给子账号配置部署上线基本使用权限-九游平台
场景描述
本文介绍部署上线场景下子账号所需的基本使用权限,您可参考权限清单新增对应业务场景的权限。示例场景为授权子账号权限,使其能够在开发环境notebook中使用基础镜像构建一个新的推理镜像,并完成模型的创建,部署为在线服务。
权限清单
- 权限
表1 管理模型所需权限 业务场景
依赖的服务
依赖策略项
支持的功能
配置建议
管理模型
modelarts
modelarts:model:*
创建、删除、查看、导入ai模型。
建议配置。
仅在严格授权模式开启后,需要显式配置左侧权限。
swr
swr admin
swr admin为swr最大权限,用于:
- 从自定义镜像导入。
- 从obs导入时使用自定义引擎。
按需配置。
obs
obs:bucket:listallmybuckets
obs:bucket:headbucket
obs:bucket:listbucket
obs:bucket:getbucketlocation
obs:object:getobject
obs:object:getobjectversion
obs:object:putobject
obs:object:deleteobject
obs:object:deleteobjectversion
obs:object:listmultipartuploadparts
obs:object:abortmultipartupload
obs:object:getobjectacl
obs:object:getobjectversionacl
obs:bucket:putbucketacl
obs:object:putobjectacl
从obs导入模型。
模型转换指定obs路径。
按需配置。
表2 部署上线所需权限 业务场景
依赖的服务
依赖策略项
支持的功能
配置建议
部署服务
modelarts
modelarts:service:*
部署、启动、查新、更新模型服务。
建议配置。
仅在严格授权模式开启后,需要显式配置左侧权限。
lts
lts:logs:list
查询和展示lts日志。
按需配置。
批量服务
obs
obs:object:getobject
obs:object:putobject
obs:bucket:createbucket
obs:bucket:listbucket
obs:bucket:listallmybuckets
创建批量服务。
按需配置。
边缘服务
ces
ces:metricdata:list
查看服务的监控指标。
按需配置。
ief
ief administrator
管理边缘服务。
按需配置。
创建自定义策略时,建议将项目级云服务和全局级云服务拆分为两条策略,便于授权时设置最小授权范围。
- 委托
表3 部署上线所需委托 业务场景
依赖的服务
委托授权项
说明
配置建议
在线服务
lts
lts:groups:create
lts:groups:list
lts:topics:create
lts:topics:delete
lts:topics:list
在线服务配置lts日志上报。
按需配置。
批量服务
obs
obs:bucket:listbucket
obs:object:getobject
obs:object:putobject
运行批量服务。
按需配置。
边缘服务
ief
ief:deployment:list
ief:deployment:create
ief:deployment:update
ief:deployment:delete
ief:node:createnodecert
ief:iefinstance:list
ief:node:list
通过ief部署边缘服务。
按需配置。
操作步骤
本案例场景为在开发环境中构建并调试推理镜像,在notebook中制作自定义镜像,然后将调试完成的镜像导入modelarts的模型管理中,并部署上线。
- 使用主用户账号登录管理控制台,单击右上角用户名,在下拉框中选择“统一身份认证”,进入统一身份认证(iam)服务。
- 添加部署上线使用权限。在统一身份认证服务页面的左侧导航选择,单击右上角的“创建自定义策略”,设置策略。
添加部署上线使用权限。
- “策略名称”:设置自定义策略名称,例如:service。
- “策略配置方式”:选择json视图。
- “策略内容”:填入如下内容。
{ "version": "1.1", "statement": [ { "effect": "allow", "action": [ "modelarts:service:*", "modelarts:model:*", "modelarts:notebook:create", "modelarts:notebook:list", "modelarts:notebook:get", "modelarts:notebook:update", "modelarts:notebook:delete", "modelarts:notebook:start", "modelarts:notebook:stop", "modelarts:notebook:updatestoppolicy", "modelarts:image:delete", "modelarts:image:list", "modelarts:image:create", "modelarts:image:get", "modelarts:image:register", "modelarts:image:listgroup", "modelarts:pool:list", "modelarts:tag:list", "aom:metric:get", "aom:metric:list", "aom:alarm:list" ] } ] } - 创建用户组并加入用户,步骤请参考step1 创建用户组并加入用户。
- 给用户组授权策略。
在iam服务的用户组列表页面,单击“授权”,进入到授权页面,为子账号配置权限。勾选“service”、“swr admin”策略。单击“下一步”和“确定”。
- 添加modelarts委托授权。
- 新建委托授权策略。
在统一身份认证服务页面的左侧导航选择,单击右上角的“创建自定义策略”,设置策略。
- “策略名称”:设置自定义策略名称,例如:service_agency。
- “策略配置方式”:json视图。
- “策略内容”:填入如下内容。
{ "version": "1.1", "statement": [ { "effect": "allow", "action": [ "lts:groups:create", "lts:groups:list", "lts:topics:create", "lts:topics:delete", "lts:topics:list" ] } ] }
- 创建委托。
在统一身份认证服务页面的左侧导航选择,单击右上角的“创建委托”,设置策略。填写委托信息并单击“下一步”。
- 委托名称:可自定义委托名称,例如:ma_agency_service。
- 委托类型:选择“云服务”。
- 云服务:选择“modelarts”。
- 持续时间:选择“永久”。
勾选新建的委托策略,然后单击“下一步”。设置最小授权范围选择“所有资源”,然后单击“确定”。
- 为子账号配置modelarts委托权限。
在modelarts服务页面的左侧导航选择,单击“添加授权”。授权对象选择子账号,在已有委托中选择新建的委托,然后单击“创建”。
- 新建委托授权策略。
- 验证权限是否配置成功。
登录子账号,如果用户能跑通在开发环境中构建并调试推理镜像的案例,在notebook中制作自定义镜像,然后将调试完成的镜像导入modelarts的模型中,并部署上线,则表示权限配置成功。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
