华为云AI开发平台ModelArts限制用户使用公共资源池_云淘科技
本章节介绍如何控制ModelArts用户权限,限制用户使用Modelarts公共资源池的资源创建训练作业、创建开发环境实例,部署推理服务等。
场景介绍
对于ModelArts专属资源池的用户,不允许使用公共资源池创建训练作业、创建Notebook实例或者部署推理服务时,可以通过权限控制限制用户使用公共资源池。
涉及配置的自定义权限策略项如下;
modelarts:notebook:create:此策略项表示创建Notebook实例。
modelarts:trainJob:create:此策略项表示创建训练作业。
modelarts:service:create:此策略项表示创建推理服务。
给子帐号配置权限:限制使用公共资源池
使用主用户帐号登录管理控制台,单击右上角用户名,在下拉框中选择“统一身份认证”,进入统一身份认证(IAM)服务。
在统一身份认证服务页面的左侧导航选择“权限管理 > 权限”,单击右上角的“创建自定义策略”,设置策略,单击“确定”。
“策略名称”:设置自定义策略名称,例如:不允许用户使用公共资源池创建。
“策略配置方式”:选择可视化视图或者JSON视图均可。
“策略内容”:拒绝,云服务中搜索“ModelArts”服务并选中,“操作”中查找写操作“modelarts:trainJob:create”、“modelarts:notebook:create”和“modelarts:service:create”并选中。“所有资源”选择“默认值”。“请求条件”中单击“添加条件”,设置“条件键”为“modelarts:poolType”,“运算符”为“StringEquals”,“值”为“public”。
图1 创建自定义策略(可视化视图)
图2 设置请求条件(可视化视图)
JSON视图的策略内容如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "modelarts:trainJob:create", "modelarts:notebook:create", "modelarts:service:create" ], "Condition": { "StringEquals": { "modelarts:poolType": [ "public" ] } } } ] }
在统一身份认证服务页面的左侧导航选择“用户组”,在用户组页面查找待授权的用户组名称,在右侧的操作列单击“授权”,勾选步骤2创建的两条自定义策略,单击“下一步”,选择授权范围方案,单击“确定”。
此时,该用户组下的所有用户均有权限查看该用户组内成员创建的所有Notebook实例。
如果没有用户组,也可以创建一个新的用户组,并通过“用户组管理”功能添加用户,并配置授权。如果指定的子用户没有在用户组中,也可以通过“用户组管理”功能增加用户。
在用户的委托授权中同步增加此策略,避免在租户面通过委托token突破限制。
在统一身份认证服务页面的左侧导航中选择委托,找到该用户组在ModelArts上使用的委托名称,单击右侧的“修改”操作,选择“授权记录”页签,单击“授权”,选中上一步创建的自定义策略“不允许用户使用公共资源池”,单击“下一步”,选择允许使用的资源区域,单击“确定”。
图3 修改授权
验证
使用子帐号用户登录ModelArts控制台,选择“训练管理 > 训练作业”,单击“创建训练作业”,在创建训练页面,资源池规格只能选择专属资源池。
使用子帐号用户登录ModelArts控制台,选择“开发环境 > Notebook”,单击“创建”,在创建Notebook页面,资源池规格只能选择专属资源池。
使用子帐号用户登录ModelArts控制台,选择“部署上线 > 在线服务”,单击“部署”,在部署服务页面,资源池规格只能选择专属资源池。
父主题: 典型场景配置实践
同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家