2.1 场景说明
如果您申请了一个华为云帐号,且需要将帐号权限分配给多个用户使用ModelArts。可 参考本案例指导完成权限分配。
场景说明
如下图所示,管理者使用管理员帐号,即申请的华为云帐号。
● 场景1:用户组1代表团队1,此团队下的所有用户,需具备ModelArts的所有功能 操作权限,同时具备OBS服务的所有操作权限。
● 场景2:用户组2代表团队2,此团队下的所有用户,需具备ModelArts部分功能的 权限,同时具备ModelArts所需的OBS最小化权限。
最佳实践 2 配置 ModelArts 使用权限
图2-1 场景图例
配置权限的流程及注意事项
首先,在配置权限之前,需要了解如下信息。配置权限的整体流程和说明,请参见图 2-2。
● ModelArts使用IAM服务实现鉴权认证功能,权限配置需前往IAM管理控制台进行 操作。
● 由于ModelArts依赖OBS服务进行数据存储,因此使用ModelArts前,必须获取相 应的OBS服务的操作权限。
● 在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您 的OBS、SWR、IEF等依赖服务。为保证ModelArts能够访问依赖服务,则需要针 对当前用户配置相关服务的访问授权。
最佳实践 2 配置 ModelArts 使用权限
图2-2 配置权限的流程及说明
配置建议
IAM的权限管理,根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资
最佳实践 2 配置 ModelArts 使用权限
针对图2-1所示的场景,2种场景,其配置流程是相同的,针对不同场景,根据授权精
配置ModelArts 权限
1. 注册帐号。
1. 使用管理员帐号登录ModelArts服务管理控制台。
请注意选择左上角的区域,例如“华北-北京四”。
“委托” 首次使用ModelArts全局配置时,暂无可用委托,此时您可以 单击“自动创建”,为用户名中选择的用户自动创建一个可用 的委托。
委托创建完成后,下拉框将自动选择自动创建好的委托。
图2-3 使用委托授权
最佳实践 2 配置 ModelArts 使用权限
2.3 配置所有权限(角色)
本章节介绍如何为用户组1下所有用户配置ModelArts的所有权限。针对ModelArts和 OBS服务使用权限,本示例使用角色进行授权,即以服务为颗粒度进行授权。
创建用户组
1. 在管理控制台中,单击右上角用户名,在下拉框中选择“统一身份认证”,进入 IAM服务。
2. 在左侧菜单栏中,选择“用户组”。
3. 单击右上角“创建用户组”,在“用户组名称”中填入“用户组1”,然后单击
“确定”完成用户组创建。
图2-4 创建用户组
创建完成后,返回用户组列表。
为用户组配置 ModelArts 的操作权限
如下操作,将指导您为用户组1配置ModelArts的所有操作权限。用户组权限配置后,
其组内的所有用户将具备相应的权限。
1. 在IAM管理控制台,选择“用户组”。
2. 在用户组1所在行,单击“权限配置”。
3. 单击“配置权限”,进入授权页面。
4. 在授权页面中,填写ModelArts权限的相关配置。
– 作用范围:选择“区域级项目”,同时选择对应区域,需与您使用的 ModelArts为同一区域,例如“华北-北京四”。
– 权限:在搜索框中输入“ModelArts”,筛选出ModelArts FullAccess和 ModelArts CommonOperations权限,勾选ModelArts FullAccess和 ModelArts CommonOperations授权项。
最佳实践 2 配置 ModelArts 使用权限
图2-5 权限配置
5. 配置完成后,单击“确定”完成ModelArts权限配置。
为用户组配置 OBS 的操作权限
由于使用ModelArts过程中,需要将相关数据、代码或模型存储在OBS中,因此需获取 相应的OBS权限,才能正常使用ModelArts的所有功能。如下操作指导如何为用户配置 OBS的所有操作权限。如果希望为用户配置ModelArts依赖的最小化权限,请参见为用
户组配置OBS的操作权限。
1.
为用户组配置ModelArts的操作权限完成后,界面将返回至用户组权限配置页
面。单击“配置权限”。
2. 进入授权页面后,填写OBS权限的相关配置。
– 作用范围:选择“全局项目”。
– 权限:在搜索框中输入“Tenant Administrator”,勾选此权限。
说明
授予“Tenant Administrator”权限,则此用户组下的用户将具备“全局服务”中所有服务 的操作权限(除IAM管理权限外),请谨慎操作。
图2-6 权限配置
3. 配置完成后,单击“确定”完成OBS权限配置。此授权需等待15-30分钟才可生 效,请耐心等待。
创建用户并加入用户组
最佳实践 2 配置 ModelArts 使用权限
请根据界面提示,填写必选参数,然后单击“下一步”。
图2-7 创建多个用户
4. 在“加入用户组”步骤中,选择“用户组1”,然后单击“创建用户”。
图2-8 加入用户组
界面将逐步创建好前面设置的3个用户。
为所有用户完成 ModelArts 全局配置
在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您的
1. 使用管理员帐号登录ModelArts服务管理控制台。
请注意选择左上角的区域,例如“华北-北京四”。
参数 说明
“委托” 首次使用ModelArts全局配置时,暂无可用委托,此时您可以 单击“自动创建”,为用户名中选择的用户自动创建一个可用 的委托。
委托创建完成后,下拉框将自动选择自动创建好的委托。
图2-9 使用委托授权
测试用户权限
由于OBS的权限需要等待15-30分钟生效,建议在配置完成后,等待30分钟后,再执行 如下验证操作。
1. 使用User-A、User-B或User-C任意一个用户登录ModelArts管理控制台。在登录页 面,请使用“IAM用户登录”方式进行登录。
首次登录会提示修改密码,请根据界面提示进行修改。
2. 验证ModelArts权限。
a. 在左上角选择区域,区域需与授权配置中的区域相同。本示例以“华北-北京 四”为例。
b. 在ModelArts左侧菜单栏中,选择“数据管理>数据集”,单击“创建数据 集”,如果可以正常打开创建页面,说明具备ModelArts的操作权限。
您也可以尝试其他功能,例如“训练管理>训练作业”、“开发环境
>Notebook”等,如能正常打开创建页面,即可正常使用ModelArts。
3. 验证OBS权限。
最佳实践 2 配置 ModelArts 使用权限
2.4 配置所有权限(策略)
本章节介绍如何为用户组1下所有用户配置ModelArts的所有权限。针对ModelArts和 OBS服务使用权限,本示例使用策略进行授权,即细粒度授权方式,可精确到具体操 作。
创建用户组
1. 在管理控制台中,单击右上角用户名,在下拉框中选择“统一身份认证”,进入 IAM服务。
2. 在左侧菜单栏中,选择“用户组”。
3. 单击右上角“创建用户组”,在“用户组名称”中填入“用户组1”,然后单击
“确定”完成用户组创建。
图2-10 创建用户组
创建完成后,返回用户组列表。
为用户组配置 ModelArts 的操作权限
如下操作,将指导您为用户组1配置ModelArts的所有操作权限。用户组权限配置后,
其组内的所有用户将具备相应的权限。
首先,创建一个含ModelArts具体操作权限的自定义策略,然后为用户组授予此自定义 策略权限。
1. 创建自定义策略。更多指导请参见创建ModelArts自定义策略。
a. 在IAM管理控制台,选择“权限”。
b. 在“权限”页面,单击右上角“创建自定义策略”。
c. 填写自定义策略的详细配置。
策略名称:可自定义一个方便辨识的名称。
作用范围:选择项目级服务。ModelArts属于项目级服务。
策略配置方式:JSON视图。
最佳实践 2 配置 ModelArts 使用权限
策略内容:请获取如下所示策略示例进行配置。本示例提供两种策略示例,
2. 给用户组添加配置好的自定义策略。
a. 在IAM管理控制台,选择“用户组”。
b. 在用户组1所在行,单击“权限配置”。
c. 单击“配置权限”,进入授权页面。
d. 在授权页面中,选择ModelArts自定义策略。
▪
作用范围:选择“区域级项目”,同时选择对应区域,需与您使用的 ModelArts为同一区域,例如“华北-北京四”。▪
权限:在搜索框中输入关键词,选择步骤1创建的自定义策略。图2-12 添加自定义策略
e. 配置完成后,单击“确定”完成ModelArts权限配置。
为用户组配置 OBS 的操作权限
图2-13 配置 OBS 自定义策略
a. 在IAM管理控制台,选择“用户组”。
b. 在用户组所在行,单击“权限配置”。
c. 单击“配置权限”,进入授权页面。
d. 在授权页面中,选择OBS自定义策略。
▪
作用范围:选择“全局服务”。▪
权限:在搜索框中输入关键词,选择步骤1创建的OBS自定义策略。图2-14 添加自定义策略
e. 配置完成后,单击“确定”完成OBS权限配置。
创建用户并加入用户组
1. 在IAM左侧菜单栏中,选择“用户”。
2. 单击右上角“创建用户”。
3. 在“创建用户”页面中,可在“用户信息”下方添加多个用户,在本示例中,添 加User-A、User-B、User-C三个用户。
请根据界面提示,填写必选参数,然后单击“下一步”。
图2-15 创建多个用户
4. 在“加入用户组”步骤中,选择“用户组1”,然后单击“创建用户”。
图2-16 加入用户组
最佳实践 2 配置 ModelArts 使用权限
界面将逐步创建好前面设置的3个用户。
为所有用户完成 ModelArts 全局配置
在使用ModelArts数据管理、模型管理等功能过程中,ModelArts可能需要访问您的
1. 使用管理员帐号登录ModelArts服务管理控制台。
请注意选择左上角的区域,例如“华北-北京四”。
“委托” 首次使用ModelArts全局配置时,暂无可用委托,此时您可以 单击“自动创建”,为用户名中选择的用户自动创建一个可用 的委托。
委托创建完成后,下拉框将自动选择自动创建好的委托。
图2-17 使用委托授权
最佳实践 2 配置 ModelArts 使用权限
测试用户权限
由于OBS的权限需要等待15-30分钟生效,建议在配置完成后,等待30分钟后,再执行 如下验证操作。
1. 使用User-A、User-B或User-C任意一个用户登录ModelArts管理控制台。在登录页 面,请使用“IAM用户登录”方式进行登录。
首次登录会提示修改密码,请根据界面提示进行修改。
2. 验证ModelArts权限。
a. 在左上角选择区域,区域需与授权配置中的区域相同。本示例以“华北-北京 四”为例。
b. 在ModelArts左侧菜单栏中,选择“数据管理>数据集”,单击“创建数据 集”,如果可以正常打开创建页面,说明具备ModelArts的操作权限。
您也可以尝试其他功能,例如“训练管理>训练作业”、“开发环境
>Notebook”等,如能正常打开创建页面,即可正常使用ModelArts。
3. 验证OBS权限。
a. 在左上角的服务列表中,选择OBS服务,进入OBS管理控制台。
b. 在OBS管理控制台中,单击右上角的“创建桶”,如果能正常打开页面,表