权限清单

• 权限

  表1 开发环境所需权限

  业务场景	依赖的服务	依赖策略项	支持的功能	配置建议
  开发环境实例生命周期管理	ModelArts	modelarts:notebook:create modelarts:notebook:list modelarts:notebook:get modelarts:notebook:update modelarts:notebook:delete modelarts:notebook:start modelarts:notebook:stop modelarts:notebook:updateStopPolicy modelarts:image:delete modelarts:image:list modelarts:image:create modelarts:image:get modelarts:pool:list modelarts:tag:list modelarts:network:get aom:metric:get aom:metric:list aom:alarm:list	实例的启动、停止、创建、删除、更新等依赖的权限。	建议配置。 仅在严格授权模式开启后，需要显式配置左侧权限。
  动态挂载存储配置	ModelArts	modelarts:notebook:listMountedStorages modelarts:notebook:mountStorage modelarts:notebook:getMountedStorage modelarts:notebook:umountStorage	动态挂载存储配置。	按需配置。
  	OBS	obs:bucket:ListAllMyBuckets obs:bucket:ListBucket
  镜像管理	ModelArts	modelarts:image:register modelarts:image:listGroup	在镜像管理中注册和查看镜像。	按需配置。
  保存镜像	SWR	SWR Admin	SWR Admin为SWR最大权限，用于： 开发环境运行的实例，保存成镜像。 使用 自定义镜像 创建开发环境Notebook实例。	按需配置。
  使用SSH功能	E CS	ecs:serverKeypairs:list ecs:serverKeypairs:get ecs:serverKeypairs:delete ecs:serverKeypairs:create	为开发环境Notebook实例配置登录密钥。	按需配置。
  	DEW	kps:domainKeypairs:get kps:domainKeypairs:list
  挂载SFS Turbo盘	SFS Turbo	SFS Turbo FullAccess	子账号对SFS目录的读写操作权限。专属池Notebook实例挂载SFS（公共池不支持），且挂载的SFS不是当前子账号创建的。	按需配置。
  查看所有实例	ModelArts	modelarts:notebook:listAllNotebooks	ModelArts开发环境界面上，查询所有用户的实例列表，适用于给开发环境的实例管理员配置该权限。	按需配置。
  	IAM	iam:users:listUsers
  VSCode插件（本地）/ PyCharm Toolkit（本地）	ModelArts	modelarts:notebook:listAllNotebooks modelarts:trainJob:create modelarts:trainJob:list modelarts:trainJob:update modelarts:trainJobVersion:delete modelarts:trainJob:get modelarts:trainJob:logExport modelarts:workspace:getQuotas（如果开通了工作空间功能，则需要配置此权限。）	从本地VSCode连接云上的Notebook实例、提交训练作业等。	按需配置。
  	OBS	obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl obs:object:ModifyObjectMetaData
  	IAM	iam:projects:listProjects	从本地PyCharm查询IAM项目列表，完成连接配置。
  VPC接入	VPC	VPC ReadOnlyAccess	实例能够挂载在用户的VPC下，实现多网络平面接入。	按需配置。

  

  创建自定义策略时，建议将项目级云服务和全局级云服务拆分为两条策略，便于授权时设置最小授权范围。

• 委托

  表2 开发环境所需委托

  业务场景	依赖的服务	委托授权项	说明	配置建议
  JupyterLab	OBS	obs:object:DeleteObject obs:object:GetObject obs:object:GetObjectVersion obs:bucket:CreateBucket obs:bucket:ListBucket obs:bucket:ListAllMyBuckets obs:object:PutObject obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:PutBucketCORS	通过ModelArts的Notebook，在JupyterLab中使用OBS上传下载数据。	建议配置。
  开发环境监控功能	AOM	aom:alarm:put	调用AOM的接口，获取Notebook相关的监控数据和事件，展示在ModelArts的Notebook中。	建议配置。
  VPC接入	VPC	vpc:ports:create vpc:ports:get vpc:ports:delete vpc:subnet:get	实例能够挂载在用户的VPC下，实现多网络平面接入。	按需配置。