九游平台/ ai开发平台modelarts/ modelarts用户指南(standard)/ modelarts standard准备工作/ 配置modelarts standard访问授权/ 快速配置modelarts委托授权
更新时间:2025-03-04 gmt 08:00
查看pdf

快速配置modelarts委托授权-九游平台

场景描述

为了完成ai计算的各种操作,ai平台modelarts在任务执行过程中需要访问用户的其他服务,典型的就是训练过程中,需要访问obs读取用户的训练数据。在这个过程中,就出现了modelarts“代表”用户去访问其他云服务的情形。从安全角度出发,modelarts代表用户访问任何云服务之前,均需要先获得用户的授权,而这个动作就是一个“委托”的过程。用户授权modelarts再代表自己访问特定的云服务,以完成其在modelarts平台上执行的ai计算任务。

modelarts提供了添加授权功能,用户可以在modelarts standard的权限管理功能中,快速完成委托授权,由modelarts为用户自动创建委托并配置到modelarts服务中。

modelarts standard的权限配置支持普通模式和高权限模式两种方式。

  • 普通模式:普通模式下,用户可以基于使用的具体业务场景,自由定制授权范围,确保最小范围授权,授权方式灵活安全。适用于对授权范围有严格要求的场景。
  • 高权限模式:高权限模式配置简单,但创建的委托权限比较大,适用于有管理员权限需求的用户。如果需要对委托授权的权限范围进行精确控制,建议使用普通模式。

约束与限制

  • 华为云账号
    • 只有华为云账号可以使用委托授权,可以为当前账号授权,也可以为当前账号下的所有iam用户授权。
    • 多个iam用户或账号,可使用同一个委托。
    • 一个账号下,最多可创建100个委托。
    • 对于首次使用modelarts的新用户,请直接新增委托即可。一般用户新增普通用户权限即可满足使用要求。如果有精细化权限管理的需求,可以自定义权限按需设置。
  • iam用户
    • 如果已获得委托授权,则可以在权限管理页面中查看到已获得的委托授权信息。
    • 如果未获得委托授权,当打开“添加授权”页面时,modelarts会提醒您当前用户未配置授权,需联系此iam用户的管理员账号进行委托授权。

添加授权

  1. 登录modelarts管理控制台,在左侧导航栏选择“系统管理 > 权限管理”,进入“权限管理”页面。
  2. 单击“添加授权 new”,进入“添加授权”配置页面,根据参数说明进行配置。
    表1 参数说明

    参数

    说明

    “授权对象类型”

    包括iam子用户、联邦用户、委托用户和所有用户。

    • iam子用户:由主账号在iam中创建的用户,是服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。iam子用户相关介绍请参见iam用户介绍
    • 联邦用户:又称企业虚拟用户。联邦用户相关介绍请参见联邦身份认证
    • 委托用户:iam中创建的一个委托。iam创建委托相关介绍请参见创建委托
    • 所有用户:该选项表示会将委托的权限授权到当前账号下的所有子账号、包括未来创建的子账号,授权范围较大,需谨慎使用。个人用户选择“所有用户”即可。

    “授权对象”

    “授权对象类型”选择“所有用户”时不涉及此参数。

    • iam子用户:选择指定的iam子用户,给指定的iam子用户配置委托授权。
      图1 选择iam子用户
    • 联邦用户:输入联邦用户的用户名或用户id。
      图2 选择联邦用户
    • 委托用户:选择委托名称。使用账号a创建一个权限委托,在此处将该委托授权给账号b拥有的委托。在使用账号b登录控制台时,可以在控制台右上角的个人账号切换角色到账号a,使用账号a的委托权限。
      图3 委托用户切换角色

    “委托选择”
    • 已有委托:列表中如果已有委托选项,则直接选择一个可用的委托为上述选择的用户授权。单击委托名称查看该委托的权限详情。
    • 新增委托:如果没有委托可选,可以在新增委托中创建委托权限。对于首次使用modelarts的用户,需要新增委托。

    “新增委托 > 委托名称”

    系统自动创建委托名称,用户可以手动修改。

    “新增委托 > 权限配置 > 普通模式”

    普通模式下,用户可以基于使用的具体业务场景,自由定制授权范围,确保最小范围授权,授权方式灵活安全。适用于对授权范围有精细化管理要求的场景。

    可以根据实际需要在权限列表中勾选要配置的权限。

    普通模式下提供了预设的权限模板,可以通过权限模板快速配置权限。如下图所示,选择“训练模块”的权限模板,系统会自动勾选训练模块所需的所有服务和对应的功能权限。

    图4 基于预设的权限模板配置权限

    “新增委托 > 权限配置 > 高权限模式”

    高权限模式下,配置的权限范围较大,适用于有管理员权限需求的用户。可以在搜索栏中搜索关键字快速筛选权限。

    图5 高权限模式
  3. 然后勾选“我已经详细阅读并同意《modelarts服务声明》”,单击“创建”,即可完成委托配置。

查看授权的权限列表

用户可以在“权限管理”页面的授权列表中,查看已经配置的委托授权内容。单击授权内容列的“查看权限”,可以查看该授权的权限详情。

图6 查看权限
图7 普通模式权限列表

修改授权权限范围

  1. 在查看授权详情时,如果想要修改授权范围,可以在权限详情页单击“去iam修改委托权限”
    图8 去iam修改委托权限
  2. 进入iam控制台的委托页面。找到对应的委托信息,修改该委托的基本信息,主要是持续时间。“持续时间”可以选择永久、1天,或者自定义天数,例如 30天。
    图9 手动创建的委托
  3. 在授权记录页面单击“授权”,勾选要配置的策略,单击下一步设置最小授权范围,单击确定,完成授权修改。

    设置最小授权范围时,可以选择指定的区域,也可以选择所有区域,即不设置范围。

删除授权

为了更好的管理您的授权,您可以删除某一iam用户的授权,也可批量清空所有用户的授权。

  • 删除某一用户的授权

    “权限管理”页面,展示当前账号下为其iam用户配置的授权列表,针对某一用户,您可以单击“操作”列的“删除”,输入“delete”后单击“确认”,可删除此用户的授权。删除生效后,此用户将无法继续使用modelarts的相关功能。

  • 批量清空所有授权

    “权限管理”页面,单击授权列表上方的“清空授权”,输入“delete”后单击“确认”,可删除当前账号下的所有授权。删除生效后,此账号及其所有iam子用户将无法继续使用modelarts的相关功能。

常见问题

  1. 如何删除已有委托列表下面的委托名称?
    图10 已有委托

    需要前往统一身份认证服务iam控制台的委托页面删除。

    图11 统一身份认证
  2. 进入modelarts控制台的某个页面时,为什么会提示权限不足?
    图12 页面提示权限不足

    可能原因是用户委托权限配置不足或模块能力升级,需要更新授权信息。根据界面操作提示追加授权即可。

相关文档

网站地图