AI开发平台MODELARTS-IAM:角色与策略权限管理

时间:2024-12-17 18:07:06

角色与策略权限管理

ModelArts服务支持角色与策略授权。默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

ModelArts部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问ModelArts时,需要先切换至授权区域。

表1所示,包括了ModelArts的所有系统策略权限。如果系统预置的ModelArts权限,不满足您的授权要求,可以创建自定义策略,可参考策略JSON格式字段介绍

表1 ModelArts系统策略

策略名称

描述

类型

ModelArts FullAccess

ModelArts管理员用户,拥有所有ModelArts服务的权限。

系统策略

ModelArts CommonOperations

ModelArts操作用户,拥有所有ModelArts服务操作权限除了管理专属资源池的权限。

系统策略

ModelArts Dependency Access

ModelArts服务的常用依赖服务的权限。

系统策略

ModelArts对其他云服务有依赖关系,因此在ModelArts控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,依赖服务及其预置的权限如下。

表2 ModelArts控制台依赖服务的角色或策略

控制台功能

依赖服务

需配置角色/策略

数据管理(数据集/ 数据标注/数据处理)

对象存储服务 OBS

OBS Administrator

数据湖探索 DLI

DLI FullAccess

MapReduce服务 MRS

MRS Administrator

数据仓库 服务 GaussDB (DWS)

DWS Administrator

云审计 服务 CTS

CTS Administrator

AI开发平台 ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

开发环境Notebook/镜像管理/弹性节点Server

对象存储服务OBS

OBS Administrator

凭据管理服务 CS MS

C SMS ReadOnlyAccess

云审计服务CTS

CTS Administrator

弹性 云服务器ECS

ECS FullAccess

容器镜像服务 SWR

SWR Admin

弹性文件服务SFS

SFS Turbo FullAccess

应用运维管理 服务 AOM

AOM FullAccess

密钥管理服务KMS

KMS CMKFullAccess

AI开发平台ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

算法管理/训练管理/Workflow/自动学习

对象存储服务OBS

OBS Administrator

消息通知 服务 SMN

SMN Administrator

云审计服务CTS

CTS Administrator

企业项目管理服务EPS

EPS FullAccess

弹性文件服务SFS

SFS ReadOnlyAccess

容器 镜像服务 SWR

SWR Admin

应用运维管理服务AOM

AOM FullAccess

密钥管理服务KMS

KMS CMKFullAccess

虚拟私有云服务VPC

VPC FullAccess

AI开发平台ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

模型管理/在线服务/批量服务/边缘服务/边缘部署专属资源池

对象存储服务OBS

OBS Administrator

云监控服务 CES

CES ReadOnlyAccess

消息通知服务SMN

SMN Administrator

企业项目管理服务EPS

EPS FullAccess

云审计服务CTS

CTS Administrator

云日志服务LTS

LTS FullAccess

虚拟私有云VPC

VPC FullAccess

容器镜像服务SWR

SWR Admin

AI开发平台ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

AI Gallery

对象存储服务OBS

OBS Administrator

云审计服务CTS

CTS Administrator

容器镜像服务SWR

SWR Admin

AI开发平台ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

弹性集群Cluster(包含Standard资源池和Lite资源池)

云审计服务CTS

CTS Administrator

云容器引擎CCE

CCE Administrator

裸金属服务器BMS

BMS FullAccess

镜像服务IMS

IMS FullAccess

数据加密 服务DEW

DEW KeypairReadOnlyAccess

虚拟私有云VPC

VPC FullAccess

弹性云服务器ECS

ECS FullAccess

弹性文件服务SFS

SFS Turbo FullAccess

对象存储服务OBS

OBS Administrator

应用运维管理服务AOM

AOM FullAccess

标签管理服务TMS

TMS FullAccess

AI开发平台ModelArts

ModelArts CommonOperations

ModelArts Dependency Access

费用中心

BSS Administrator

如果系统预置的权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考ModelArts资源权限项

目前支持以下两种方式创建自定义策略:

  • 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见:创建自定义策略。下面为您介绍常用的ModelArts自定义策略样例。

  • 示例1:授权镜像管理的权限。
    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "modelarts:image:register",
                    "modelarts:image:listGroup"
                ]
            }
        ]
    }
  • 示例2:拒绝用户创建、更新、删除专属资源池。

    拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则

    {
        "Version": "1.1",
        "Statement": [
            {
                "Action": [
                    "modelarts:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "swr:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "smn:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "modelarts:pool:create",
                    "modelarts:pool:update",
                    "modelarts:pool:delete"
                ],
                "Effect": "Deny"
            }
        ]
    }
  • 示例3:多个授权项策略。

    一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下:

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "modelarts:service:*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "lts:logs:list"
                ]
            }
        ]
    }
support.huaweicloud.com/bestpractice-modelarts/modelarts_24_0080.html