ModelArts子账号权限配置及日志保存问题解决

在企业或者小组使用的情况下，ModelArts一般都是一个主账号多个人使用。而且，期望对各个使用人（组）之间进行权限的隔离。

权限的配置一般来说是一个非常头大的问题，特别是华为云的各个服务，对于权限的配置和控制可能并不能完全拉齐。

本文主要介绍一下ModelArts的子账号权限配置，以及配置后遇到的一个问题的解决方案。

ModelArts的官方文档里头，本身有一篇比较全面的权限配置实践说明，此处给出链接进行参考：

https://support.huaweicloud.com/bestpractice-modelarts/modelarts_10_0062.html

基于子project隔离的配置流程待刷新。

============我是分割线=============

在仅配置OBS桶的查看权限（即全局"OBS Buckets Viewer"权限）、ModelArts操作权限（即对应region的"ModelArts CommonOperations"权限），并给对应子账号增配对应桶的“目录读写”权限后。

实际使用中，如果配置了作业日志路径，会无法创建训练任务。报错信息如截图：

实际原因是因为日志的保存是通过租户对应的op账号执行的，所以需要给对应的子账号增配OBS桶的putBucketAcl权限，用来给op账号添加读写权限。

即，需要在对应桶的权限中，增配GetBucketAcl及PutBucketAcl权限。如截图：

注意：由于PutBucketAcl策略的权限比较大，配置后等于对应账号就有对应桶的权限配置能力。