专属池使用Notebook 2.0的子账号权限配置

举报
yangzilong 发表于 2021/08/28 16:54:37 2021/08/28
【摘要】 在很多情况下,客户使用ModelArts的时候是需要进行账号权限控制的。经常会希望资源的购买和配置放在管理账号下,资源的使用放在个人子账号下。同时个人子账号的消费能够按照预算来做,不要使用预算外的资源并产生额外的扣费。 本文将介绍一下权限配置的细节,能够正常的使用ModelArts专属池(包括Notebook能力)+ECS节点+SFS存储+OBS的方案。

本文将介绍一下权限配置的细节,能够正常的使用ModelArts专属池(包括Notebook能力)+ECS节点+SFS存储+OBS的方案。

1. IAM权限配置

进入权限控制页面:

新建用户:

新建用户组:

 

新增特殊权限:

 

特殊权限是为了ModelArtsNotebook在使用专属池并挂载SFS时,使用子账号的token能够正常检查挂载路径是否存在。

具体的配置json如下:

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "sfsturbo:*:get*",
                "sfsturbo:*:dataAction",
                "vpc:*:get",
                "vpc:*:list",
                "dss:*:get",
                "dss:*:list"
            ],
            "Effect": "Allow"
        }
    ]
}

配置用户组权限:

 

分别添加全局权限及区域级权限,配置方法如下:

全局权限就是OBS权限:可以直接配置“OBS OperateAccess”权限(即可以读写所有桶);也可以只配置“OBS Buckets Viewer”权限(即可以获取OBS桶列表),在给对应桶配置权限。

区域级权限是ModelArts权限,ECS权限和SFS权限。不用Notebook时配置“SFS Turbo ReadOnlyAccess”即可,需要时要配成刚刚创建的自定义权限。

配置完成后的权限如下:

 

之后配置对应组的用户:

 

2.OBS权限配置

创建一个具体的桶,找到桶权限。

使用“目录读写”模板,设置授权用户,并配置全部对象即可。

红框是日志下载所需的权限,如果不需要该功能,可以去掉

 

 

3.ModelArts配置

ModelArts界面,配置可以使用的账号列表。注意,每次的配置只对当前region有效

配额控制(使用工作空间):

如果需要进行额度限制,需要使用工作空间功能。先找运维人员打开白名单,然后就可以看到工作空间配置如截图:

选中后可以创建工作空间,选择可以使用的子账号并创建。

找到自己需要的工作空间,按需求配置各种额度即可。

注意!上面的工作空间配额控制策略还存在一些问题,主要有:

1.无法控制Notebook使用的EVS额度

2.如果需要限制子账号创建工作空间的权限,需要使用一个特殊的ModelArts权限配置。具体可以参考: https://bbs.huaweicloud.com/forum/forum.php?mod=viewthread&tid=105531

4.TODO

实际上可以把区域级的权限整合成一个权限配置json,这样一波就都搞定了。

由于时间有限,相应内容留给有兴趣的小伙伴尝试。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。