 对于个人用户或小型组织,一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略,这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时,由于用户的权限较大,会存在相对较大的安全风险,需谨慎使用。(对于个人用户,其默认IAM账号就已经属于admin用户组,且具备Tenant Administrator权限,无需额外操作) 当您需要限制用户操作,仅为ModelArts用户配置OBS相关的最小化权限项,具体操作请参见OBS权限管理。对于其他云服务,也可以进行精细化权限控制,具体请参考对应的云服务文档。
-
严格授权模式 严格授权模式是指在IAM中创建的子账号必须由账号管理员显式在IAM中授权,才能访问ModelArts服务,管理员用户可以通过授权策略为普通用户精确添加所需使用的ModelArts功能的权限。 相对的,在非严格授权模式下,子账号不需要显式授权就可以使用ModelArts,管理员需要在IAM上为子账号配置Deny策略来禁止子账号使用ModelArts的某些功能。 账号的管理员用户可以在“权限管理”页面修改授权模式。 如无特殊情况,建议优先使用严格授权模式。在严格授权模式下,子账号要使用ModelArts的功能都需经过授权,可以更精确的控制子账号的权限范围,达成权限最小化的安全策略。
-
示例流程 图1 给用户授权VPCEP权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 VPC终端节点 权限“VPCEndpoint Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择“VPC终端节点”,进入VPCEP主界面,单击右上角“购买终端节点”,尝试购买终端节点,如果可以购买,表示“VPCEndpoint Administrator”已生效。 在“服务列表”中选择除VPC终端节点外(假设当前权限仅包含VPCEndpoint Administrator)的任一服务,若提示权限不足,表示“VPCEndpoint Administrator”已生效。
-
数字主线引擎权限 数字主线引擎采用数字化技术,定义产品全量数据模型,打通数据孤岛联接业务数据,全关联海量业务实例数据构建全价值网络,并为各领域提供高效数据索引、追溯、交互服务。 登录数字主线引擎(LinkX Foundation,简称LinkX-F)后,基于iDME RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 数字主线引擎中内置了四类角色:企业级管理员、租户级管理员、开发人员和只读人员,这四类角色之间的关系和简要说明如下: 企业级管理员(En_ADMINISTRATOR):拥有系统操作的最高权限,并可对除自身外的其他用户进行数据权限授权。 数字主线引擎创建成功后会自动开通企业租户,即服务购买也是开通企业租户的账号。该账号登录数字主线引擎后,系统默认会为其配置该角色。 租户级管理员(Func_ADMINISTRATOR):由企业级管理员授权,享有授权应用租户下除“xDM-F数据同步”外的其他模块的数据操作权限,但不包含“全局用户授权”的可见可操作权限。 开发人员(Func_DEVELOPER):由企业级管理员或租户级管理员授权,享有授权应用租户下除“xDM-F数据同步”、“租户管理”和“用户权限管理”外的其他模块的数据操作权限,但不包含“全局用户授权”和“活动日志”的可见可操作权限。 只读人员(Func_READER):由企业级管理员或租户级管理员授权,享有授权应用租户的数据只读权限,但不包含“全局用户授权”和“活动日志”的可见权限。 父主题: 权限管理
-
委托权限优化 登录图引擎服务管理控制台,在左侧导航栏,选择“图管理”。 如果未整改,在界面的上部,会看到委托权限待整改通知。 单击“前往进行整改”,弹出优化委托权限界面,如图1所示。 注意:该界面会提醒用户在使用GES服务时,部分场景需要委托以授权GES服务访问用户资源,系统会创建ges_access_vpc_custom自定义策略,并授权给ges_agency,以及列举出待删除的具有高风险的委托权限,以提升账号安全性。 图1 优化委托权限 手动输入或者一键输入“DELETE”,执行优化操作,执行成功后该界面会自动关掉待整改通知。 如果当前用户没有查询委托权限,系统无法根据当前用户的认证凭据查询委托信息,整改通知会在每次进入界面时都会弹出,并提示用户通知管理员进行整改。用户也可以关闭该通知或者设置“不再提醒”。
-
GS_DB_PRIVILEGE GS_DB_PRIVILEGE系统表记录ANY权限的授予情况,每条记录对应一条授权信息。 表1 GS_DB_PRIVILEGE字段 名称 类型 描述 oid oid 行标识符(隐含字段,必须明确选择)。 roleid oid 用户标识。 privilege_type text 用户拥有的ANY权限,取值参考表1。 admin_option boolean 是否具有privilege_type列记录的ANY权限的再授权权限。 t:表示具有。 f:表示不具有。 父主题: 用户和权限管理
-
角色权限 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。只包含系统角色,不可自定义角色。 表1 GES系统角色 角色名称 描述 Tenant Guest 普通租户用户。 操作权限:可以对GES资源执行查看操作。 作用范围:项目级服务。 GES Administrator GES服务管理用户。 操作权限:可以对GES资源执行任意操作。 作用范围:项目级服务。 说明: 拥有该权限的用户同时拥有Tenant Guest、Server Administrator、VPC Administrator权限时,可以对GES资源执行任意操作。如果没有Tenant Guest或Server Administrator权限,将无法正常使用GES。 如果需要绑定/解绑EIP,则还需要拥有Security Administrator权限用于创建委托。 如果需要与OBS服务进行交互,例如创建,导入等操作,则还需要拥有OBS服务的权限,具体请参考GES常用操作对OBS权限的依赖关系,OBS权限授权时需要指定权限范围为全局服务资源。 GES Manager GES服务高级用户。 操作权限:可以对GES资源执行除创建图、删除图、变更规格、扩副本以外的任意操作。 作用范围:项目级服务。 说明: 拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对GES资源执行除创建图和删除图以外的任意操作。如果没有Tenant Guest权限,将无法正常使用GES。 如果需要绑定/解绑EIP,则还需要拥有Security Administrator和Server Administrator权限。 如果需要与OBS服务进行交互,例如导入操作,则还需要拥有OBS服务的权限,具体请参考GES常用操作对OBS权限的依赖关系,OBS权限授权时需要指定权限范围为全局服务资源。 GES Operator GES服务普通用户。 操作权限:可以对GES资源执行查看操作和访问图。 作用范围:项目级服务。 说明: 拥有该权限的用户同时拥有Tenant Guest权限时,可以对GES资源执行查看操作和访问图。如果没有Tenant Guest,则无法执行查看类操作或者访问图。 如果需要与OBS服务进行交互,例如查看元数据,则还需要拥有OBS服务的权限,具体请参考表3。 表2 GES常用操作与角色的关系 操作 GES Administrator GES Manager GES Operator Tenant Guest 创建图 √ × × × 删除图 √ × × × 查看图 √ √ √ √ 访问图 √ √ √ × 导入数据 √ √ × × 创建元数据 √ √ × × 查看元数据 √ √ √ √ 复制元数据 √ √ × × 编辑元数据 √ √ × × 删除元数据 √ √ × × 清空数据 √ √ × × 备份图 √ √ × × 恢复备份 √ √ × × 删除备份 √ √ × × 查看备份 √ √ √ √ 启动图 √ √ × × 停止图 √ √ × × 升级图 √ √ × × 导出图 √ √ × × 绑定EIP √ √ × × 解绑EIP √ √ × × 查看任务中心 √ √ √ √ 变更规格 √ × × × 扩副本图 √ × × × 重启图 √ √ × × 图细粒度权限配置 √ √ × × 用户组配置 √ √ × × 导入IAM用户 √ √ × × 查看用户详情 √ √ √ √ 表3 GES常用操作对OBS权限的依赖关系 GES操作 依赖的OBS权限 查看元数据 OBS Viewer策略或者OBS Buckets Viewer角色 创建/导入/复制/编辑/删除元数据 OBS Operator策略或者Tenant Administrator角色 创建图,导入图/导出图 OBS Operator策略或者Tenant Administrator角色 表4 GES常用操作对IAM权限的依赖关系 GES操作 依赖的IAM权限 导入IAM用户 iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色 创建/编辑用户组 iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色 父主题: 权限管理
-
GS_DB_PRIVILEGE GS_DB_PRIVILEGE系统表记录ANY权限的授予情况,每条记录对应一条授权信息。 表1 GS_DB_PRIVILEGE字段 名称 类型 描述 oid oid 行标识符(隐含字段,必须明确选择)。 roleid oid 用户标识。 privilege_type text 用户拥有的ANY权限,取值参考表1。 admin_option boolean 是否具有privilege_type列记录的ANY权限的再授权权限。 t:表示具有。 f:表示不具有。 父主题: 用户和权限管理
-
参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0:代表基于角色的访问控制。 Statement: 角色的授权语句 Action:授权项 操作权限 格式为:服务名:资源类型:操作 "DNS:Zone:*":表示对DNS的Zone所有操作。其中“DNS”为服务名;“Zone”为资源类型;“*”为通配符,表示对Zone资源类型可以执行所有操作。 Effect:作用 定义Action中的操作权限是否允许执行 Allow:允许执行。 Deny:不允许执行。 说明: 当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 Depends: 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如:BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明: 给用户组授予示例的“DNS Administraor”角色时,必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”,“DNS Administraor”才会生效。 了解更多角色依赖关系,请参考:系统权限。
-
角色内容 给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DNS Administrator”为例,说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" }, { "catalog": "VPC", "display_name": "VPC Administrator" } ] }
-
云专线自定义策略样例 示例1:授权用户更新虚拟网关 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dcaas:vgw:update" ] } ] }
-
权限授予或撤销 数据库对象创建后,进行对象创建的用户就是该对象的所有者。集群安装后的默认情况下,未开启三权分立,数据库系统管理员具有与对象所有者相同的权限。 也就是说对象创建后,默认只有对象所有者或者系统管理员可以查询、修改和删除对象,以及通过GRANT将对象的权限授予其他用户。为使其他用户能够使用对象,可以由对象所有者或管理员通过GRANT/REVOKE对其他用户或角色授予与撤销。 使用GRANT语句授予权限。 例如,将模式myschema的权限赋给角色u1后,将表myschema.t1的SELECT权限授予角色u1。 1 2 GRANT USAGE ON SCHEMA myschema TO u1; GRANT SELECT ON TABLE myschema.t1 to u1; 使用REVOKE撤销已经授予的权限。 例如:撤销用户u1在指定表myschema.t1上的所有权限。 REVOKE ALL PRIVILEGES ON myschema.t1 FROM u1;
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
