不允许子账号使用公共资源池创建作业-九游平台

场景介绍

对于modelarts专属资源池的用户，不允许使用公共资源池创建训练作业、创建notebook实例或者部署推理服务时，可以通过权限控制限制用户使用公共资源池。

涉及配置的自定义权限策略项如下;

• modelarts:notebook:create：此策略项表示创建notebook实例。
• modelarts:trainjob:create：此策略项表示创建训练作业。
• modelarts:service:create：此策略项表示创建推理服务。

给子账号配置权限：限制使用公共资源池

1. 使用主用户账号登录管理控制台，单击右上角用户名，在下拉框中选择“统一身份认证”，进入统一身份认证（iam）服务。
2. 在统一身份认证服务页面的左侧导航选择“权限管理 > 权限”，单击右上角的“创建自定义策略”，设置策略，单击“确定”。
   • “策略名称”：设置自定义策略名称，例如：不允许用户使用公共资源池创建。
   • “策略配置方式”：选择可视化视图或者json视图均可。
   • “策略内容”：拒绝，云服务中搜索“modelarts”服务并选中，“操作”中查找写操作“modelarts:trainjob:create”、“modelarts:notebook:create”和“modelarts:service:create”并选中。“所有资源”选择“默认值”。“请求条件”中单击“添加条件”，设置“条件键”为“modelarts:pooltype”，“运算符”为“stringequals”，“值”为“public”。
     json视图的策略内容如下：

     {
         "version": "1.1",
         "statement": [
             {
                 "effect": "deny",
                 "action": [
                     "modelarts:trainjob:create",
                     "modelarts:notebook:create",
                     "modelarts:service:create"
                 ],
                 "condition": {
                     "stringequals": {
                         "modelarts:pooltype": [
                             "public"
                         ]
                     }
                 }
             }
         ]
     }

3. 在统一身份认证服务页面的左侧导航选择“用户组”，在用户组页面查找待授权的用户组名称，在右侧的操作列单击“授权”，勾选步骤2创建的自定义策略，单击“下一步”，选择授权范围方案，单击“确定”。

   如果没有用户组，也可以创建一个新的用户组，并通过“用户组管理”功能添加用户，并配置授权。如果指定的子用户没有在用户组中，也可以通过“用户组管理”功能增加用户。

4. 在用户的委托授权中同步增加此策略，避免在租户面通过委托token突破限制。

   在统一身份认证服务页面的左侧导航中选择委托，找到该用户组在modelarts上使用的委托名称，单击右侧的“修改”操作，选择“授权记录”页签，单击“授权”，选中上一步创建的自定义策略“不允许用户使用公共资源池”，单击“下一步”，选择允许使用的资源区域，单击“确定”。

验证

使用子账号用户登录modelarts控制台，选择“模型训练 > 训练作业”，单击“创建训练作业”，在创建训练页面，资源池规格只能选择专属资源池。

使用子账号用户登录modelarts控制台，选择“开发空间 > notebook”，单击“创建”，在创建notebook页面，资源池规格只能选择专属资源池。

使用子账号用户登录modelarts控制台，选择“模型部署 > 在线服务”，单击“部署”，在部署服务页面，资源池规格只能选择专属资源池。