如何定位与解决ModelArts服务提示权限不足的问题

华为云权限简介

简单来说：华为云服务都是基于统一认证服务（IAM）来控制权限的(少数服务有自己的权限控制如：OBS)。 租户可以通过给用户组配置策略来控制该用户组下的用户的权限。

如果想详细了解华为云权限的内容，可以仔细阅读下本小节的参考链接。

参考链接：

IAM权限介绍：https://support.huaweicloud.com/usermanual-iam/iam_01_0602.html

ModelArts服务权限管理: https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0077.html

如何解决ModelArts权限配置不生效

按照[ModelArts服务权限管理]进行权限设置后，一般都可生效。

但是部分用户因遗漏某些操作，或者存在其他策略的干扰导致结果不如预期，可以通过如下步骤进行简单排查。

确认策略是否已配置到对应的用户组

只有在用户组上配置策略，该用户组下的用户才会受到该权限控制。

确认用户已加入对应的用户组

是否存在其他策略干扰

IAM鉴权机制是Deny比Allow的优先级高。也就是说当用户所在的用户组策略中，同时指定了Deny某个操作A和Allow某个操作A，那么最终结果是Deny某个操作A。

想排查这种情况，就需要查看该用户所在的所有用户组的所有策略中是否存在Deny策略的干扰项。

在企业项目管理中配置了干扰策略（仅针对企业用户且在企业项目管理中配置了策略）

排查步骤：

1. 明确该操作是在哪个企业项目下进行，如是在ModelArts服务的W工作空间创建数据集提示权限不足，那么可以通过查看W工作空间的详情界面找到对应的企业项目。

2. 该企业项目的所有用户组的所有策略中是否存在Deny策略的干扰项。

等一段时间再操作

不同服务针对鉴权结果会缓存一段时间，如果配置完策略后马上操作，那么服务内部可能还是使用老的鉴权结果。
可以等待一段时间再操作。
ModelArt服务可以等待1分钟。
OBS服务则需要等待5~13分钟。参考链接：https://support.huaweicloud.com/obs_faq/obs_faq_0147.html

写在最后

本文只写了如何通过用户组策略排查权限不足的问题。
华为云整体的权限控制会比较复杂，本文并不能全部涉及到，请谅解。