华为云AI开发平台ModelArts给子用户配置部署上线基本使用权限_云淘科技
场景描述
本文介绍部署上线场景下子用户所需的基本使用权限,您可参考权限清单新增对应业务场景的权限。示例场景为授权子用户权限,使其能够在开发环境Notebook中使用基础镜像构建一个新的推理镜像,并完成AI应用的创建,部署为在线服务。
权限清单
权限
|
业务场景 |
依赖的服务 |
依赖策略项 |
支持的功能 |
配置建议 |
|---|---|---|---|---|
|
管理AI应用 |
ModelArts |
modelarts:model:* |
创建、删除、查看、导入AI模型。 |
建议配置。 仅在严格授权模式开启后,需要显式配置左侧权限。 |
|
SWR |
SWR Admin |
SWR Admin为SWR最大权限,用于: 从自定义镜像导入。 |
按需配置。 |
|
|
OBS |
obs:bucket:ListAllMybuckets obs:bucket:HeadBucket obs:bucket:ListBucket obs:bucket:GetBucketLocation obs:object:GetObject obs:object:GetObjectVersion obs:object:PutObject obs:object:DeleteObject obs:object:DeleteObjectVersion obs:object:ListMultipartUploadParts obs:object:AbortMultipartUpload obs:object:GetObjectAcl obs:object:GetObjectVersionAcl obs:bucket:PutBucketAcl obs:object:PutObjectAcl |
从OBS导入模型。 模型转换指定OBS路径。 |
按需配置。 |
|
业务场景 |
依赖的服务 |
依赖策略项 |
支持的功能 |
配置建议 |
|---|---|---|---|---|
|
部署服务 |
ModelArts |
modelarts:service:* |
部署、启动、查新、更新模型服务。 |
建议配置。 仅在严格授权模式开启后,需要显式配置左侧权限。 |
|
LTS |
lts:logs:list |
查询和展示LTS日志。 |
按需配置。 |
|
|
批量服务 |
OBS |
obs:object:GetObject obs:object:PutObject obs:bucket:CreateBucket obs:bucket:ListBucket obs:bucket:ListAllMyBuckets |
创建批量服务。 |
按需配置。 |
|
边缘服务 |
CES |
ces:metricData:list |
查看服务的监控指标。 |
按需配置。 |
|
IEF |
IEF Administrator |
管理边缘服务。 |
按需配置。 |
创建自定义策略时,建议将项目级云服务和全局级云服务拆分为两条策略,便于授权时设置最小授权范围。
委托
|
业务场景 |
依赖的服务 |
委托授权项 |
说明 |
配置建议 |
|---|---|---|---|---|
|
在线服务 |
LTS |
lts:groups:create lts:groups:list lts:topics:create lts:topics:delete lts:topics:list |
在线服务配置LTS日志上报。 |
按需配置。 |
|
批量服务 |
OBS |
obs:bucket:ListBucket obs:object:GetObject obs:object:PutObject |
运行批量服务。 |
按需配置。 |
|
边缘服务 |
IEF |
ief:deployment:list ief:deployment:create ief:deployment:update ief:deployment:delete ief:node:createNodeCert ief:iefInstance:list ief:node:list |
通过IEF部署边缘服务。 |
按需配置。 |
操作步骤
本案例场景为在开发环境中构建并调试推理镜像,在Notebook中制作自定义镜像,然后将调试完成的镜像导入ModelArts的AI应用管理中,并部署上线。
使用主用户帐号登录管理控制台,单击右上角用户名,在下拉框中选择“统一身份认证”,进入统一身份认证(IAM)服务。
添加部署上线使用权限。在统一身份认证服务页面的左侧导航选择“权限管理 > 权限”,单击右上角的“创建自定义策略”,设置策略。
添加部署上线使用权限。
“策略名称”:设置自定义策略名称,例如:service。
“策略配置方式”:选择JSON视图。
“策略内容”:填入如下内容。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"modelarts:service:*",
"modelarts:model:*",
"modelarts:notebook:create",
"modelarts:notebook:list",
"modelarts:notebook:get",
"modelarts:notebook:update",
"modelarts:notebook:delete",
"modelarts:notebook:start",
"modelarts:notebook:stop",
"modelarts:notebook:updateStopPolicy",
"modelarts:image:delete",
"modelarts:image:list",
"modelarts:image:create",
"modelarts:image:get",
"modelarts:image:register",
"modelarts:image:listGroup",
"modelarts:pool:list",
"modelarts:tag:list",
"aom:metric:get",
"aom:metric:list",
"aom:alarm:list"
]
}
]
}
创建用户组并加入用户,步骤请参考Step1 创建用户组并加入用户。
给用户组授权策略。
在IAM服务的用户组列表页面,单击“授权”,进入到授权页面,为子用户配置权限。勾选“service”、”SWR Admin”策略。单击“下一步”和“确定”。
图1 给用户组授权策略
添加ModelArts委托授权。
新建委托授权策略。
在统一身份认证服务页面的左侧导航选择“权限管理 > 权限”,单击右上角的“创建自定义策略”,设置策略。
“策略名称”:设置自定义策略名称,例如:service_agency。
“策略配置方式”:JSON视图。
“策略内容”:填入如下内容。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lts:groups:create",
"lts:groups:list",
"lts:topics:create",
"lts:topics:delete",
"lts:topics:list"
]
}
]
}
创建委托。
在统一身份认证服务页面的左侧导航选择“权限管理 > 委托”,单击右上角的“创建委托”,设置策略。填写委托信息并单击“下一步”。
委托名称:可自定义委托名称,例如:ma_agency_service。
委托类型:选择“云服务”。
云服务:选择“ModelArts”。
持续时间:选择“永久”。
图2 创建委托
勾选新建的委托策略,然后单击“下一步”。设置最小授权范围选择“所有资源”,然后单击“确定”。
图3 选择策略
为子用户配置ModelArts委托权限。
在ModelArts服务页面的左侧导航选择“全局配置 ”,单击“添加授权”。授权对象选择子用户,在已有委托中选择新建的委托,然后单击“创建”。
图4 配置ModelArts委托权限
验证权限是否配置成功。
登录子用户帐号,若用户能跑通为在开发环境中构建并调试推理镜像案例,在Notebook中制作自定义镜像,然后将调试完成的镜像导入ModelArts的AI应用管理中,并部署上线,则表示权限配置成功。
父主题: 典型场景配置实践
同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
