本文将介绍一下权限配置的细节，能够正常的使用ModelArts专属池（包括Notebook能力）+ECS节点+SFS存储+OBS的方案。

1. IAM权限配置

进入权限控制页面：

新建用户：

新建用户组：

新增特殊权限：

特殊权限是为了ModelArts的Notebook在使用专属池并挂载SFS时，使用子账号的token能够正常检查挂载路径是否存在。

具体的配置json如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "sfsturbo:*:get*",
                "sfsturbo:*:dataAction",
                "vpc:*:get",
                "vpc:*:list",
                "dss:*:get",
                "dss:*:list"
            ],
            "Effect": "Allow"
        }
    ]
}

配置用户组权限：

分别添加全局权限及区域级权限，配置方法如下：

全局权限就是OBS权限：可以直接配置“OBS OperateAccess”权限（即可以读写所有桶）；也可以只配置“OBS Buckets Viewer”权限（即可以获取OBS桶列表），在给对应桶配置权限。

区域级权限是ModelArts权限，ECS权限和SFS权限。不用Notebook时配置“SFS Turbo ReadOnlyAccess”即可，需要时要配成刚刚创建的自定义权限。

配置完成后的权限如下：

之后配置对应组的用户：

2.OBS权限配置

创建一个具体的桶，找到桶权限。

使用“目录读写”模板，设置授权用户，并配置全部对象即可。

红框是日志下载所需的权限，如果不需要该功能，可以去掉

3.ModelArts配置

在ModelArts界面，配置可以使用的账号列表。注意，每次的配置只对当前region有效。

配额控制（使用工作空间）：

如果需要进行额度限制，需要使用工作空间功能。先找运维人员打开白名单，然后就可以看到工作空间配置如截图：

选中后可以创建工作空间，选择可以使用的子账号并创建。

找到自己需要的工作空间，按需求配置各种额度即可。

注意！上面的工作空间配额控制策略还存在一些问题，主要有：

1.无法控制Notebook使用的EVS额度

2.如果需要限制子账号创建工作空间的权限，需要使用一个特殊的ModelArts权限配置。具体可以参考： https://bbs.huaweicloud.com/forum/forum.php?mod=viewthread&tid=105531

4.TODO

实际上可以把区域级的权限整合成一个权限配置json，这样一波就都搞定了。

由于时间有限，相应内容留给有兴趣的小伙伴尝试。