华为云AI开发平台ModelArts限制用户使用公共资源池_云淘科技

本章节介绍如何控制ModelArts用户权限,限制用户使用Modelarts公共资源池的资源创建训练作业、创建开发环境实例,部署推理服务等。

场景介绍

对于ModelArts专属资源池的用户,不允许使用公共资源池创建训练作业、创建Notebook实例或者部署推理服务时,可以通过权限控制限制用户使用公共资源池。

涉及配置的自定义权限策略项如下;

modelarts:notebook:create:此策略项表示创建Notebook实例。
modelarts:trainJob:create:此策略项表示创建训练作业。
modelarts:service:create:此策略项表示创建推理服务。

给子帐号配置权限:限制使用公共资源池

使用主用户帐号登录管理控制台,单击右上角用户名,在下拉框中选择“统一身份认证”,进入统一身份认证(IAM)服务。
在统一身份认证服务页面的左侧导航选择“权限管理 > 权限”,单击右上角的“创建自定义策略”,设置策略,单击“确定”。

“策略名称”:设置自定义策略名称,例如:不允许用户使用公共资源池创建。
“策略配置方式”:选择可视化视图或者JSON视图均可。
“策略内容”:拒绝,云服务中搜索“ModelArts”服务并选中,“操作”中查找操作“modelarts:trainJob:create”、“modelarts:notebook:create”和“modelarts:service:create”并选中。“所有资源”选择“默认值”。“请求条件”中单击“添加条件”,设置“条件键”为“modelarts:poolType”,“运算符”为“StringEquals”,“值”为“public”。

图1 创建自定义策略(可视化视图)

图2 设置请求条件(可视化视图)

JSON视图的策略内容如下:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "modelarts:trainJob:create",
                "modelarts:notebook:create",
                "modelarts:service:create"
            ],
            "Condition": {
                "StringEquals": {
                    "modelarts:poolType": [
                        "public"
                    ]
                }
            }
        }
    ]
}

在统一身份认证服务页面的左侧导航选择“用户组”,在用户组页面查找待授权的用户组名称,在右侧的操作列单击“授权”,勾选步骤2创建的两条自定义策略,单击“下一步”,选择授权范围方案,单击“确定”。

此时,该用户组下的所有用户均有权限查看该用户组内成员创建的所有Notebook实例。

如果没有用户组,也可以创建一个新的用户组,并通过“用户组管理”功能添加用户,并配置授权。如果指定的子用户没有在用户组中,也可以通过“用户组管理”功能增加用户。

在用户的委托授权中同步增加此策略,避免在租户面通过委托token突破限制。

在统一身份认证服务页面的左侧导航中选择委托,找到该用户组在ModelArts上使用的委托名称,单击右侧的“修改”操作,选择“授权记录”页签,单击“授权”,选中上一步创建的自定义策略“不允许用户使用公共资源池”,单击“下一步”,选择允许使用的资源区域,单击“确定”。

图3 修改授权

验证

使用子帐号用户登录ModelArts控制台,选择“训练管理 > 训练作业”,单击“创建训练作业”,在创建训练页面,资源池规格只能选择专属资源池。

使用子帐号用户登录ModelArts控制台,选择“开发环境 > Notebook”,单击“创建”,在创建Notebook页面,资源池规格只能选择专属资源池。

使用子帐号用户登录ModelArts控制台,选择“部署上线 > 在线服务”,单击“部署”,在部署服务页面,资源池规格只能选择专属资源池。

父主题: 典型场景配置实践

同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家